Vulnerability Management.

Vulnerability Management ist der Zyklus aus Erkennung, Priorisierung, Behebung und Verifikation von Schwachstellen in Ihrer Infrastruktur. Scanner melden Tausende von Befunden; die eigentliche Disziplin liegt in der Priorisierung (Asset-Kritikalität, Exploit-Verfügbarkeit und geschäftliche Exposition) und nicht im Scan selbst. CVE, CVSS und KEV bilden dabei das grundlegende Vokabular.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Die Einschätzung der Cyber Academy

Vulnerability Management ist der Zyklus aus Erkennung, Priorisierung, Behebung und Verifikation von Schwachstellen in Ihrer Infrastruktur. Scanner melden Tausende von Befunden; die eigentliche Disziplin liegt in der Priorisierung (Asset-Kritikalität, Exploit-Verfügbarkeit und geschäftliche Exposition) und nicht im Scan selbst. CVE, CVSS und KEV bilden dabei das grundlegende Vokabular.

Ein Zyklus, kein Scan

Schwachstellenmanagement wird oft auf das «Starten des Scanners» reduziert, doch der Scan ist der einfache Teil. Die Disziplin ist ein sich wiederholender Zyklus: ein genaues Inventar dessen führen, was man besitzt, die Schwächen auf diesen Assets aufdecken, die wenigen priorisieren, auf die es wirklich ankommt, sie beheben und überprüfen, dass die Korrektur Bestand hatte. Ein moderner Scanner liefert auf einem mittelgroßen Bestand Tausende von Befunden. Diese Liste als Aufgabenwarteschlange zu behandeln, ist der Weg, auf dem Teams ausbrennen, während ihre tatsächliche Exposition offen bleibt. Der Wert liegt im Trichter, von Tausenden roher Befunde bis hin zur kleinen Menge, an der man diese Woche arbeitet.

Es hängt auch von etwas ab, das die meisten Teams unterschätzen: den eigenen Bestand zu kennen. Eine Schwachstelle auf einem zum Internet exponierten Server, auf dem eine geschäftskritische Anwendung läuft, ist ein anderes Problem als derselbe Fehler auf einem isolierten Testsystem. Ohne Asset-Inventar und Verantwortlichkeit hat die Priorisierung keine Grundlage, weshalb der Zyklus mit Entdeckung und Identifikation beginnt und nicht mit dem Scan selbst.

Das Vokabular: CVE, CVSS und KEV

Drei Bezugspunkte tragen den Großteil der Priorisierungsdiskussion, und Praktiker nutzen sie in Kombination statt einzeln.

Wie CVE, CVSS und KEV verwendet werden
BegriffWas es istWas es dir sagt
CVEEin eindeutiger Bezeichner für eine öffentlich offengelegte SchwachstelleEin gemeinsamer Name, damit alle über denselben Fehler über Werkzeuge und Sicherheitshinweise hinweg sprechen.
CVSSEin Bewertungsrahmen, der den Schweregrad einstuftWie schwerwiegend der Fehler in der Theorie ist, gemessen an Auswirkung und Ausnutzbarkeitsmerkmalen. Ein Ausgangspunkt, kein Urteil.
KEVEin Katalog von Schwachstellen, die bekanntermaßen in freier Wildbahn ausgenutzt werdenOb Angreifer sie tatsächlich gerade jetzt nutzen, was die Priorität in der realen Welt deutlich erhöht.

Der häufige Fehler besteht darin, nach CVSS-Wert zu sortieren und von oben nach unten zu arbeiten. Ein hoher CVSS auf einem Asset, das niemand erreichen kann, zählt weniger als ein mittel bewerteter Fehler, der in einem Katalog bekannt ausgenutzter Schwachstellen auf einem exponierten System steht. Reife Programme verbinden den theoretischen Schweregrad mit realen Signalen: gibt es einen funktionierenden Exploit, wird die Schwachstelle aktiv ausgenutzt, und wie exponiert und kritisch ist das betroffene Asset. Diese Kombination, nicht der reine Wert, steuert die Warteschlange.

Priorisierung ist die ganze Arbeit

Die ehrliche Einordnung ist, dass die Priorisierung das Produkt des Schwachstellenmanagements ist. Die Eingaben sind die Kritikalität des Assets, die Verfügbarkeit eines Exploits und die geschäftliche Exposition, und das Ergebnis ist eine vertretbare Entscheidung darüber, was zuerst behoben wird und was wartet. Hier verdient die Funktion ihren Wert, denn kein Team kann oder sollte alles auf einmal beheben.

  1. Kritikalität des Assets: was das System für das Geschäft leistet und was es bei einer Kompromittierung erreichen kann.
  2. Verfügbarkeit eines Exploits: ob ein funktionierender Exploit existiert und ob der Fehler in freier Wildbahn genutzt wird.
  3. Geschäftliche Exposition: ist das Asset zum Internet exponiert, welche Daten enthält es, und welche kompensierenden Kontrollen sind ihm bereits vorgelagert.

Wo es in die Governance passt

Schwachstellenmanagement ist selten optional, sobald man sich innerhalb eines anerkannten Rahmens befindet. Ein ISO/IEC 27001 ISMS erwartet einen definierten Prozess zur Handhabung technischer Schwachstellen, und Auditoren werden verlangen, den Zyklus in Betrieb zu sehen, nicht nur eine Scanner-Lizenz.

Das NIST Cybersecurity Framework behandelt das Identifizieren und Handhaben von Schwachstellen als zentral für die Funktionen Identify und Protect, und Vorschriften wie NIS2 und DORA setzen voraus, dass Organisationen Schwächen aktiv finden und beheben, statt darauf zu warten, dass ein Vorfall sie offenlegt. In jedem Fall hat der Nachweis, den ein Prüfer wünscht, dieselbe Form: wie ihr entdeckt, wie ihr priorisiert, die SLAs, gegen die ihr behebt, und die Kennzahlen, die belegen, dass sich der Zyklus schließt.

Frequently asked questions

01Was ist der Unterschied zwischen Schwachstellenmanagement und Patch-Management?

Schwachstellenmanagement ist der vollständige Zyklus aus Entdecken, Priorisieren, Beheben und Überprüfen von Schwächen über euren Bestand hinweg. Patch-Management ist der engere operative Prozess, eine veröffentlichte Korrektur nach einem definierten SLA anzuwenden, mit Überprüfung. Patchen ist ein gängiger Behebungsweg innerhalb des Schwachstellenmanagements, aber nicht der einzige.

02Sollte ich einfach zuerst die höchsten CVSS-Werte beheben?

Nein. CVSS bewertet den theoretischen Schweregrad, ignoriert aber, ob der Fehler erreichbar ist, in freier Wildbahn ausgenutzt wird oder auf einem kritischen Asset sitzt. Eine bessere Reihenfolge verbindet CVSS mit der Verfügbarkeit eines Exploits, dem Status als bekannt ausgenutzte Schwachstelle und eurer eigenen Asset-Kritikalität und -Exposition.

03Was sind CVE, CVSS und KEV?

CVE ist der gemeinsame Bezeichner für eine bestimmte offengelegte Schwachstelle. CVSS ist ein Rahmen, der bewertet, wie schwerwiegend eine Schwachstelle ist. KEV ist ein Katalog von Schwachstellen, die bekanntermaßen aktiv ausgenutzt werden, was ihre Priorität in der realen Welt deutlich erhöht.

04Warum ist das Asset-Inventar Teil des Schwachstellenmanagements?

Man kann nicht priorisieren, was man nicht sehen kann. Derselbe Fehler ist auf einem isolierten Testsystem belanglos und auf einem exponierten, geschäftskritischen Server dringend. Genaues Inventar und Verantwortlichkeit sind das, was es euch erlaubt, eine flache Liste von Befunden in eine vertretbare Behebungsreihenfolge zu verwandeln.

05Ist Schwachstellenmanagement für die Compliance erforderlich?

Faktisch ja, innerhalb der meisten Rahmenwerke. ISO/IEC 27001 erwartet einen gesteuerten Prozess für technische Schwachstellen, das NIST CSF baut es in die Funktionen Identify und Protect ein, und Vorschriften wie NIS2 und DORA setzen voraus, dass ihr Schwächen aktiv findet und behebt. Prüfer suchen nach dem Zyklus, den SLAs und den Kennzahlen, nicht nur nach einem Scan-Bericht.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.