Vulnerability Management: Schwachstellen finden, priorisieren, beheben

Vulnerability Management ist der kontinuierliche Prozess, Sicherheitslücken in IT-Systemen zu identifizieren, zu bewerten, zu priorisieren und zu beheben. In einer Welt, in der jährlich über 25.000 neue CVEs (Common Vulnerabilities and Exposures) veröffentlicht werden, ist die Herausforderung nicht das Finden von Schwachstellen, sondern die intelligente Priorisierung der Behebung.

Was ist Vulnerability Management?

Vulnerability Management (VM) ist mehr als ein gelegentlicher Scan. Es ist ein laufender Prozess mit definierten Rollen, Tools und SLAs. Das Ziel: Die Angriffsfläche des Unternehmens systematisch und nachweisbar reduzieren — nicht jede Schwachstelle sofort patchen, sondern die richtigen Schwachstellen in der richtigen Reihenfolge.

Der VM-Lebenszyklus in 5 Phasen

1. Asset-Inventar: Bevor Sie Schwachstellen finden können, müssen Sie wissen, was geschützt werden muss. Vollständiges IT-Asset-Register: Server, Endpoints, Netzwerkgeräte, Cloud-Ressourcen, Anwendungen, APIs.
2. Scanning: Automatisierte Schwachstellen-Scans in definierten Intervallen. Authentifizierte Scans (mit Zugangsdaten) für tiefere Analyse. Unauthentifizierte Scans für die Außenperspektive. Tools: Tenable Nessus, Qualys, Rapid7 InsightVM.
3. Bewertung und Priorisierung: CVSS-Score als Basisbewertung. Ergänzt um Kontextfaktoren: Ist die Schwachstelle aktiv ausgenutzt (CISA KEV)? Ist das betroffene System Internet-exponiert? Welche Daten sind erreichbar? Risikobasierte Priorisierung schlägt reine CVSS-Sortierung.
4. Behebung: Patch anwenden, Konfiguration ändern, kompensierenden Control implementieren oder Risiko akzeptieren (dokumentiert). SLAs definieren: Kritisch = 24-48h, Hoch = 7 Tage, Mittel = 30 Tage, Niedrig = 90 Tage.
5. Verifizierung und Reporting: Re-Scan zur Bestätigung der Behebung. Trend-Reporting: Wie entwickelt sich die Gesamtzahl offener Schwachstellen? Mean Time to Remediate (MTTR) als zentrale Metrik.

CVSS verstehen: Kritisch, Hoch, Mittel, Niedrig

Das Common Vulnerability Scoring System (CVSS) bewertet Schwachstellen auf einer Skala von 0 bis 10:

• Kritisch (9.0-10.0): Remote Code Execution ohne Authentifizierung, sofort patchbar. Beispiel: Log4Shell (CVE-2021-44228, CVSS 10.0).
• Hoch (7.0-8.9): Signifikanter Impact, oft mit Voraussetzungen. Beispiel: Authentifizierte SQL Injection mit Datenzugriff.
• Mittel (4.0-6.9): Begrenzter Impact oder schwer ausnutzbar. Beispiel: Cross-Site Scripting (XSS) mit eingeschränktem Scope.
• Niedrig (0.1-3.9): Minimaler Impact, meist informational. Beispiel: Information Disclosure ohne sensible Daten.

Wichtig: CVSS allein reicht nicht für die Priorisierung. Ein CVSS 6.0 auf einem Internet-exponierten System mit Kundendaten ist dringender als ein CVSS 9.0 auf einem isolierten Testsystem.

VM unter DORA, NIS2 und ISO 27001

• DORA (Art. 9): IKT-Systeme müssen auf dem neuesten Stand gehalten werden. Patch-Management ist explizite Anforderung.
• NIS2 (Art. 21): Schwachstellenmanagement als Teil der Cybersicherheitsmaßnahmen. Offenlegung von Schwachstellen (Responsible Disclosure) wird gefordert.
• ISO 27001 (A.12.6): Technisches Schwachstellenmanagement als Control. Regelmäßige Bewertung und zeitnahe Behebung.

Häufig gestellte Fragen zum Vulnerability Management

Was ist Vulnerability Management einfach erklärt?

Vulnerability Management ist der laufende Prozess, Sicherheitslücken in Ihren IT-Systemen zu finden und zu schließen. Wie eine regelmäßige Gesundheitsuntersuchung für Ihre IT: Scans erkennen die Schwachstellen, Experten bewerten das Risiko, und IT-Teams beheben die kritischsten zuerst.

Wie oft sollten Vulnerability Scans durchgeführt werden?

Externe Scans: mindestens monatlich, idealerweise wöchentlich. Interne Scans: mindestens quartalsweise, idealerweise monatlich. Nach jeder wesentlichen Änderung (neue Systeme, große Updates, Infrastrukturwechsel) zusätzlich. Continuous Scanning (tägliche Scans kritischer Systeme) wird zunehmend zum Standard.

Was ist der Unterschied zwischen Vulnerability Scan und Penetration Test?

Ein Vulnerability Scan ist automatisiert und identifiziert bekannte Schwachstellen in Software-Versionen. Ein Penetration Test wird manuell von Experten durchgeführt und versucht, Schwachstellen aktiv auszunutzen. Vulnerability Scans sind breiter und häufiger, Pen Tests tiefer und seltener. Beides ergänzt sich.

Welche Vulnerability Management Tools sind empfehlenswert?

Tenable Nessus/Tenable.io: Marktführer, umfangreichste Schwachstellendatenbank. Qualys VMDR: Cloud-native Plattform mit Asset-Inventar. Rapid7 InsightVM: Gutes Reporting und Risiko-Priorisierung. Microsoft Defender Vulnerability Management: Für Microsoft-zentrierte Umgebungen. Wiz: Cloud-native Vulnerability Management.

Was kostet Vulnerability Management?

Tools: 5.000-30.000 Euro/Jahr für KMU, 30.000-100.000 Euro/Jahr für Enterprises. Managed Vulnerability Management Service: 2.000-10.000 Euro/Monat. Interner Aufwand: 0,5-2 FTE für das operative VM-Programm, abhängig von der Anzahl der Assets.