← Zurück zum Blog
Research 20 Min. Lesezeit

Schwachstellenmanagement: Der vollständige Leitfaden

Alle 24 Stunden werden etwa 80 neue CVEs veröffentlicht. Ohne einen systematischen Ansatz zum Finden, Priorisieren und Beheben von Schwachstellen spielen Sie russisches Roulette mit Ihrem Unternehmen. 60% der Datenpannen betreffen eine bekannte, ungepatchte Schwachstelle.

80+
Neue CVEs täglich
60%
Breaches durch bekannte CVEs
$4,88M
Ø Breach-Kosten
15 Tage
Ø Zeit bis Exploit

Was ist Schwachstellenmanagement?

ℹ️ Definition

Schwachstellenmanagement ist der kontinuierliche, systematische Prozess des Identifizierens, Bewertens, Priorisierens, Behebens und Verifizierens von Sicherheitsschwachstellen über die IT-Assets einer Organisation hinweg. Es ist kein einmaliger Scan — es ist ein fortlaufendes Programm, das das organisatorische Risiko im Laufe der Zeit reduziert.

Schwachstellen umfassen mehrere Kategorien:

Assessment vs Management

Ein Vulnerability Assessment sagt Ihnen, was falsch ist (Zeitpunkt). Schwachstellenmanagement stellt sicher, dass es behoben wird — und behoben bleibt (fortlaufendes Programm mit Priorisierung, Tracking, Verifizierung und Verbesserung).


Warum Schwachstellenmanagement wichtig ist

⚠️ Die Geschäftsrisiken

Regulatorische Bußgelder: NIS2 verlangt Schwachstellenmanagement — bis zu €10M oder 2% des Umsatzes. Breach-Haftung: DSGVO erfordert „angemessene technische Maßnahmen". Ransomware: WannaCry, Log4Shell, MOVEit — alle nutzten bekannte, patchbare Fehler aus. Versicherung: Cyber-Versicherer prüfen Patch-Management und passen Prämien an oder lehnen Ansprüche ab.


Der Schwachstellenmanagement-Lebenszyklus

5-Phasen kontinuierlicher Zyklus

Phase 1: Discover (Entdecken)

Sie können nicht schützen, was Sie nicht kennen. Führen Sie ein aktuelles Inventar aller IT-Assets und scannen Sie kontinuierlich. Wichtige Metriken: Asset-Abdeckung, Scan-Frequenz, Zeit seit letztem Scan.

Phase 2: Prioritize (Priorisieren)

Nicht alle Schwachstellen sind gleich. Ein kritischer CVSS-Score bedeutet nicht automatisch kritisches Risiko. Berücksichtigen Sie Ausnutzbarkeit, Asset-Kritikalität, Exposition, kompensierende Kontrollen und Geschäftskontext.

Phase 3: Remediate (Beheben)

Optionen umfassen Patching, Konfigurations-Änderungen, kompensierende Kontrollen (WAF, virtuelles Patching), formale Risikoakzeptanz oder System-Stilllegung.

Phase 4: Verify (Verifizieren)

⚠️ Überspringen Sie die Verifizierung nicht

Eine „gepatchte" Schwachstelle, die nicht tatsächlich behoben wurde, vermittelt ein falsches Sicherheitsgefühl. Scannen Sie immer erneut, führen Sie Regressionstests durch und validieren Sie Konfigurations-Änderungen nach der Behebung.

Phase 5: Report & Improve (Berichten & Verbessern)

Bedienen Sie mehrere Zielgruppen: Security-Teams (taktische Dashboards), IT-Management (strategische Berichte), Führungskräfte (Geschäftsrisiko) und Auditoren (Compliance-Nachweise).


Risikobasiertes Schwachstellenmanagement

⚠️ Nur-CVSS-Priorisierung ist fehlerhaft

Volumen: Zehntausende kritische/hohe Befunde — können nicht alle beheben. Falsche Dringlichkeit: Viele kritische CVEs werden nie ausgenutzt. Fehlender Kontext: Eine mittlere Schwachstelle auf einem Zahlungssystem kann ein höheres Risiko darstellen als eine kritische auf einem isolierten Dev-Server.

Risiko = Bedrohung × Schwachstelle × Auswirkung

Risikobasiertes Schwachstellenmanagement (RBVM) kombiniert Schwachstellen-Schweregrad mit Threat Intelligence (wird es ausgenutzt?), Asset-Kritikalität (wie wichtig?) und Exposition (internet-zugewandt?). Dies reduziert den handlungsrelevanten Backlog um 80–90%.


CVSS vs EPSS: Moderne Priorisierung

AspektCVSSEPSS
Was es misstSchwachstellen-Schweregrad (0–10)Ausnutzungswahrscheinlichkeit (0–100%)
UpdatesWeitgehend statischTäglich
FokusWas passieren könnteWas passieren wird
EinschränkungNur ~15% der kritischen werden ausgenutztBerücksichtigt keinen Asset-Kontext

Verwenden Sie beide zusammen

Hoher CVSS + Hohes EPSS → Kritisch, sofortige Behebung. Hoher CVSS + Niedriges EPSS → Geplant innerhalb Standard-SLA. Niedriger CVSS + Hohes EPSS → Erhöht, untersuchen (könnte unterbewertet sein). Niedriger CVSS + Niedriges EPSS → In regulärer Wartung adressieren.


Schwachstellenmanagement-Tools

Scanner-Kategorien

Das richtige Tool auswählen

Wichtige Bewertungskriterien

Testen Sie KENSAI kostenlos

Entdecken Sie Ihre Schwachstellen, bevor es Angreifer tun. KI-gestütztes Scannen mit risikobasierter Priorisierung.

Kostenlosen Scan starten →

Compliance-Integration

FrameworkSchwachstellenmanagement-AnforderungStrafe
NIS2Artikel 21: „Schwachstellenbehandlung und -offenlegung" als MindestmaßnahmeBis zu €10M / 2% des Umsatzes
DORAIKT-Risikomanagement, regelmäßige Schwachstellen-AssessmentsSektor-spezifische Durchsetzung
DSGVO/GDPRArtikel 32: „angemessene technische Maßnahmen"Bis zu €20M / 4% des Umsatzes
ISO 27001A.8.8: Management technischer SchwachstellenZertifizierungsrisiko
PCI DSS 4.0Vierteljährliche externe ASV-Scans, internes Scannen, jährliches PentestingPCI-Nichtkonformitäts-Bußgelder

Aufbau eines Schwachstellenmanagement-Programms

Behebungs-SLAs (Beispiel)

Risiko-LevelInternet-zugewandtIntern kritischIntern Standard
Kritisch24 Stunden72 Stunden7 Tage
Hoch7 Tage14 Tage30 Tage
Mittel30 Tage60 Tage90 Tage
Niedrig90 Tage180 TageNächste Wartung

Wichtige zu verfolgende Metriken


Wie KENSAI Schwachstellenmanagement automatisiert

Kontinuierliche Entdeckung

KENSAI scannt Webanwendungen, APIs und Infrastruktur mit einer Datenbank von 332.000+ CVEs, die kontinuierlich aktualisiert wird. Identifiziert sowohl bekannte Schwachstellen als auch Fehlkonfigurationen über Ihre gesamte Angriffsfläche.

KI-gestützte Priorisierung

Geht über CVSS hinaus: Gleicht aktive Threat Intelligence ab, berücksichtigt reale Exploit-Daten, reduziert False Positives durch intelligente Analyse und liefert risikobasierte Priorisierung, damit Sie sich auf das Wesentliche konzentrieren.

Automatisierte Compliance-Berichterstattung

Jeder Scan generiert Berichte, die mit NIS2, DSGVO/GDPR, DORA und ISO 27001 übereinstimmen — dokumentierte Schwachstellenbehandlungs- und -offenlegungs-Nachweise für Auditoren und Regulierungsbehörden.

Behebungsanleitung

Umsetzbare Fix-Empfehlungen für jeden Befund. Reduziert die Zeit und Expertise, die erforderlich ist, um Schwachstellen zu schließen.

Preise

Professional: €990/Monat — ideal für wachsende Unternehmen. Enterprise: €2.490/Monat — erweiterte Features und höhere Scan-Volumen.


FAQ

Was ist Schwachstellenmanagement?

Der kontinuierliche Prozess des Identifizierens, Bewertens, Priorisierens, Behebens und Verifizierens von Sicherheitsschwachstellen. Im Gegensatz zu einmaligen Assessments ist es ein fortlaufendes Programm mit strukturierter Entdeckung, risikobasierter Priorisierung und verfolgter Behebung mit definierten SLAs.

Was ist risikobasiertes Schwachstellenmanagement?

RBVM priorisiert nach tatsächlichem Risiko (Threat Intelligence + Asset-Kritikalität + Exposition) anstatt nur nach CVSS-Schweregrad. Reduziert den handlungsrelevanten Backlog um 80–90% und fokussiert Ressourcen auf wirklich gefährliche Schwachstellen.

Was ist der Unterschied zwischen CVSS und EPSS?

CVSS bewertet Schweregrad (statisch, 0–10). EPSS prognostiziert Ausnutzungswahrscheinlichkeit (dynamisch, täglich aktualisiert). Zusammen verwendet bieten sie sowohl Schweregrad-Kontext als auch Ausnutzungswahrscheinlichkeit für überlegene Priorisierung.

Wie oft sollten Schwachstellen-Scans durchgeführt werden?

Kritisch/internet-zugewandt: mindestens wöchentlich (täglich oder kontinuierlich bevorzugt). Intern: monatliches Minimum. Nach signifikanten Änderungen: immer. Der Trend geht zu kontinuierlichem Scannen.

Wie unterstützt Schwachstellenmanagement NIS2-Compliance?

NIS2 Artikel 21 erfordert explizit „Schwachstellenbehandlung und -offenlegung". Ein konformes Programm muss systematische Entdeckung, risikobasierte Priorisierung, definierte SLAs, Verifizierung, kontinuierliche Überwachung und dokumentierte Prozesse nachweisen.

Was ist die wichtigste Metrik?

MTTR für kritische/hochriskante Schwachstellen — es misst direkt, wie schnell Sie Ihre gefährlichsten Expositions-Fenster schließen.

Testen Sie KENSAI kostenlos

Übernehmen Sie die Kontrolle über Ihr Schwachstellenmanagement. KI-gestützte Entdeckung, Priorisierung und Compliance-Berichterstattung.

Kostenlosen Scan starten →

Sicherheit ist nicht optional.

🗡️ Das KENSAI Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home