Schwachstellenmanagement
2025-01-01

Überblick#

Schwachstellenmanagement hält Software, Infrastruktur und Geräte widerstandsfähig, indem kontinuierlich Schwachstellen identifiziert und zeitnah beseitigt werden. Ein belastbares Programm verbindet automatisierte Erkennung mit risikobasierter Priorisierung, klarer Eigentümerschaft und Nachweisen, dass Maßnahmen umgesetzt wurden.

Kernziele#

  • Vollständiges, aktuelles Asset-Inventar mit eindeutiger Verantwortlichkeit pflegen.
  • Schwachstellen aus mehreren Quellen erkennen: Scanner, SBOM-Feeds, Bug-Bounty, Threat Intelligence und Herstellerhinweise.
  • Funde nach Ausnutzbarkeit, Geschäftsauswirkung und Expositionsdauer priorisieren – nicht nur nach CVSS.
  • Sicherstellen, dass Behebungen oder kompensierende Kontrollen mit Nachweis bis zum Abschluss verfolgt werden.

Umsetzungshinweise#

  • Scantakte standardisieren: Authentifizierte Scans für Server, Agentenabdeckung für Endpoints und Dependency-Scans in CI/CD.
  • Service-Level-Ziele festlegen (z. B. kritisch in 7 Tagen, hoch in 14) mit automatischen Eskalationen bei Verzug.
  • Ticket-Erstellung mit Asset-Ownern verknüpfen und Fix-Hinweise, Testfälle sowie Rollback-Schritte einbeziehen.
  • Für Ausnahmen Risikoakzeptanz mit Ablaufdatum und regelmäßiger Neubewertung verlangen.

Betriebssignale#

  • Frühindikatoren: wachsender Rückstau an Kritikalitäten, Abdeckungslücken oder wiederholte Verschiebungen für dieselben Asset-Gruppen.
  • Spätindikatoren: Vorfälle durch bekannte, aber ungepatchte CVEs, fehlgeschlagene Audits oder Beanstandungen von Aufsichtsbehörden.
  • Feedback-Schleifen: Wöchentliche Risikobewertung der Top-10-Assets, Patch-Erfolgsquoten und Rescans zur Bestätigung der Schließung.

Runbook-Essentials#

  • Neuer-CVE-Workflow: betroffene Assets über SBOM oder Inventar-Tags ermitteln → Owner informieren → Fristen je nach Schwere setzen → Fix per Rescan validieren.
  • Zero-Day-Behandlung: Hersteller-Mitigations anwenden, exponierte Dienste isolieren, WAF/IPS-Signaturen aktivieren und Patch-Fenster planen.
  • Wartungsfenster: Mit Change-Management abstimmen, Ausfallrisiken minimieren und Rückfallpläne bereitstellen.

Verwandte Praktiken#

  • Patch-Management, Konfigurations-Baselines und sichere Build-Pipelines reduzieren wiederkehrende Schwachstellen.
  • Threat Intelligence hilft, Funde neu zu bewerten, wenn Ausnutzung in freier Wildbahn auftritt.
  • Detection Engineering sollte Ausnutzungsversuche ungepatchter Schwachstellen überwachen, solange Remediation läuft.