Kategorien
Cloud et Cybersécurité (DE)

Schwachstellenmanagement: kontinuierlich identifizieren, priorisieren und beheben (CVE/CVSS, Angriffsflächenmanagement, Compliance CH/EU)

Auteur n°16 – Martin

Von Martin Moraz
Ansichten: 3

Zusammenfassung – Angesichts einer wachsenden Angriffsfläche und steigender regulatorischer Vorgaben (revDSG, DSGVO, ISO 27001, NIS2, PCI DSS) erfordert das Schwachstellenmanagement einen kontinuierlichen Zyklus aus Entdeckung, Bewertung und Behebung. Vom vollständigen IT/OT/Cloud-Inventar und CVE/SBOM-Scans in Kombination mit ASM bis zur Priorisierung nach CVSS, Ausnutzbarkeit, Exposition und Geschäftsrelevanz automatisiert jede Phase über ITSM/DevSecOps, um eine verkürzte MTTR und klares Reporting zu gewährleisten. Lösung: zentrales Repository → kontinuierliche Scans → orchestrierte Tickets → automatisiertes KPI- und Compliance-Monitoring.

Schwachstellenmanagement ist ein fortlaufender Prozess, der weit über die einmalige Durchführung eines Scans hinausgeht. Er umfasst die Erkennung von Assets, die Priorisierung von Risiken, orchestrierte Behebungsmaßnahmen und das Monitoring relevanter Kennzahlen.

Indem jede Phase – von der Inventarisierung bis zur Messung der mittleren Zeit bis zur Behebung (MTTR) – automatisiert wird, reduzieren Organisationen sofort ihre Angriffsfläche und weisen ihre Compliance mit regulatorischen Rahmenwerken nach (revidiertes DSG, DSGVO, ISO 27001, NIS2, PCI DSS). Dieser Artikel stellt einen kontinuierlichen Zyklus vor, veranschaulicht jede Phase anhand eines Beispiels eines schweizerischen Unternehmens und bietet eine praxisorientierte Checkliste zur Strukturierung eines Schwachstellenmanagements.

Kartierung & Asset-Erkennung

Eine umfassende Kenntnis der IT-, OT- und Cloud-Infrastruktur ist die erste Verteidigungslinie gegen Angriffe. Die vollständige Entdeckung von Endpoints, Servern und Schatten-IT-Diensten speist ein einziges, verlässliches Inventar.

Umfassendes Asset-Inventar

Der Ausgangspunkt besteht darin, jede Hardware- und Softwarekomponente zu erfassen – von virtuellen Servern bis hin zu IoT-Geräten. Open-Source-Lösungen für Inventarverwaltung und Infrastructure as Code erleichtern die Zentralisierung dieser Daten in einem einzigen Repository.

Jedes Asset sollte klassifiziert werden (kritisch, nicht kritisch), einem fachlichen Eigentümer zugewiesen und geografisch verortet werden, um die potenzielle Exposition zu bewerten. Tags erleichtern die Suche und die regelmäßige Aktualisierung des Inventars.

Das Asset-Register bildet die Grundlage für alle weiteren Schritte und stellt sicher, dass Schwachstellenscans den gesamten Bestand abdecken und Blindstellen minimieren.

IT/OT- und Cloud-Erkennung

Über das klassische Netzwerk hinaus müssen OT-Umgebungen und öffentliche und private Cloud-Services erkannt und kartiert werden. Ein Scanner für das Angriffsflächenmanagement automatisiert diese Phase und identifiziert im Internet exponierte Ressourcen.

Beispiel: Ein schweizerisches Industrieunternehmen stellte mithilfe eines Tools für das Angriffsflächenmanagement fest, dass mehrere IIoT-Gateways ungeschützt waren. Das Audit zeigte, dass Überwachungsgeräte direkt aus dem Internet erreichbar waren und die Produktionslinien potenziellen Angriffen aussetzten.

Die Lehre: Eine vollständige Kartierung umfasst auch Infrastrukturen, die bei Drittanbietern in der Cloud gehostet werden und häufig außerhalb des Fokus traditioneller IT-Teams liegen.

