← Zurück zum Blog
ISO 27001
9 Min. Lesezeit
ISO 27001 Vulnerability Management: Was die Norm wirklich fordert
Schwachstellenmanagement ist ein Kernbestandteil jedes ISMS. Aber was genau verlangt ISO 27001? Dieser Guide erklärt die Anforderungen und zeigt, wie Sie sie praktisch umsetzen.
Die relevanten Controls
ISO 27001:2022 definiert Vulnerability Management in Annex A:
A.8.8 — Management technischer Schwachstellen
„Informationen über technische Schwachstellen der genutzten Informationssysteme sind zu beschaffen, die Gefährdung der Organisation durch diese Schwachstellen ist zu bewerten und geeignete Maßnahmen sind zu ergreifen."
Zusätzlich relevant:
| Control | Beschreibung |
| A.8.8 | Management technischer Schwachstellen |
| A.8.9 | Konfigurationsmanagement |
| A.8.19 | Installation von Software auf operativen Systemen |
| A.8.32 | Änderungsmanagement |
| A.5.7 | Threat Intelligence |
Was Auditoren erwarten
1. Prozess-Dokumentation
Ein dokumentierter Vulnerability-Management-Prozess mit:
- Verantwortlichkeiten definiert (Wer scannt? Wer behebt?)
- Scan-Frequenz festgelegt
- Priorisierungskriterien (z.B. CVSS-basiert)
- Behebungsfristen nach Kritikalität
- Eskalationspfade
- Ausnahme-Prozess (wenn Patch nicht möglich)
2. Asset-Inventar
Vollständiges Inventar aller IT-Assets:
- Server und Workstations
- Netzwerkgeräte
- Anwendungen und Versionen
- Cloud-Ressourcen
- IoT/OT-Geräte
Ohne Inventar kann kein vollständiger Scan erfolgen.
3. Regelmäßige Scans
Best Practice Scan-Frequenz
Kritische Systeme: Wöchentlich oder kontinuierlich
Standard-Systeme: Monatlich
Nach Änderungen: Sofort
4. Dokumentierte Behebung
Auditoren wollen sehen:
- Wann wurde die Schwachstelle entdeckt?
- Wie wurde sie priorisiert?
- Wann wurde sie behoben?
- Wurde die Behebung verifiziert?
- Falls nicht behoben: Warum? Welche Kompensationsmaßnahmen?
5. KPIs und Reporting
| KPI | Ziel |
| Mittlere Erkennungszeit (MTTD) | <24 Std. |
| Mittlere Behebungszeit (MTTR) — Kritisch | <72 Std. |
| MTTR — Hoch | <7 Tage |
| MTTR — Mittel | <30 Tage |
| Scan-Abdeckung | 100% |
| Offene kritische Schwachstellen | 0 |
Vulnerability-Management-Prozess
Phase 1: Identifikation
- Asset-Discovery durchführen
- Vulnerability Scanner konfigurieren
- Regelmäßige Scans ausführen
- Threat Intelligence einbinden
Phase 2: Analyse & Priorisierung
- Schwachstellen nach CVSS bewerten
- Kontext berücksichtigen (Erreichbarkeit, Kritikalität des Assets)
- Exploitability prüfen (gibt es aktive Exploits?)
- Priorisierte Liste erstellen
Phase 3: Behebung
- Patches einspielen
- Konfigurationsänderungen durchführen
- Workarounds implementieren (wenn kein Patch verfügbar)
- Kompensationsmaßnahmen dokumentieren
Phase 4: Verifizierung
- Re-Scan durchführen
- Behebung bestätigen
- Dokumentation abschließen
- Ticket schließen
Phase 5: Reporting
- Management-Reports erstellen
- KPIs tracken
- Trends analysieren
- Kontinuierliche Verbesserung
Audit-Checkliste
| Anforderung | Nachweis | Status |
| Dokumentierter VM-Prozess | Policy-Dokument | ☐ |
| Vollständiges Asset-Inventar | CMDB / Asset-Liste | ☐ |
| Definierte Scan-Frequenz | Scan-Schedule | ☐ |
| Priorisierungsschema | Bewertungsmatrix | ☐ |
| Behebungsfristen definiert | SLA-Dokument | ☐ |
| Scan-Reports archiviert | Historische Scans | ☐ |
| Behebung dokumentiert | Ticket-System | ☐ |
| Verifizierung durchgeführt | Re-Scan-Reports | ☐ |
| Ausnahmen genehmigt | Risikoakzeptanz | ☐ |
| KPIs definiert | Dashboard/Reports | ☐ |
| Management-Reporting | Regelmäßige Reports | ☐ |
Wie KENSAI ISO 27001 unterstützt
Audit-ready in wenigen Klicks
KENSAI automatisiert den gesamten Vulnerability-Management-Prozess und liefert die Dokumentation, die Auditoren sehen wollen.
- ✅ Automatische Scans: Konfigurierbare Frequenz (täglich bis monatlich)
- ✅ Vollständiger Audit-Trail: Wer, wann, was — lückenlos
- ✅ CVSS-Priorisierung: Automatisch nach Kritikalität sortiert
- ✅ KI-gestützte Behebung: Patches werden generiert, Zeit bis zur Behebung sinkt
- ✅ Deutsche Reports: PDF-Export für Auditoren
- ✅ KPI-Dashboard: MTTD, MTTR, Abdeckung auf einen Blick
- ✅ Re-Scan-Verifizierung: Automatische Bestätigung der Behebung
ISO 27001-ready werden
Starten Sie mit einem kostenlosen Scan — Ergebnisse in 60 Sekunden.
Jetzt scannen →
Weiterführende Artikel
Compliance durch Automatisierung.
🗡️ Das KENSAI Team