Vulnerability Management: Systematisches Schwachstellenmanagement in der Praxis

Vulnerability Management (VM) ist der kontinuierliche Prozess, Schwachstellen in IT-Systemen zu erkennen, zu bewerten, zu priorisieren und zu beheben. Es ist ein fundamentaler Bestandteil jedes ISMS und wird explizit von ISO 27001 (A.8.8), NIS2 und den CIS Controls (Control 7) gefordert.

Der Vulnerability-Management-Zyklus

VM-Prozess (kontinuierlich, nicht einmalig!):

Phase 1: Asset Discovery
  → Was scannen wir überhaupt?
  → Vollständiges Asset-Inventar als Basis (ohne = blinde Flecken!)
  → Scope: alle IP-Ranges, Cloud-Ressourcen, Web-Apps

Phase 2: Vulnerability Scanning
  → Regelmäßige authentifizierte Scans
  → Unauthentifiziert: findet weniger, aber extern-sichtbares Risiko
  → Authentifiziert: vollständiges Bild der installierten Software + Patches
  → Frequenz: kritische Systeme wöchentlich, alle anderen monatlich

Phase 3: Vulnerability Assessment
  → Bewertung der gefundenen Schwachstellen
  → CVSS Score: Schwere (technisch)
  → Kontext: ist das System exponiert? hat es sensitive Daten?
  → False Positive Filtering: welche Findings sind real?

Phase 4: Priorisierung
  → Nicht alle CVSS-10-Schwachstellen sind gleichzeitig dringend
  → EPSS: wie wahrscheinlich ist Exploitation in den nächsten 30 Tagen?
  → Business Impact: welche Systeme sind kritisch für den Betrieb?

Phase 5: Remediation
  → Patchen: Update durchführen
  → Mitigieren: Workaround wenn kein Patch verfügbar
  → Akzeptieren: dokumentiertes Risiko mit Begründung
  → SLA einhalten: siehe Patch-SLA-Tabelle

Phase 6: Verifikation
  → Wurde Patch wirklich angewendet?
  → Rescan nach Patch: Finding verschwunden?
  → Close-out: Finding schließen und dokumentieren

Phase 7: Reporting und Metriken
  → Was ist der Trend? Werden wir besser oder schlechter?
  → Mean Time to Remediate (MTTR) pro Severity
  → Offene Findings über Zeit: abnehmendes Risiko?
  → Management-Report: Executive-Summary

CVSS vs. EPSS - wie priorisieren?

CVSS-Score allein ist unzureichend:

CVSS (Common Vulnerability Scoring System):
  → Bewertet die technische Schwere einer Schwachstelle (0-10)
  → Berücksichtigt: Angriffspfad, Komplexität, Rechte, Impact
  → Problem: bewertet NICHT wie wahrscheinlich Exploitation ist
  → Ca. 25.000 neue CVEs/Jahr → CVSS 9-10: immer noch Hunderte!
  → Ergebnis: Priorisierung nach CVSS → "alle 9.0+ zuerst" → zu viele

EPSS (Exploit Prediction Scoring System):
  → FIRST.org-Initiative, kostenlos
  → Schätzt: Wahrscheinlichkeit dass CVE in den nächsten 30 Tagen aktiv exploited wird
  → 0-1 (0% - 100% Wahrscheinlichkeit)
  → Basierend auf: POC-Verfügbarkeit, Bedrohungs-Intelligence, Scan-Daten
  → Wird täglich aktualisiert!

Beispiel Priorisierungsmatrix:
  CVE             CVSS  EPSS    Empfehlung
  CVE-2021-44228  10.0  0.975   SOFORT (Log4Shell, aktiv exploited!)
  CVE-2023-12345  9.8   0.004   Weniger dringend (kein aktiver Exploit)
  CVE-2022-67890  7.5   0.89    DRINGEND (niedriger CVSS, aber aktiv exploited!)

  → CVE-2023-12345 trotz CVSS 9.8 weniger dringend als CVE-2022-67890 (7.5)!
  → CVSS + EPSS kombinieren: der beste Ansatz

CISA KEV (Known Exploited Vulnerabilities):
  → cisa.gov/known-exploited-vulnerabilities-catalog
  → Offiziell in the wild exploited, kostenlos
  → US-Bundesbehörden: Pflicht zum Patchen innerhalb von Fristen
  → Für alle: beste "sofort patchen"-Liste
  → Täglich aktualisiert
  → Automatisch abonnieren: API oder RSS-Feed

Vulnerability Context (eigene Umgebung):
  → Ist das System im Internet erreichbar? (x3 Dringlichkeit)
  → Enthält das System sensitive Daten? (x2 Dringlichkeit)
  → Gibt es Mitigationen die CVSS-Score faktisch senken?
    (Firewall blockiert den Angriffsvektor → faktisch nicht ausnutzbar)

Scanner und Tools

Vulnerability-Scanner im Vergleich:

Open Source:

OpenVAS / Greenbone Community Edition:
  → Kompletlösung: Scanner + Verwaltung + Reporting
  → Täglich aktualisierte NVTs (Network Vulnerability Tests)
  → Docker-basierte Deployment:
    docker pull greenbone/community-edition
    docker compose -f docker-compose.yml -p greenbone-community-edition up