Shadow-IT-Verwaltung

Unter Schatten-IT versteht man Anwendungen und Dienste, die ohne formelle Zustimmung der IT-Abteilung eingesetzt werden. Sie stellen einen wesentlichen Vektor unerkannter Schwachstellen dar.

Die Analyse des Netzwerkverkehrs und die Auswertung der Proxy-Logs ermöglichen die Identifikation dieser nicht autorisierten Nutzungen. Die Integration einer Lösung zur Verwaltung mobiler Endgeräte verstärkt die Kontrolle über mobile Endpoints.

Nach der Identifikation müssen diese Dienste hinsichtlich ihrer geschäftlichen Kritikalität bewertet und den gleichen Scan- und Behebungsrichtlinien unterworfen werden wie offizielle Ressourcen.

Scans und Schwachstellen-Intelligence

Die automatisierte Analyse von CVE/NVD, Software-Stücklisten und Abhängigkeiten treibt die Erkennung bekannter Schwachstellen voran. In Kombination mit aktiven Scans und Angriffsflächenmanagement liefert sie eine konsolidierte Risikosicht.

Analyse von CVE/NVD und Software-Stücklisten

Die NVD-Datenbank führt jede identifizierte Schwachstelle einschließlich ihres CVSS-Scores auf. Software-Stücklisten interner und Dritthersteller-Anwendungen ermöglichen eine exakte Auflistung der verwendeten Komponenten und Versionen.

Eine Open-Source-Intelligence-Engine kann die Abgleiche zwischen Software-Stückliste und CVE automatisch durchführen. Diese Korrelation beschleunigt die Übermittlung kritischer Warnungen an die zuständigen Teams.

Dieser Ansatz stellt sicher, dass jeder Bestandteil – sei es in einem Docker-Image oder einem NuGet-Paket – kontinuierlich einer Risikobewertung unterzogen wird.

Netzwerkscans und Angriffsflächenmanagement

Schwachstellenscanner (Qualys, Nessus, OpenVAS) führen regelmäßige Überprüfungen interner Hosts und produktiv exponierter Schnittstellen durch. Sie erkennen veraltete Dienste, schwache Konfigurationen und kritische Schwachstellen.

Das Angriffsflächenmanagement ergänzt diese Scans, indem es neu veröffentlichte Ressourcen im Web erkennt, die häufig außerhalb des Umfangs herkömmlicher Scans liegen. Dieser doppelte Ansatz verhindert Blindstellen.

Es wird empfohlen, diese Scans kontinuierlich zu automatisieren und die Frequenz an die Kritikalität der Assets sowie an geschäftliche Anforderungen anzupassen.

Abhängigkeiten und Software-Lieferkette

Schwachstellen in der Software-Lieferkette nehmen zu. Die Identifikation transitive Abhängigkeiten und ihrer kritischen Updates ist unerlässlich, um die Injektion von Schadcode zu verhindern.

Die statische und dynamische Analyse von Containern muss in die Pipelines für kontinuierliche Integration und Bereitstellung integriert werden, um bei risikobehafteten Komponenten Warnungen auszulösen. Open-Source-Lösungen ergänzen häufig kommerzielle Angebote.

Ein proaktives Monitoring der Sicherheitspatch-Ankündigungen von Drittanbietern erlaubt eine schnelle Priorisierung der dringendsten Korrekturen.

Edana: Strategischer Digitalpartner in der Schweiz

Wir begleiten Unternehmen und Organisationen bei ihrer digitalen Transformation.

Risikopriorisierung

Die Priorisierung kombiniert CVSS-Scores mit tatsächlicher Exploitierbarkeit und Internet-Exposition, um zuerst die kritischsten Schwachstellen anzugehen. Die Abstimmung mit der geschäftlichen Kritikalität und den Service-Level-Vereinbarungen/Zielvorgaben legt Reihenfolge und Fristen für die Behebung fest.

Kriterien für Exploitierbarkeit und Exposition

Jede Schwachstelle wird hinsichtlich ihrer Ausnutzbarkeit bewertet (Proof-of-Concept verfügbar, Netzwerkvektor, erforderliches Zugriffslevel). Automatisierte Scanner berücksichtigen diese Indikatoren meist automatisch.

