Schwachstellenmanagement

Jede Software enthält Fehler, und ein Teil davon öffnet Angreifern die Tür. Täglich werden neue Sicherheitslücken veröffentlicht, während automatisierte Scans das Internet permanent nach verwundbaren Systemen durchsuchen. Wer Lücken erst beim Vorfall bemerkt, reagiert zu spät. Schwachstellenmanagement macht aus diesem Wettlauf einen planbaren Prozess: Es verschafft Überblick über den eigenen Bestand und stellt sicher, dass die gefährlichsten Lücken zuerst geschlossen werden.

Was ist Schwachstellenmanagement?

Schwachstellenmanagement (englisch Vulnerability Management) ist der fortlaufende Prozess, Sicherheitslücken in IT-Systemen zu erkennen, nach Risiko zu bewerten und ihre Behebung nachweisbar zu steuern. Betrachtet werden Betriebssysteme und Anwendungen ebenso wie Netzwerkkomponenten, Cloud-Workloads und Fehlkonfigurationen. Grundlage ist ein gepflegtes Inventar, denn nur bekannte Systeme lassen sich prüfen.

Der Begriff umfasst deutlich mehr als das reine Scannen. Zum Prozess gehören die Bewertung jedes Funds im Unternehmenskontext, klare Verantwortlichkeiten für die Behebung, definierte Fristen je Risikoklasse und die Kontrolle des Erfolgs. Rahmenwerke wie ISO 27001 fordern einen solchen Prozess ausdrücklich, ebenso PCI DSS für Kartenzahlungsumgebungen und die EU-Richtlinie NIS2 für viele Unternehmen ab mittlerer Größe.

Eine Sonderrolle spielen Lücken, für die zum Zeitpunkt der ersten Angriffe noch kein Patch existiert. Was diese Fälle auszeichnet und wie Unternehmen damit umgehen, erklärt der Glossarbeitrag zu Zero-Day-Schwachstellen .

So funktioniert es

Der Ablauf ist ein wiederkehrender Zyklus, der sich in fünf Schritte gliedert:

  • Inventarisieren: Alle Assets erfassen, vom Server über Clients bis zu Cloud-Instanzen und Containern. Schatten-IT und vergessene Systeme sind der häufigste blinde Fleck.
  • Scannen: Automatisierte Scanner prüfen die Systeme regelmäßig gegen Datenbanken bekannter Schwachstellen (CVE). Authentifizierte Scans liefern dabei deutlich genauere Ergebnisse als reine Netzwerkscans von außen.
  • Priorisieren: Der CVSS-Basiswert allein reicht als Maßstab selten aus. Entscheidend ist der Kontext: Eine Lücke auf einem aus dem Internet erreichbaren System mit öffentlich verfügbarem Exploit gehört an die Spitze der Liste, während dieselbe Lücke auf einem isolierten Testsystem warten kann. Kataloge aktiv ausgenutzter Schwachstellen und die Bedeutung der betroffenen Geschäftsprozesse schärfen die Reihenfolge zusätzlich.
  • Beheben: Patchen ist der Regelfall. Wo das kurzfristig unmöglich ist, helfen kompensierende Maßnahmen wie Konfigurationsänderungen, strengere Zugriffsregeln oder die Isolation des Systems per Segmentierung.
  • Verifizieren und berichten: Ein Nachscan bestätigt die Behebung. Kennzahlen wie die Zeit bis zur Schließung kritischer Lücken machen den Prozess für Management und Auditoren transparent.

Danach beginnt der Zyklus von vorn, denn mit jedem Patchday und jeder neuen Anwendung verändert sich die Angriffsfläche.

Warum es wichtig ist

  • Bekannte Lücken sind das Haupteinfallstor: Ein großer Teil erfolgreicher Angriffe nutzt Schwachstellen aus, für die seit Monaten Patches bereitstehen. Konsequentes Schließen entzieht Angreifern die einfachsten Wege.
  • KI verkürzt die Zeitfenster: Angreifer setzen KI-gestützte Werkzeuge ein, um Lücken schneller zu finden und Exploits schneller zu entwickeln. Der Abstand zwischen Veröffentlichung und aktiver Ausnutzung schrumpft dadurch spürbar.
  • Regulatorik fordert den Prozess: Vorgaben wie ISO 27001, NIS2 oder PCI DSS verlangen einen geregelten Umgang mit technischen Schwachstellen, inklusive dokumentierter Nachweise.
  • Wachsende Angriffsfläche: Cloud-Dienste und Remote-Arbeit vergrößern den Bestand an prüfbaren Systemen laufend. Ohne Prozess entsteht ein unkontrollierter Rückstau offener Funde.
  • Begrenzte Ressourcen brauchen Fokus: Kein Betriebsteam kann alle Funde sofort schließen. Risikobasierte Priorisierung lenkt die verfügbare Zeit dorthin, wo sie das Risiko am stärksten senkt.
  • Nachweisbarkeit zählt: Berichte und Kennzahlen belegen gegenüber Auditoren und Cyber-Versicherern, dass Risiken kontrolliert behandelt werden.

Typische Szenarien

Ein mittelständisches Unternehmen scannt seine Server wöchentlich und die Clients monatlich. Kritische Funde auf extern erreichbaren Systemen müssen innerhalb weniger Tage behoben sein, interne Systeme folgen in gestaffelten Fristen.