  Authentifizierter Scan (deutlich mehr Findings!):
  → SSH-Schlüssel oder Windows-Credentials hinterlegen
  → Scan-Policy: Full and Very Deep
  → Frequenz: wöchentlich für Server, täglich für kritische Systeme

Nessus Essentials (kostenlos bis 16 IPs):
  → Branchenbester Scanner, Essentials-Version kostenlos
  → Bis 16 Hosts scannen
  → Plugins: täglich aktualisiert
  → Gut für: Einstieg und kleine Umgebungen

---

Kommerziell:

Tenable Nessus Pro / io:
  → Unbegrenzte Hosts
  → Web-basierte Verwaltung
  → CI/CD Integration
  → Preise: ab ~3.000 EUR/Jahr

Rapid7 InsightVM:
  → Live-Dashboards, Trending
  → Agenten-basiert für Laptops (auch wenn Off-Network)
  → Integration in SIEM und Ticketsysteme
  → Enterprise-Preise

Qualys VMDR:
  → Cloud-basiert, kein lokaler Scanner nötig
  → Sehr breite Plattform (WAF, Policy Compliance, PC)
  → Großunternehmen-Fokus

---

Spezialisierte Scanner:

Web-Applikationen:
  → OWASP ZAP (kostenlos)
  → Burp Suite Enterprise (kommerziell)
  → Nuclei (kostenlos, Template-basiert)
  → Nikto (kostenlos, alt aber schnell)

Container:
  → Trivy (kostenlos, Aquasecurity)
  → Grype (kostenlos, Anchore)
  → Snyk Container (freemium)

Cloud-Konfiguration:
  → Prowler (kostenlos, AWS/Azure/GCP)
  → ScoutSuite (kostenlos)
  → Wiz (kommerziell, führend)

Code-Abhängigkeiten (SCA):
  → Snyk (freemium)
  → OWASP Dependency-Check (kostenlos)
  → GitHub Dependabot (kostenlos für GitHub-Repos)

Patch-SLAs und Metriken

Patch-SLAs (Service Level Agreements):

Severity       Angriffsfläche  Patch-SLA
Critical (9-10) Extern         24 Stunden
Critical (9-10) Intern         72 Stunden
High (7-8)      Extern         7 Tage
High (7-8)      Intern         14 Tage
Medium (4-6)    Alle           30 Tage
Low (0-3)       Alle           90 Tage (oder akzeptieren)

CISA KEV:       Immer sofort, unabhängig von CVSS!

Ausnahme-Management:
  → SLA nicht einhaltbar? → dokumentiertes Risiko-Akzeptanz
  → "CVE-2023-XXXXX: Patch nicht verfügbar, Mitigierung: WAF-Rule aktiv"
  → Alle Ausnahmen: Genehmigung durch CISO/Leitung
  → Quartalsmäßige Überprüfung offener Ausnahmen

VM-Metriken für Management-Reporting:

  Metric                    Zielwert       Formel
  Vulnerability Discovery   < 48h          Zeit bis neues CVE im System
  Patch Compliance Rate     > 95%          gepatchte VMs / alle VMs
  Mean Time to Remediate    < 7d (CRIT)    Durchschnitt aller geheilten Findings
  Overdue Findings          0              Critical/High außerhalb SLA
  Attack Surface Reduction  Trend ↓        Findings über Zeit
  Scanner Coverage          > 95%          gescannte Assets / alle Assets

Reporting-Vorlage (monatlich):
  □ Neue Vulnerabilities diesen Monat: X
  □ Behobene Vulnerabilities: Y
  □ Offene Critical: Z (Trend: ↑/↓)
  □ SLA-Einhaltung: X% (Ziel: >95%)
  □ Top-5 riskanteste Assets: [Liste]
  □ Empfehlungen: [was als nächstes]

VM in die Entwicklung integrieren (Shift Left)

Vulnerability Management im SDLC:

Code-Phase (Entwickler-Workstation):
  → IDE-Plugin: Snyk oder SonarLint zeigt CVEs in Abhängigkeiten sofort
  → Pre-commit: pip-audit / npm audit vor jedem Commit
  → Kosten: 0 EUR, Zeit: 5 Minuten Setup

CI/CD-Phase (Pipeline):
  → SCA-Scan: alle Abhängigkeiten auf CVEs prüfen
  → Container-Scan: Trivy auf jedes gebuildetes Image
  → IaC-Scan: Checkov auf Terraform/CloudFormation
  → Fail-Fast: Critical = Pipeline stoppen!

Staging-Phase:
  → DAST: ZAP oder Nuclei gegen laufende Anwendung
  → Web-App-Vulnerabilities vor Produktion finden

Produktions-Phase:
  → Kontinuierlicher Scan (wöchentlich/täglich für kritische Systeme)
  → RASP: Runtime Application Self-Protection (optional)
  → WAF: virtuelle Patches bis realer Patch verfügbar

"Virtual Patching" via WAF:
  → CVE bekannt, Patch noch nicht verfügbar?
  → WAF-Regel blockiert Angriff auf diese spezifische Schwachstelle
  → Kurzfristig: Schutz während Patch vorbereitet wird
  → NICHT dauerhaft! Kein Ersatz für echten Patch.