Die Internet-Exposition erhöht das Risiko deutlich. Ein Dienst, der über einen kritischen Port erreichbar ist, muss schneller behoben werden als eine intern isolierte Komponente hinter einer Firewall.

Die Kombination dieser Kriterien steuert Aktionspläne, um die Angriffsfläche so schnell wie möglich zu verringern.

Geschäftliche Kritikalität und Service-Level-Vereinbarungen/-Zielvorgaben für Behebungen

Der Wert eines Dienstes für die Organisation (Kundenanwendung, Finanzdatenbank, Lieferantenportal) bestimmt das Ausmaß einer möglichen Ausfallzeit oder Datenpanne.

Es können spezifische Service-Level-Vereinbarungen/-Zielvorgaben definiert werden: zum Beispiel 48 Stunden für die Behebung einer Schwachstelle mit CVSS ≥ 8 auf einem exponierten Dienst und 5 Tage für ein internes nicht-kritisches System.

Dieses Vorgehen stellt sicher, dass die Behebungsmaßnahmen an den geschäftlichen Erfordernissen und nicht nur am CVSS-Score ausgerichtet sind.

Einsatz von CVSS und Business-Risiko

CVSS bietet einen einheitlichen Rahmen, berücksichtigt jedoch keine geschäftsspezifischen Besonderheiten. Das Business-Risiko ergänzt diese Bewertung, indem es Auswirkungen auf Reputation, Servicekontinuität und regulatorische Pflichten misst.

Ein konsolidiertes Dashboard zeigt den technischen Score und das Business-Risikoniveau. Die Lenkungsausschüsse der Sicherheitsgovernance können daraufhin Prioritäten festlegen.

Dieser duale Ansatz gewährleistet eine optimale Zuteilung der Sicherheitsressourcen und der Betriebsteams.

Orchestrierte Behebung und kontinuierliches Monitoring

Die Behebung vereint Patch-Management, Härtung und Kompensationsmaßnahmen, orchestriert über IT-Service-Management und DevSecOps. Kennzahlen wie MTTR, Abschlussraten und Trendanalysen sorgen für eine transparente Steuerung.

Orchestrierung über IT-Service-Management und CI/CD

Die Integration von Schwachstellen-Tickets in Jira oder ServiceNow ermöglicht eine Standardisierung des Korrektur-Workflows und eine lückenlose Nachverfolgung bis zum Abschluss.

In den Pipelines für kontinuierliche Integration und Bereitstellung sind mittlerweile automatisierte Schwachstellenscans integriert: Ein automatischer Abbruch verhindert die Produktionseinführung ohne Behebung oder Nachweis.

Diese Synergie zwischen IT-Service-Management und DevSecOps verbessert die Zusammenarbeit der Sicherheits-, Betriebs- und Entwicklungsteams.

Patching, Härtung und Kompensationsmaßnahmen

Sicherheitsupdates (Patch-Management) bleiben die schnellste Methode zur Schwachstellenbehebung. Wenn kein Patch verfügbar ist, müssen Härtungsmaßnahmen (Schließen von Ports, Verstärkung von Konfigurationen) oder Kompensationskontrollen wie Webanwendungs-Firewalls und Netzwerkisolation angewendet werden.

Lösungen zur Verwaltung mobiler Endgeräte und Erkennung sowie Abwehr auf Endgeräten ergänzen das System, indem sie die Umsetzung von Patches auf Desktops und mobilen Geräten überwachen.

Die Automatisierung dieser Maßnahmen minimiert das Fehlerrisiko und beschleunigt die Bereitstellung von Patches.

Dashboards und Governance

Mehrere KPIs ermöglichen die Leistungsüberwachung des Prozesses: mittlere Zeit bis zur Behebung, Abschlussraten gemäß Service-Level-Vereinbarungen, Anzahl wieder eröffneter Schwachstellen und Entwicklung des Gesamtrisikoscores.

Regelmäßige Berichte für die Geschäftsführung (CISO/CIO) und die IT-Abteilung veranschaulichen die Kapitalrendite und die Einhaltung von ISO 27001, NIS2 und PCI DSS.

