Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Schwachstellenmanagement: Der vollständige Leitfaden

Schwachstellenmanagement (Vulnerability Management) systematisch umsetzen: von der Erkennung über Priorisierung bis zur Behebung - mit CVSS, EPSS und Patch-Strategien.

Inhaltsverzeichnis (6 Abschnitte)

Jedes Unternehmen hat Schwachstellen in seiner IT-Infrastruktur - die Frage ist nicht ob, sondern welche und wie viele. Schwachstellenmanagement ist der systematische Prozess, diese Lücken zu finden, zu bewerten und zu schließen, bevor Angreifer sie ausnutzen können.

Was ist Schwachstellenmanagement?

Schwachstellenmanagement (englisch: Vulnerability Management) ist ein kontinuierlicher Sicherheitsprozess, der Schwachstellen in IT-Systemen, Anwendungen und Netzwerken identifiziert, bewertet, priorisiert und behebt. Es ist kein einmaliges Projekt, sondern ein dauerhafter Betriebsprozess.

Eine Schwachstelle (Vulnerability) ist ein Fehler in Software, Hardware oder Konfigurationen, der von Angreifern ausgenutzt werden kann. Die bekannteste Datenbank ist das CVE-System (Common Vulnerabilities and Exposures) der MITRE Corporation, das Schwachstellen mit einer eindeutigen ID (z.B. CVE-2021-44228 für Log4Shell) catalogisiert.

Abgrenzung: Schwachstellenmanagement vs. Penetrationstest

SchwachstellenmanagementPenetrationstest
FrequenzKontinuierlich (wöchentlich/monatlich)Einmalig oder jährlich
MethodeAutomatisiertes ScanningManuelle Exploitation
TiefeBreite AbdeckungTiefe Analyse einzelner Angriffspfade
ZielGesamtüberblick über AngriffsflächeBeweis der Ausnutzbarkeit
ErgebnisSchwachstellenliste mit CVSS-ScoresDetaillierter Angriffsbericht mit Business Impact

Beide Verfahren ergänzen sich: Das Schwachstellenmanagement schafft die Datenbasis, der Penetrationstest validiert die kritischsten Risiken.

Der Vulnerability Management Lifecycle

Phase 1: Asset-Inventar aufbauen

Sie können nur schützen, was Sie kennen. Ein vollständiges Asset-Inventar umfasst:

  • Server (On-Premises, Cloud, VMs)
  • Endgeräte (Workstations, Laptops, Mobile)
  • Netzwerkgeräte (Router, Switches, Firewalls)
  • Anwendungen (Web-Apps, APIs, SaaS)
  • OT/IoT-Geräte in Produktion und Gebäudetechnik

Werkzeuge für die Asset-Erkennung: Nessus, Qualys, Tenable.io, Microsoft Defender for Endpoint, OpenVAS

Phase 2: Schwachstellen-Scanning

Authenticated vs. Unauthenticated Scans:

  • Unauthenticated: Scanner sieht das System aus Angreifersicht (extern). Schneller, aber weniger gründlich - viele Schwachstellen sind nur von innen sichtbar.
  • Authenticated: Scanner erhält Zugangsdaten und kann das System von innen analysieren. Deckt bis zu 10× mehr Schwachstellen auf.

Scan-Typen nach Umgebung:

Netzwerk-Scan:    Alle Hosts, offene Ports, Dienst-Versionen, Betriebssystem
Web-App-Scan:     SQL-Injection, XSS, IDOR, CSRF, Auth-Schwächen (OWASP Top 10)
Container-Scan:   Docker Images, Kubernetes-Konfigurationen, Registry-Schwachstellen
Cloud-Scan:       Fehlkonfigurationen in AWS/Azure/GCP (S3-Berechtigungen, IAM, etc.)
Code-Scan (SAST): Statische Analyse von Quellcode auf Sicherheitsmuster

Scan-Frequenz empfehlung:

  • Kritische Systeme: wöchentlich
  • Produktive Server: monatlich
  • Endgeräte: mindestens quartalsweise
  • Nach großen Änderungen: ad-hoc

Phase 3: Schwachstellen bewerten

Die Herausforderung: Ein typischer Scan produziert tausende von Befunden. Nicht alles ist gleich kritisch. Hier kommen Bewertungssysteme ins Spiel.