Hektisch wird es, wenn eine schwerwiegende Lücke in einer verbreiteten Komponente bekannt wird, etwa in einem VPN-Gateway oder einer weit verbreiteten Softwarebibliothek. Dann zählt, wie schnell sich beantworten lässt, wo die Komponente überhaupt im Einsatz ist. Ein gepflegtes Inventar verwandelt tagelange Suche in eine einzige Abfrage.

Ein dritter Klassiker sind Altsysteme, für die der Hersteller keine Patches mehr liefert. Hier verschiebt sich die Aufgabe vom Patchen zur Risikominimierung: Das System wird vom restlichen Netz isoliert und Zugriffe werden auf das betrieblich Notwendige beschränkt.

Schwachstellenmanagement vs. Penetrationstest

Beide Disziplinen suchen Schwächen, arbeiten aber unterschiedlich. Schwachstellenmanagement ist ein dauerhafter, weitgehend automatisierter Prozess in der Breite: Er prüft den gesamten Bestand regelmäßig gegen bekannte Lücken. Ein Penetrationstest ist eine zeitlich begrenzte, manuelle Prüfung in der Tiefe: Erfahrene Tester verketten einzelne Funde zu realen Angriffspfaden und weisen nach, welcher Schaden tatsächlich möglich wäre.

Ein Penetrationstest ersetzt den laufenden Prozess deshalb nicht, er ergänzt ihn. Er deckt Logikfehler und verkettete Pfade auf, die kein Scanner erkennt. Umgekehrt sorgt Schwachstellenmanagement dafür, dass ein Pentest neue Erkenntnisse liefert statt einer Liste längst bekannter Versäumnisse.

So unterstützt KAEMI

KAEMI betreibt sichere Unternehmensnetzwerke und verankert den Umgang mit Schwachstellen direkt in der Architektur. Für extern erreichbare Anwendungen reduziert Application Security die Angriffsfläche, etwa durch Web Application Firewalls, die bekannte Angriffsmuster blockieren, bevor ein Patch eingespielt ist. Beim Aufbau des Prozesses selbst unterstützt KAEMI im Rahmen der Professional Services , von der Bestandsaufnahme bis zu einem Priorisierungsmodell mit Fristen, die zu Ihrem Betrieb passen. Sprechen Sie uns über die Kontaktseite an, wenn Sie Ihren Umgang mit Schwachstellen auf ein belastbares Fundament stellen wollen.

Häufige Fragen zu Schwachstellenmanagement

Wie oft sollten Schwachstellenscans stattfinden?

Das hängt vom Schutzbedarf ab. Extern erreichbare Systeme sollten mindestens wöchentlich geprüft werden, interne Systeme je nach Kritikalität in kürzeren oder längeren Abständen. Wichtiger als ein starrer Rhythmus ist die Fähigkeit, bei akuten Bedrohungslagen kurzfristig einen gezielten Scan zu fahren. Regelwerke wie PCI DSS geben zusätzlich feste Mindestintervalle vor.

Was bedeutet risikobasierte Priorisierung?

Statt Funde stur nach CVSS-Wert abzuarbeiten, fließt der Kontext des eigenen Unternehmens ein. Bewertet wird etwa, ob ein System aus dem Internet erreichbar ist, ob ein Exploit öffentlich kursiert und wie kritisch die betroffenen Daten sind. So landet eine mittelschwere Lücke auf einem exponierten System vor einer schweren Lücke auf einem isolierten Testserver.

Reicht der CVSS-Score zur Bewertung aus?

Als alleiniger Maßstab reicht er selten. Der CVSS-Basiswert beschreibt die technische Schwere einer Lücke, sagt aber wenig über die Lage im konkreten Netz aus. Erst Erreichbarkeit, Exploit-Verfügbarkeit und Bedeutung des betroffenen Systems machen daraus eine belastbare Rangfolge. Moderne Programme kombinieren CVSS deshalb mit Bedrohungsdaten und eigenem Asset-Kontext.

Was tun, wenn ein System keinen Patch erhalten kann?

Dann treten kompensierende Maßnahmen an die Stelle des Patches. Bewährt haben sich die Isolation des Systems durch Segmentierung, streng begrenzte Zugriffsrechte und eine engmaschige Überwachung der verbleibenden Verbindungen. So sinkt das Risiko deutlich, auch wenn die Lücke technisch bestehen bleibt. Wichtig ist, solche Ausnahmen zu dokumentieren und regelmäßig neu zu bewerten.

Ersetzt Schwachstellenmanagement einen Penetrationstest?

Nein, beide ergänzen sich. Schwachstellenmanagement prüft kontinuierlich und automatisiert den gesamten Bestand auf bekannte Lücken. Ein Penetrationstest untersucht punktuell und manuell, ob sich Schwächen zu realen Angriffspfaden verketten lassen, inklusive Logikfehlern, die kein Scanner findet. Sinnvoll ist der laufende Prozess als Basis, ergänzt um Penetrationstests in regelmäßigen Abständen oder nach größeren Änderungen.

Vom Begriff zur Umsetzung: KAEMI begleitet Sie von der ersten Analyse bis in den laufenden Betrieb.