KPIs fließen in vierteljährliche Governance-Reviews ein und unterstützen die Entscheidungsfindung zur fortlaufenden Optimierung des Schwachstellenmanagements.

Operative Checkliste in 10 Schritten

  • Aktualisieren Sie das Asset-Inventar vierteljährlich.
  • Führen Sie kontinuierliche Scans mit einem Tool für Angriffsflächenmanagement und einem internen Schwachstellenscanner (Qualys/Nessus/OpenVAS) durch.
  • Analysieren Sie Software-Stücklisten und korrelieren Sie diese mit CVE/NVD.
  • Priorisieren Sie nach Exploitierbarkeit, Exposition und geschäftlicher Kritikalität.
  • Definieren Sie Service-Level-Vereinbarungen/-Zielvorgaben für Behebungsmaßnahmen pro Risikokategorie.
  • Orchestrieren Sie Tickets über Jira oder ServiceNow.
  • Automatisieren Sie Scans in Pipelines für kontinuierliche Integration und Bereitstellung (DevSecOps).
  • Wenden Sie Patches, Härtungen und Kompensationskontrollen an.
  • Überwachen Sie Endpunkte mit Lösungen zur Verwaltung mobiler Endgeräte und Erkennung/Abwehr auf Endgeräten.
  • Verfolgen Sie KPIs wie mittlere Zeit bis zur Behebung, Abschlussraten und Gesamtrisikoscore.

Auf dem Weg zur kontinuierlichen Kontrolle Ihrer Schwachstellenexposition

Schwachstellenmanagement ist ein positiver Kreislauf: Je präziser Entdeckung, Analyse und Priorisierung sind, desto schneller erfolgen Behebungen und desto transparenter ist das Monitoring. Der Nachweis der Compliance mit dem revidierten DSG, der DSGVO, ISO 27001, NIS2 und PCI DSS wird dadurch zu einer natürlichen Folge eines geschlossenen, automatisierten Prozesses.

IT- und Governance-Teams stärken ihre Sicherheitsposition, verkürzen die mittlere Zeit bis zur Behebung und gewinnen an Agilität, um zu innovieren, ohne eine Lücke in ihrer Infrastruktur befürchten zu müssen.

Besprechen Sie Ihre Herausforderungen mit einem Edana-Experten

Von Martin

Enterprise Architect

VERÖFFENTLICHT VON

Martin Moraz

Avatar de David Mendes

Martin ist Senior Enterprise-Architekt. Er entwirft robuste und skalierbare Technologie-Architekturen für Ihre Business-Software, SaaS-Lösungen, mobile Anwendungen, Websites und digitalen Ökosysteme. Als Experte für IT-Strategie und Systemintegration sorgt er für technische Konsistenz im Einklang mit Ihren Geschäftszielen.

FAQ

Häufig gestellte Fragen zum Schwachstellenmanagement

Welche Vorteile bietet ein Open-Source-ASM-Scanner für die Asset-Erkennung?

Ein Open-Source-ASM-Scanner automatisiert die Erkennung exponierter Assets im Internet, ganz ohne teure Lizenz. Er identifiziert schnell vergessene Subdomains, APIs oder Geräte, ergänzt das Inventar und reduziert blinde Flecken. In Ihr zentrales Verzeichnis integriert, ermöglicht er eine kontinuierliche Aktualisierung der Kartierung und stärkt die Sicherheitslage bereits in der Entdeckungsphase.

Wie integriert man ein SBOM in die CI/CD-Pipeline, um CVEs automatisch zu erkennen?

Das SBOM wird in die Build-Pipeline eingebunden: Ein Open-Source-Tool liest bei jedem Commit die Komponentenliste, vergleicht sie mit der CVE/NVD-Datenbank und erstellt einen Bericht. Bei kritischen Schwachstellen schlägt der Job fehl und generiert eine Warnung. Diese Integration gewährleistet eine frühzeitige Behebung vor dem Produktiveinsatz.

Welche Kriterien sollte man heranziehen, um Schwachstellen nach dem Business-Risiko zu priorisieren?

Neben dem CVSS-Score beurteilen Sie die Internet-Exposition, die Leichtigkeit der Ausnutzung (verfügbare PoCs) und die geschäftlichen Auswirkungen (Servicekontinuität, Reputation). Kombinieren Sie diese Aspekte in einem zentralen Dashboard, um Patches für strategisch wichtige oder besonders exponierte Dienste zuerst zu adressieren und Ihre Ressourcen optimal einzusetzen.

Wie definiert man angepasste SLA/SLO im Geschäftskontext für die Behebung?

Beginnen Sie damit, Dienste nach ihrer Kritikalität zu klassifizieren (Kunden-Transaktionen, interne Tools etc.). Legen Sie dann Behebungsfristen fest: zum Beispiel 48 Stunden für einen CVSS ≥ 8 auf einem exponierten Dienst, 5 Tage für eine interne, nicht kritische Umgebung. Halten Sie diese Vorgaben in Ihren ITSM-Prozessen fest, um die Performance zu steuern.

Welche typischen Fehler sollte man bei der Implementierung eines Vulnerability-Management-Programms vermeiden?

Typische Stolperfallen sind ein unvollständiges Inventar, zu seltene Scans, fehlende Korrelation von SBOM und CVE sowie nicht automatisierte Behebungs-Workflows. Vermeiden Sie auch Silos in der Kommunikation zwischen Sicherheit und Entwicklung: Setzen Sie auf eine DevSecOps-Philosophie, um Zusammenarbeit und Effizienz zu verbessern.

Welche KPIs sollte man zur Bewertung der Effektivität des Behebungsprozesses überwachen?

Verfolgen Sie insbesondere den MTTR (Mean Time To Remediate), die SLA-Einhaltungsrate, die Anzahl wieder geöffneter Schwachstellen und die Entwicklung des Gesamtrisikoscores. Diese Kennzahlen in regelmäßigen Reports zeigen die Reife Ihres Programms und unterstützen Optimierungen.

Wie orchestriert man die Behebung zwischen ITSM- und DevSecOps-Teams?

Integrieren Sie Ihre Schwachstellentickets in Jira oder ServiceNow und synchronisieren Sie diese mit Ihren CI/CD-Pipelines. Jeder Pull Request löst einen Scan aus und erstellt bei Bedarf ein Ticket. Dieser einheitliche Workflow erleichtert Nachverfolgung, Transparenz und Eskalation und bindet Entwicklungs- und Betriebsteams gleichermaßen ein.

Welche kompensatorischen Kontrollen setzt man ein, wenn kein Patch verfügbar ist?

Setzen Sie Hardening-Maßnahmen um (Ports schließen, Konfigurationen härten), implementieren Sie eine WAF zum Filtern risikobehafteter Anfragen und segmentieren Sie das Netzwerk, um das verwundbare Asset zu isolieren. MDM/EDR-Lösungen ermöglichen zudem das Monitoring der Regelanwendung und die Erkennung von Exploit-Versuchen.

KONTAKTIERE UNS

Sprechen Wir Über Sie

Ein paar Zeilen genügen, um ein Gespräch zu beginnen! Schreiben Sie uns und einer unserer Spezialisten wird sich innerhalb von 24 Stunden bei Ihnen melden.

ABONNIEREN SIE

Verpassen Sie nicht die Tipps unserer Strategen

Erhalten Sie unsere Einsichten, die neuesten digitalen Strategien und Best Practices in den Bereichen Marketing, Wachstum, Innovation, Technologie und Branding.

Wir verwandeln Ihre Herausforderungen in Chancen

Mit Sitz in Genf entwickelt Edana maßgeschneiderte digitale Lösungen für Unternehmen und Organisationen, die ihre Wettbewerbsfähigkeit steigern möchten.

Wir verbinden Strategie, Beratung und technologische Exzellenz, um die Geschäftsprozesse Ihres Unternehmens, das Kundenerlebnis und Ihre Leistungsfähigkeit zu transformieren.

Sprechen wir über Ihre strategischen Herausforderungen.

022 596 73 70

Agence Digitale Edana sur LinkedInAgence Digitale Edana sur InstagramAgence Digitale Edana sur Facebook