← Zurück zum Blog
ISO 27001 9 Min. Lesezeit

ISO 27001 Vulnerability Management: Was die Norm wirklich fordert

Schwachstellenmanagement ist ein Kernbestandteil jedes ISMS. Aber was genau verlangt ISO 27001? Dieser Guide erklärt die Anforderungen und zeigt, wie Sie sie praktisch umsetzen.


Die relevanten Controls

ISO 27001:2022 definiert Vulnerability Management in Annex A:

A.8.8 — Management technischer Schwachstellen

„Informationen über technische Schwachstellen der genutzten Informationssysteme sind zu beschaffen, die Gefährdung der Organisation durch diese Schwachstellen ist zu bewerten und geeignete Maßnahmen sind zu ergreifen."

Zusätzlich relevant:

ControlBeschreibung
A.8.8Management technischer Schwachstellen
A.8.9Konfigurationsmanagement
A.8.19Installation von Software auf operativen Systemen
A.8.32Änderungsmanagement
A.5.7Threat Intelligence

Was Auditoren erwarten

1. Prozess-Dokumentation

Ein dokumentierter Vulnerability-Management-Prozess mit:

2. Asset-Inventar

Vollständiges Inventar aller IT-Assets:

Ohne Inventar kann kein vollständiger Scan erfolgen.

3. Regelmäßige Scans

Best Practice Scan-Frequenz

Kritische Systeme: Wöchentlich oder kontinuierlich
Standard-Systeme: Monatlich
Nach Änderungen: Sofort

4. Dokumentierte Behebung

Auditoren wollen sehen:

5. KPIs und Reporting

KPIZiel
Mittlere Erkennungszeit (MTTD)<24 Std.
Mittlere Behebungszeit (MTTR) — Kritisch<72 Std.
MTTR — Hoch<7 Tage
MTTR — Mittel<30 Tage
Scan-Abdeckung100%
Offene kritische Schwachstellen0

Vulnerability-Management-Prozess

Phase 1: Identifikation

  1. Asset-Discovery durchführen
  2. Vulnerability Scanner konfigurieren
  3. Regelmäßige Scans ausführen
  4. Threat Intelligence einbinden

Phase 2: Analyse & Priorisierung

  1. Schwachstellen nach CVSS bewerten
  2. Kontext berücksichtigen (Erreichbarkeit, Kritikalität des Assets)
  3. Exploitability prüfen (gibt es aktive Exploits?)
  4. Priorisierte Liste erstellen

Phase 3: Behebung

  1. Patches einspielen
  2. Konfigurationsänderungen durchführen
  3. Workarounds implementieren (wenn kein Patch verfügbar)
  4. Kompensationsmaßnahmen dokumentieren

Phase 4: Verifizierung

  1. Re-Scan durchführen
  2. Behebung bestätigen
  3. Dokumentation abschließen
  4. Ticket schließen

Phase 5: Reporting

  1. Management-Reports erstellen
  2. KPIs tracken
  3. Trends analysieren
  4. Kontinuierliche Verbesserung

Audit-Checkliste

AnforderungNachweisStatus
Dokumentierter VM-ProzessPolicy-Dokument
Vollständiges Asset-InventarCMDB / Asset-Liste
Definierte Scan-FrequenzScan-Schedule
PriorisierungsschemaBewertungsmatrix
Behebungsfristen definiertSLA-Dokument
Scan-Reports archiviertHistorische Scans
Behebung dokumentiertTicket-System
Verifizierung durchgeführtRe-Scan-Reports
Ausnahmen genehmigtRisikoakzeptanz
KPIs definiertDashboard/Reports
Management-ReportingRegelmäßige Reports

Wie KENSAI ISO 27001 unterstützt

Audit-ready in wenigen Klicks

KENSAI automatisiert den gesamten Vulnerability-Management-Prozess und liefert die Dokumentation, die Auditoren sehen wollen.

ISO 27001-ready werden

Starten Sie mit einem kostenlosen Scan — Ergebnisse in 60 Sekunden.

Jetzt scannen →

Weiterführende Artikel

Compliance durch Automatisierung.

🗡️ Das KENSAI Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home