Schwachstellenmanagement
Schwachstellenmanagement ist der fortlaufende Prozess, technische Schwachstellen in IT-Systemen systematisch zu identifizieren, hinsichtlich ihres Risikos zu bewerten und zeitgerecht zu beheben.
Schwachstellenmanagement (englisch: Vulnerability Management) bezeichnet den strukturierten, kontinuierlichen Prozess, mit dem eine Organisation technische Schwachstellen in ihren IT-Systemen, Anwendungen und Netzwerken aufdeckt, bewertet und gezielt beseitigt. Eine Schwachstelle ist dabei jede Eigenschaft eines Systems, die von einer Bedrohung ausgenutzt werden kann, etwa ein fehlerhafter Programmcode, eine unsichere Konfiguration oder eine fehlende Sicherheitsaktualisierung. Schwachstellenmanagement ist kein einmaliges Projekt, sondern ein wiederkehrender Zyklus aus Erkennung, Bewertung, Behandlung und Kontrolle, der eng mit Asset-Management, Patch-Management und dem Risikomanagement der Informationssicherheit verzahnt ist.
Der Prozess beginnt mit der Identifizierung: Mittels automatisierter Schwachstellenscans, Penetrationstests und der Auswertung von Hersteller- und Behördenmeldungen (etwa CVE-Datenbanken oder Warnungen des BSI) werden verwundbare Komponenten erkannt. In der anschließenden Bewertung wird jede Schwachstelle nach ihrer technischen Schwere, üblicherweise anhand des Common Vulnerability Scoring System (CVSS), sowie nach dem konkreten Schutzbedarf und der Ausnutzbarkeit im jeweiligen Umfeld priorisiert. Die Behebung erfolgt risikoorientiert durch das Einspielen von Patches, Konfigurationsänderungen, Systemhärtung oder kompensierende Maßnahmen; abschließend wird die Wirksamkeit der Behebung verifiziert und dokumentiert.
Schwachstellenmanagement ist eine zentrale Anforderung gängiger Sicherheitsstandards und regulatorischer Vorgaben. Die ISO/IEC 27001 verlangt in Anhang A (Control 8.8 "Management of technical vulnerabilities") die rechtzeitige Erlangung von Informationen über technische Schwachstellen und deren angemessene Behandlung; der BSI IT-Grundschutz adressiert dies im Baustein OPS.1.1.3 (Patch- und Änderungsmanagement). Mit der NIS2-Richtlinie und ihrer Umsetzung in deutsches Recht wird ein angemessenes Schwachstellen- und Patch-Management als Teil der Risikomanagementmaßnahmen für besonders wichtige und wichtige Einrichtungen verpflichtend, einschließlich Verfahren zur Offenlegung von Schwachstellen. Ein dokumentiertes Schwachstellenmanagement ist damit Voraussetzung für Konformität und für die Erfüllung der Geschäftsleitungspflichten.
Rechtliche Grundlage
ISO/IEC 27001:2022 Anhang A 8.8; BSI IT-Grundschutz OPS.1.1.3; Art. 21 NIS2-Richtlinie (EU) 2022/2555
Praxisbeispiel
Eine Informationssicherheitsbeauftragte eines mittelständischen Maschinenbauers führt einen monatlichen, automatisierten Schwachstellenscan über alle Server und Clients durch. Der Scan meldet eine kritische Schwachstelle (CVSS 9.8) in einer öffentlich erreichbaren Anwendung. Sie priorisiert den Fund anhand des hohen Schutzbedarfs und der Internet-Exponierung, weist der IT-Abteilung über das Ticketsystem eine Behebungsfrist von 48 Stunden zu, lässt den verfügbaren Sicherheitspatch einspielen und verifiziert anschließend mit einem erneuten Scan, dass die Lücke geschlossen ist. Den gesamten Vorgang dokumentiert sie revisionssicher als Nachweis für das nächste ISO-27001-Audit.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren