Zusammenfassung – Angesichts einer wachsenden Angriffsfläche und steigender regulatorischer Vorgaben (revDSG, DSGVO, ISO 27001, NIS2, PCI DSS) erfordert das Schwachstellenmanagement einen kontinuierlichen Zyklus aus Entdeckung, Bewertung und Behebung. Vom vollständigen IT/OT/Cloud-Inventar und CVE/SBOM-Scans in Kombination mit ASM bis zur Priorisierung nach CVSS, Ausnutzbarkeit, Exposition und Geschäftsrelevanz automatisiert jede Phase über ITSM/DevSecOps, um eine verkürzte MTTR und klares Reporting zu gewährleisten. Lösung: zentrales Repository → kontinuierliche Scans → orchestrierte Tickets → automatisiertes KPI- und Compliance-Monitoring.
Schwachstellenmanagement ist ein fortlaufender Prozess, der weit über die einmalige Durchführung eines Scans hinausgeht. Er umfasst die Erkennung von Assets, die Priorisierung von Risiken, orchestrierte Behebungsmaßnahmen und das Monitoring relevanter Kennzahlen.
Indem jede Phase – von der Inventarisierung bis zur Messung der mittleren Zeit bis zur Behebung (MTTR) – automatisiert wird, reduzieren Organisationen sofort ihre Angriffsfläche und weisen ihre Compliance mit regulatorischen Rahmenwerken nach (revidiertes DSG, DSGVO, ISO 27001, NIS2, PCI DSS). Dieser Artikel stellt einen kontinuierlichen Zyklus vor, veranschaulicht jede Phase anhand eines Beispiels eines schweizerischen Unternehmens und bietet eine praxisorientierte Checkliste zur Strukturierung eines Schwachstellenmanagements.
Kartierung & Asset-Erkennung
Eine umfassende Kenntnis der IT-, OT- und Cloud-Infrastruktur ist die erste Verteidigungslinie gegen Angriffe. Die vollständige Entdeckung von Endpoints, Servern und Schatten-IT-Diensten speist ein einziges, verlässliches Inventar.
Umfassendes Asset-Inventar
Der Ausgangspunkt besteht darin, jede Hardware- und Softwarekomponente zu erfassen – von virtuellen Servern bis hin zu IoT-Geräten. Open-Source-Lösungen für Inventarverwaltung und Infrastructure as Code erleichtern die Zentralisierung dieser Daten in einem einzigen Repository.
Jedes Asset sollte klassifiziert werden (kritisch, nicht kritisch), einem fachlichen Eigentümer zugewiesen und geografisch verortet werden, um die potenzielle Exposition zu bewerten. Tags erleichtern die Suche und die regelmäßige Aktualisierung des Inventars.
Das Asset-Register bildet die Grundlage für alle weiteren Schritte und stellt sicher, dass Schwachstellenscans den gesamten Bestand abdecken und Blindstellen minimieren.
IT/OT- und Cloud-Erkennung
Über das klassische Netzwerk hinaus müssen OT-Umgebungen und öffentliche und private Cloud-Services erkannt und kartiert werden. Ein Scanner für das Angriffsflächenmanagement automatisiert diese Phase und identifiziert im Internet exponierte Ressourcen.
Beispiel: Ein schweizerisches Industrieunternehmen stellte mithilfe eines Tools für das Angriffsflächenmanagement fest, dass mehrere IIoT-Gateways ungeschützt waren. Das Audit zeigte, dass Überwachungsgeräte direkt aus dem Internet erreichbar waren und die Produktionslinien potenziellen Angriffen aussetzten.
Die Lehre: Eine vollständige Kartierung umfasst auch Infrastrukturen, die bei Drittanbietern in der Cloud gehostet werden und häufig außerhalb des Fokus traditioneller IT-Teams liegen.
Shadow-IT-Verwaltung
Unter Schatten-IT versteht man Anwendungen und Dienste, die ohne formelle Zustimmung der IT-Abteilung eingesetzt werden. Sie stellen einen wesentlichen Vektor unerkannter Schwachstellen dar.
Die Analyse des Netzwerkverkehrs und die Auswertung der Proxy-Logs ermöglichen die Identifikation dieser nicht autorisierten Nutzungen. Die Integration einer Lösung zur Verwaltung mobiler Endgeräte verstärkt die Kontrolle über mobile Endpoints.
Nach der Identifikation müssen diese Dienste hinsichtlich ihrer geschäftlichen Kritikalität bewertet und den gleichen Scan- und Behebungsrichtlinien unterworfen werden wie offizielle Ressourcen.
Scans und Schwachstellen-Intelligence
Die automatisierte Analyse von CVE/NVD, Software-Stücklisten und Abhängigkeiten treibt die Erkennung bekannter Schwachstellen voran. In Kombination mit aktiven Scans und Angriffsflächenmanagement liefert sie eine konsolidierte Risikosicht.
Analyse von CVE/NVD und Software-Stücklisten
Die NVD-Datenbank führt jede identifizierte Schwachstelle einschließlich ihres CVSS-Scores auf. Software-Stücklisten interner und Dritthersteller-Anwendungen ermöglichen eine exakte Auflistung der verwendeten Komponenten und Versionen.
Eine Open-Source-Intelligence-Engine kann die Abgleiche zwischen Software-Stückliste und CVE automatisch durchführen. Diese Korrelation beschleunigt die Übermittlung kritischer Warnungen an die zuständigen Teams.
Dieser Ansatz stellt sicher, dass jeder Bestandteil – sei es in einem Docker-Image oder einem NuGet-Paket – kontinuierlich einer Risikobewertung unterzogen wird.
Netzwerkscans und Angriffsflächenmanagement
Schwachstellenscanner (Qualys, Nessus, OpenVAS) führen regelmäßige Überprüfungen interner Hosts und produktiv exponierter Schnittstellen durch. Sie erkennen veraltete Dienste, schwache Konfigurationen und kritische Schwachstellen.
Das Angriffsflächenmanagement ergänzt diese Scans, indem es neu veröffentlichte Ressourcen im Web erkennt, die häufig außerhalb des Umfangs herkömmlicher Scans liegen. Dieser doppelte Ansatz verhindert Blindstellen.
Es wird empfohlen, diese Scans kontinuierlich zu automatisieren und die Frequenz an die Kritikalität der Assets sowie an geschäftliche Anforderungen anzupassen.
Abhängigkeiten und Software-Lieferkette
Schwachstellen in der Software-Lieferkette nehmen zu. Die Identifikation transitive Abhängigkeiten und ihrer kritischen Updates ist unerlässlich, um die Injektion von Schadcode zu verhindern.
Die statische und dynamische Analyse von Containern muss in die Pipelines für kontinuierliche Integration und Bereitstellung integriert werden, um bei risikobehafteten Komponenten Warnungen auszulösen. Open-Source-Lösungen ergänzen häufig kommerzielle Angebote.
Ein proaktives Monitoring der Sicherheitspatch-Ankündigungen von Drittanbietern erlaubt eine schnelle Priorisierung der dringendsten Korrekturen.
Edana: Strategischer Digitalpartner in der Schweiz
Wir begleiten Unternehmen und Organisationen bei ihrer digitalen Transformation.
Risikopriorisierung
Die Priorisierung kombiniert CVSS-Scores mit tatsächlicher Exploitierbarkeit und Internet-Exposition, um zuerst die kritischsten Schwachstellen anzugehen. Die Abstimmung mit der geschäftlichen Kritikalität und den Service-Level-Vereinbarungen/Zielvorgaben legt Reihenfolge und Fristen für die Behebung fest.
Kriterien für Exploitierbarkeit und Exposition
Jede Schwachstelle wird hinsichtlich ihrer Ausnutzbarkeit bewertet (Proof-of-Concept verfügbar, Netzwerkvektor, erforderliches Zugriffslevel). Automatisierte Scanner berücksichtigen diese Indikatoren meist automatisch.
Die Internet-Exposition erhöht das Risiko deutlich. Ein Dienst, der über einen kritischen Port erreichbar ist, muss schneller behoben werden als eine intern isolierte Komponente hinter einer Firewall.
Die Kombination dieser Kriterien steuert Aktionspläne, um die Angriffsfläche so schnell wie möglich zu verringern.
Geschäftliche Kritikalität und Service-Level-Vereinbarungen/-Zielvorgaben für Behebungen
Der Wert eines Dienstes für die Organisation (Kundenanwendung, Finanzdatenbank, Lieferantenportal) bestimmt das Ausmaß einer möglichen Ausfallzeit oder Datenpanne.
Es können spezifische Service-Level-Vereinbarungen/-Zielvorgaben definiert werden: zum Beispiel 48 Stunden für die Behebung einer Schwachstelle mit CVSS ≥ 8 auf einem exponierten Dienst und 5 Tage für ein internes nicht-kritisches System.
Dieses Vorgehen stellt sicher, dass die Behebungsmaßnahmen an den geschäftlichen Erfordernissen und nicht nur am CVSS-Score ausgerichtet sind.
Einsatz von CVSS und Business-Risiko
CVSS bietet einen einheitlichen Rahmen, berücksichtigt jedoch keine geschäftsspezifischen Besonderheiten. Das Business-Risiko ergänzt diese Bewertung, indem es Auswirkungen auf Reputation, Servicekontinuität und regulatorische Pflichten misst.
Ein konsolidiertes Dashboard zeigt den technischen Score und das Business-Risikoniveau. Die Lenkungsausschüsse der Sicherheitsgovernance können daraufhin Prioritäten festlegen.
Dieser duale Ansatz gewährleistet eine optimale Zuteilung der Sicherheitsressourcen und der Betriebsteams.
Orchestrierte Behebung und kontinuierliches Monitoring
Die Behebung vereint Patch-Management, Härtung und Kompensationsmaßnahmen, orchestriert über IT-Service-Management und DevSecOps. Kennzahlen wie MTTR, Abschlussraten und Trendanalysen sorgen für eine transparente Steuerung.
Orchestrierung über IT-Service-Management und CI/CD
Die Integration von Schwachstellen-Tickets in Jira oder ServiceNow ermöglicht eine Standardisierung des Korrektur-Workflows und eine lückenlose Nachverfolgung bis zum Abschluss.
In den Pipelines für kontinuierliche Integration und Bereitstellung sind mittlerweile automatisierte Schwachstellenscans integriert: Ein automatischer Abbruch verhindert die Produktionseinführung ohne Behebung oder Nachweis.
Diese Synergie zwischen IT-Service-Management und DevSecOps verbessert die Zusammenarbeit der Sicherheits-, Betriebs- und Entwicklungsteams.
Patching, Härtung und Kompensationsmaßnahmen
Sicherheitsupdates (Patch-Management) bleiben die schnellste Methode zur Schwachstellenbehebung. Wenn kein Patch verfügbar ist, müssen Härtungsmaßnahmen (Schließen von Ports, Verstärkung von Konfigurationen) oder Kompensationskontrollen wie Webanwendungs-Firewalls und Netzwerkisolation angewendet werden.
Lösungen zur Verwaltung mobiler Endgeräte und Erkennung sowie Abwehr auf Endgeräten ergänzen das System, indem sie die Umsetzung von Patches auf Desktops und mobilen Geräten überwachen.
Die Automatisierung dieser Maßnahmen minimiert das Fehlerrisiko und beschleunigt die Bereitstellung von Patches.
Dashboards und Governance
Mehrere KPIs ermöglichen die Leistungsüberwachung des Prozesses: mittlere Zeit bis zur Behebung, Abschlussraten gemäß Service-Level-Vereinbarungen, Anzahl wieder eröffneter Schwachstellen und Entwicklung des Gesamtrisikoscores.
Regelmäßige Berichte für die Geschäftsführung (CISO/CIO) und die IT-Abteilung veranschaulichen die Kapitalrendite und die Einhaltung von ISO 27001, NIS2 und PCI DSS.
KPIs fließen in vierteljährliche Governance-Reviews ein und unterstützen die Entscheidungsfindung zur fortlaufenden Optimierung des Schwachstellenmanagements.
Operative Checkliste in 10 Schritten
- Aktualisieren Sie das Asset-Inventar vierteljährlich.
- Führen Sie kontinuierliche Scans mit einem Tool für Angriffsflächenmanagement und einem internen Schwachstellenscanner (Qualys/Nessus/OpenVAS) durch.
- Analysieren Sie Software-Stücklisten und korrelieren Sie diese mit CVE/NVD.
- Priorisieren Sie nach Exploitierbarkeit, Exposition und geschäftlicher Kritikalität.
- Definieren Sie Service-Level-Vereinbarungen/-Zielvorgaben für Behebungsmaßnahmen pro Risikokategorie.
- Orchestrieren Sie Tickets über Jira oder ServiceNow.
- Automatisieren Sie Scans in Pipelines für kontinuierliche Integration und Bereitstellung (DevSecOps).
- Wenden Sie Patches, Härtungen und Kompensationskontrollen an.
- Überwachen Sie Endpunkte mit Lösungen zur Verwaltung mobiler Endgeräte und Erkennung/Abwehr auf Endgeräten.
- Verfolgen Sie KPIs wie mittlere Zeit bis zur Behebung, Abschlussraten und Gesamtrisikoscore.
Auf dem Weg zur kontinuierlichen Kontrolle Ihrer Schwachstellenexposition
Schwachstellenmanagement ist ein positiver Kreislauf: Je präziser Entdeckung, Analyse und Priorisierung sind, desto schneller erfolgen Behebungen und desto transparenter ist das Monitoring. Der Nachweis der Compliance mit dem revidierten DSG, der DSGVO, ISO 27001, NIS2 und PCI DSS wird dadurch zu einer natürlichen Folge eines geschlossenen, automatisierten Prozesses.
IT- und Governance-Teams stärken ihre Sicherheitsposition, verkürzen die mittlere Zeit bis zur Behebung und gewinnen an Agilität, um zu innovieren, ohne eine Lücke in ihrer Infrastruktur befürchten zu müssen.
Besprechen Sie Ihre Herausforderungen mit einem Edana-Experten







Ansichten: 3












