Vulnerability Management

Vulnerability Management (VM) ist der strukturierte, kontinuierliche Prozess zur Erkennung, Klassifizierung, Priorisierung und Behebung von Sicherheitsschwachstellen in IT-Systemen. Der Unterschied zu einem einmaligen Pentest ist fundamental: Ein Penetrationstest ist eine Momentaufnahme, die zeigt, wie das System heute aussieht. VM ist ein dauerhafter Prozess, der sicherstellt, dass neue Schwachstellen erkannt werden – bei jedem neuen CVE, jeder Konfigurationsänderung, jeder neuen Systemkomponente.

Ein vollständiges VM-Programm umfasst weit mehr als das Abonnement eines Vulnerability-Scanners. Es braucht vollständige Asset-Sichtbarkeit (man kann nicht scannen, was man nicht kennt), einen definierten Scan-Rhythmus (kontinuierlich für kritische Systeme, wöchentlich oder monatlich für andere), klare Priorisierungskriterien, Verantwortlichkeiten für die Behebung, SLAs für verschiedene Schwachstellenklassen, Ausnahme-Management für Schwachstellen, die nicht sofort behoben werden können, und KPIs zur Messung der Programm-Effektivität.

Viele Unternehmen haben Schwachstellenscanner im Einsatz, aber kein VM-Programm: Scans laufen unregelmäßig, Ergebnisse werden nicht priorisiert, Tickets werden erstellt aber nicht konsequent verfolgt, und Ausnahmen werden mündlich vereinbart. Das Ergebnis ist ein wachsender Backlog ohne klar messbare Risikoreduktion. Wir helfen Ihnen, aus einer Scan-Praxis ein funktionierendes Programm zu machen.

CVSS (Common Vulnerability Scoring System) ist ein nützliches Werkzeug zur Einschätzung der technischen Schwere einer Schwachstelle – aber als alleiniges Priorisierungskriterium unzureichend. Ein CVSS 9.8 auf einem isolierten internen System ist weniger dringlich als ein CVSS 6.5 auf einem öffentlich erreichbaren Webserver. Und eine Schwachstelle mit CVSS 7.0, für die ein Exploit-Kit existiert und die aktiv in Ransomware-Kampagnen ausgenutzt wird, ist kritischer als eine theoretische CVSS 9.0 ohne bekannte Ausnutzung.

Wir entwickeln risikobasierte Priorisierungsmodelle, die mehrere Faktoren kombinieren: CVSS-Score als Basisindikator, EPSS (Exploit Prediction Scoring System) für die Wahrscheinlichkeit aktiver Ausnutzung, CISA KEV (Known Exploited Vulnerabilities) als Signal für tatsächlich aktiv genutzte Schwachstellen, Asset-Kritikalität (was wäre der Schaden, wenn dieses System kompromittiert wird?), Netzwerk-Exposition (intern vs. DMZ vs. Internet-exponiert) und Kompensationsmaßnahmen (ist ein WAF oder IPS vorgelagert?).

Das Ergebnis ist eine priorisierte Arbeitsliste, die Ressourcen auf die tatsächlich riskantesten Schwachstellen lenkt – statt alle gleichmäßig zu behandeln. In einer durchschnittlichen Unternehmensumgebung gibt es Tausende offene CVEs; mit risikobasierter Priorisierung konzentriert sich die Arbeit auf die 1-5 %, die das reale Risikoprofil dominieren.

VM funktioniert nicht als isolierter Prozess. Die enge Integration mit Patch Management ist essenziell: VM identifiziert Schwachstellen, Patch Management schließt sie. Beide Prozesse brauchen dieselbe Asset-Inventarisierung, und das Ticketing-System verbindet sie. Wir stellen sicher, dass der Datenfluss zwischen VM-Plattform (Tenable, Qualys, Rapid7) und Patch-Management-Tools (SCCM, Intune, Ansible) automatisiert und ohne Reibungsverluste funktioniert.

Die Effektivität eines VM-Programms wird durch KPIs messbar. Wichtige Metriken sind: Mean Time to Remediate (MTTD) nach Schwachstellenklasse, Patch-Compliance-Rate (Anteil der Systeme ohne kritische offene Schwachstellen), Scan-Coverage (Anteil der inventarisierten Systeme, die tatsächlich gescannt werden), und Ausnahmen-Backlog (wie viele Schwachstellen sind als Ausnahme genehmigt und warum). Diese KPIs machen das Programm für das Management nachvollziehbar und für Auditoren nachweisbar.

VM-Programme scheitern oft nicht an der Technik, sondern an der Organisation: Wenn Verantwortlichkeiten unklar sind, SLAs nicht eingehalten werden und Eskalationswege nicht funktionieren, sammeln sich Schwachstellen an statt behoben zu werden. Wir helfen dabei, nicht nur die technischen Werkzeuge einzurichten, sondern auch die Governance-Strukturen, die das Programm langfristig wirksam halten.