CVSS - Common Vulnerability Scoring System

CVSS (aktuell Version 4.0) bewertet Schwachstellen auf einer Skala von 0 bis 10 anhand von:

BereichFaktoren
Base MetricsAngriffs-Vektor, Komplexität, erforderliche Rechte, Nutzerinteraktion, Auswirkung auf CIA
Temporal MetricsExploit-Verfügbarkeit, Patch-Status
Environmental MetricsSchutzbedarf im eigenen Kontext

CVSS-Schweregrade:

ScoreSchweregrad
0.0None
0.1 - 3.9Low
4.0 - 6.9Medium
7.0 - 8.9High
9.0 - 10.0Critical

Wichtig: Ein CVSS-Score allein ist keine Priorisierung. Log4Shell hatte CVSS 10.0 - aber nicht alle Systeme nutzen Log4j.

EPSS - Exploit Prediction Scoring System

EPSS (entwickelt von FIRST) ergänzt CVSS mit einer Wahrscheinlichkeit in %, dass eine Schwachstelle innerhalb der nächsten 30 Tage aktiv in freier Wildbahn ausgenutzt wird. Datengrundlage: echte Exploit-Beobachtungen aus weltweitem Threat Intelligence.

Beispiel: CVE-2022-30190 (Follina, Microsoft MSDT)
CVSS Base Score:  7.8 (High)
EPSS Score:       95.7% Wahrscheinlichkeit der Ausnutzung

→ Sofortige Priorisierung trotz "nur" High-Rating

CISA KEV - Known Exploited Vulnerabilities

Die US-Behörde CISA führt eine bindende Katalogliste von Schwachstellen, die aktiv ausgenutzt werden. Für US-Bundesbehörden verpflichtend, für alle anderen Organisationen ein exzellentes Priorisierungssignal. Aktuell über 1.100 Einträge.

Priorisierungs-Matrix:

                          EPSS hoch          EPSS niedrig
                     ┌─────────────────┬──────────────────┐
CVSS Critical/High   │   SOFORT patchen │  Zeitnah patchen │
                     │   (24-72h)       │  (7-14 Tage)     │
                     ├─────────────────┼──────────────────┤
CVSS Medium/Low      │   Bald patchen   │  Normaler Zyklus │
                     │   (30 Tage)      │  (90+ Tage)      │
                     └─────────────────┴──────────────────┘

Phase 4: Priorisierung und Risikobewertung

Über reine Scores hinaus müssen Sie den geschäftlichen Kontext einbeziehen:

  • Ist das System nach außen erreichbar? (Erhöht Priorität massiv)
  • Welche Daten verarbeitet das System? (DSGVO-Relevanz, Schutzbedarf)
  • Gibt es Kompensationsmaßnahmen? (WAF, Network Segmentation, EDR)
  • Ist ein Exploit öffentlich verfügbar? (Metasploit-Modul, PoC-Code auf GitHub)
  • Ist das System in einer Prod/Dev/Test-Umgebung?

Ein Vulnerability Risk Rating kombiniert diese Faktoren zu einer praktischen Ampelskala (Rot/Orange/Gelb/Grün) für das Reporting an das Management.

Phase 5: Behebung und Remediation

Remediation-Typen:

TypBeschreibungWann sinnvoll
PatchOffizieller Hersteller-Patch einspielenImmer wenn verfügbar
UpgradeAuf neuere Version migrierenBei End-of-Life-Software
WorkaroundMitigationsmaßnahme ohne PatchWenn Patch (noch) nicht verfügbar
Compensating ControlZusätzliche Absicherung (z.B. WAF-Regel)Wenn Patch sofortige Verfügbarkeit unmöglich
AcceptRisiko akzeptieren (dokumentiert)Bei sehr niedrigem Risiko oder Aufwand >> Nutzen

SLA-Definitionen empfehlen:

Critical:  Patch innerhalb 24 Stunden
High:      Patch innerhalb 7 Tage
Medium:    Patch innerhalb 30 Tage
Low:       Patch innerhalb 90 Tage

Phase 6: Verifizierung

Nach dem Patchen muss die Behebung verifiziert werden:

  • Re-Scan des betroffenen Systems
  • Confirmation, dass der CVE nicht mehr detektiert wird
  • Dokumentation im Ticketsystem (JIRA, ServiceNow)

Phase 7: Reporting und Kennzahlen

Wichtige KPIs für das Schwachstellenmanagement:

KPIBeschreibungZielwert
MTTD (Mean Time to Detect)Ø Zeit bis zur Entdeckung< 7 Tage
MTTR (Mean Time to Remediate)Ø Zeit bis zur BehebungSLA-abhängig
Offene Critical VulnsAnzahl unbehandelter kritischer Schwachstellen0
Patch Compliance Rate% Systeme mit aktuellem Patch-Stand> 95%
Vulnerability DebtTrend der offenen Schwachstellen über ZeitSinkend

Schwachstellenmanagement und Compliance

NIS2-Anforderungen

Art. 21 NIS2 fordert explizit Maßnahmen zur Behandlung von Schwachstellen als Teil des Sicherheitskonzepts. Dazu gehören:

  • Regelmäßige Risikoanalysen und Sicherheitsprüfungen
  • Patch- und Änderungsmanagement-Prozesse
  • Vulnerability Disclosure Policies

BSI IT-Grundschutz OPS.1.1.3

Der BSI-Baustein OPS.1.1.3 Patch- und Änderungsmanagement definiert:

  • Anforderung an Softwareinventarisierung
  • Prozess zur Schwachstellenbewertung
  • Testumgebungen für Patches vor Produktiv-Einsatz
  • Notfall-Patch-Prozeduren für kritische Schwachstellen

ISO 27001 Annex A

A.12.6.1 Management technischer Schwachstellen verlangt:

  • Zeitnahe Identifikation von Schwachstellen
  • Bewertung der Gefährdung
  • Angemessene Maßnahmen zur Behandlung

Tooling-Landschaft

Kommerzielle Scanner

  • Tenable Nessus / Tenable.io - Marktführer, umfangreiche Plugin-Datenbank
  • Qualys VMDR - Cloud-native, gute Asset-Management-Integration
  • Rapid7 InsightVM - Starke Remediation-Workflows
  • Microsoft Defender Vulnerability Management - Gut integriert in Windows-Umgebungen

Open Source

  • OpenVAS / Greenbone - Kostenlose Alternative für kleinere Umgebungen
  • Trivy - Container und IaC Scanning
  • OWASP ZAP - Web Application Scanning

DevSecOps-Integration (Shift Left)

Developer-Pipeline:
  Code schreiben → SAST (z.B. SonarQube, Semgrep)
  Commit → Secret-Scan (Gitleaks, TruffleHog)
  Build → SCA (Dependency-Check, Snyk, Dependabot)
  Deploy → DAST (OWASP ZAP, Burp Suite Scan)
  Betrieb → VM-Scanner (Nessus, Qualys)

Häufige Fehler im Schwachstellenmanagement

  1. Scanning ohne Authentifizierung - Es werden nur ~20% der Schwachstellen gefunden
  2. Keine Asset-Vollständigkeit - Shadow IT und vergessene Systeme bleiben ungeschützt
  3. Priorisierung nur nach CVSS - Ohne Exploit-Daten (EPSS) viele Fehlpriorisierungen
  4. Patchen ohne Testen - Patches können Produktionssysteme destabilisieren
  5. Keine Verifizierung - Patches werden eingespielt, aber nicht geprüft
  6. Reporting an falsche Zielgruppe - IT braucht Tickets, Management braucht Risikotrends
  7. Isolation der Ergebnisse - Schwachstellen werden nicht mit Incident-Response verknüpft

Fazit

Schwachstellenmanagement ist das Fundament jedes ernsthaften Sicherheitsprogramms. Es kombiniert technisches Scanning mit strategischer Priorisierung und klaren Prozessen - von der Entdeckung bis zur Verifizierung der Behebung. Ohne diesen kontinuierlichen Prozess bleibt jede andere Sicherheitsinvestition wirkungslos, weil die Eintrittspunkte für Angreifer offen bleiben.

Quellen & Referenzen

  1. [1] NIST SP 800-40 Rev. 4: Guide to Enterprise Patch Management - NIST
  2. [2] CVE Program - MITRE / CISA
  3. [3] EPSS - Exploit Prediction Scoring System - FIRST
  4. [4] BSI IT-Grundschutz OPS.1.1.3: Patch- und Änderungsmanagement - BSI

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 03.03.2026 bearbeitet. Verantwortlich: Vincent Heinen, Abteilungsleiter Offensive Services bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung