Alle 24 Stunden werden etwa 80 neue CVEs veröffentlicht. Ohne einen systematischen Ansatz zum Finden, Priorisieren und Beheben von Schwachstellen spielen Sie russisches Roulette mit Ihrem Unternehmen. 60% der Datenpannen betreffen eine bekannte, ungepatchte Schwachstelle.
Schwachstellenmanagement ist der kontinuierliche, systematische Prozess des Identifizierens, Bewertens, Priorisierens, Behebens und Verifizierens von Sicherheitsschwachstellen über die IT-Assets einer Organisation hinweg. Es ist kein einmaliger Scan — es ist ein fortlaufendes Programm, das das organisatorische Risiko im Laufe der Zeit reduziert.
Schwachstellen umfassen mehrere Kategorien:
Ein Vulnerability Assessment sagt Ihnen, was falsch ist (Zeitpunkt). Schwachstellenmanagement stellt sicher, dass es behoben wird — und behoben bleibt (fortlaufendes Programm mit Priorisierung, Tracking, Verifizierung und Verbesserung).
Regulatorische Bußgelder: NIS2 verlangt Schwachstellenmanagement — bis zu €10M oder 2% des Umsatzes. Breach-Haftung: DSGVO erfordert „angemessene technische Maßnahmen". Ransomware: WannaCry, Log4Shell, MOVEit — alle nutzten bekannte, patchbare Fehler aus. Versicherung: Cyber-Versicherer prüfen Patch-Management und passen Prämien an oder lehnen Ansprüche ab.
Sie können nicht schützen, was Sie nicht kennen. Führen Sie ein aktuelles Inventar aller IT-Assets und scannen Sie kontinuierlich. Wichtige Metriken: Asset-Abdeckung, Scan-Frequenz, Zeit seit letztem Scan.
Nicht alle Schwachstellen sind gleich. Ein kritischer CVSS-Score bedeutet nicht automatisch kritisches Risiko. Berücksichtigen Sie Ausnutzbarkeit, Asset-Kritikalität, Exposition, kompensierende Kontrollen und Geschäftskontext.
Optionen umfassen Patching, Konfigurations-Änderungen, kompensierende Kontrollen (WAF, virtuelles Patching), formale Risikoakzeptanz oder System-Stilllegung.
Eine „gepatchte" Schwachstelle, die nicht tatsächlich behoben wurde, vermittelt ein falsches Sicherheitsgefühl. Scannen Sie immer erneut, führen Sie Regressionstests durch und validieren Sie Konfigurations-Änderungen nach der Behebung.
Bedienen Sie mehrere Zielgruppen: Security-Teams (taktische Dashboards), IT-Management (strategische Berichte), Führungskräfte (Geschäftsrisiko) und Auditoren (Compliance-Nachweise).
Volumen: Zehntausende kritische/hohe Befunde — können nicht alle beheben. Falsche Dringlichkeit: Viele kritische CVEs werden nie ausgenutzt. Fehlender Kontext: Eine mittlere Schwachstelle auf einem Zahlungssystem kann ein höheres Risiko darstellen als eine kritische auf einem isolierten Dev-Server.
Risikobasiertes Schwachstellenmanagement (RBVM) kombiniert Schwachstellen-Schweregrad mit Threat Intelligence (wird es ausgenutzt?), Asset-Kritikalität (wie wichtig?) und Exposition (internet-zugewandt?). Dies reduziert den handlungsrelevanten Backlog um 80–90%.
| Aspekt | CVSS | EPSS |
|---|---|---|
| Was es misst | Schwachstellen-Schweregrad (0–10) | Ausnutzungswahrscheinlichkeit (0–100%) |
| Updates | Weitgehend statisch | Täglich |
| Fokus | Was passieren könnte | Was passieren wird |
| Einschränkung | Nur ~15% der kritischen werden ausgenutzt | Berücksichtigt keinen Asset-Kontext |
Hoher CVSS + Hohes EPSS → Kritisch, sofortige Behebung. Hoher CVSS + Niedriges EPSS → Geplant innerhalb Standard-SLA. Niedriger CVSS + Hohes EPSS → Erhöht, untersuchen (könnte unterbewertet sein). Niedriger CVSS + Niedriges EPSS → In regulärer Wartung adressieren.
Entdecken Sie Ihre Schwachstellen, bevor es Angreifer tun. KI-gestütztes Scannen mit risikobasierter Priorisierung.
Kostenlosen Scan starten →| Framework | Schwachstellenmanagement-Anforderung | Strafe |
|---|---|---|
| NIS2 | Artikel 21: „Schwachstellenbehandlung und -offenlegung" als Mindestmaßnahme | Bis zu €10M / 2% des Umsatzes |
| DORA | IKT-Risikomanagement, regelmäßige Schwachstellen-Assessments | Sektor-spezifische Durchsetzung |
| DSGVO/GDPR | Artikel 32: „angemessene technische Maßnahmen" | Bis zu €20M / 4% des Umsatzes |
| ISO 27001 | A.8.8: Management technischer Schwachstellen | Zertifizierungsrisiko |
| PCI DSS 4.0 | Vierteljährliche externe ASV-Scans, internes Scannen, jährliches Pentesting | PCI-Nichtkonformitäts-Bußgelder |
| Risiko-Level | Internet-zugewandt | Intern kritisch | Intern Standard |
|---|---|---|---|
| Kritisch | 24 Stunden | 72 Stunden | 7 Tage |
| Hoch | 7 Tage | 14 Tage | 30 Tage |
| Mittel | 30 Tage | 60 Tage | 90 Tage |
| Niedrig | 90 Tage | 180 Tage | Nächste Wartung |
KENSAI scannt Webanwendungen, APIs und Infrastruktur mit einer Datenbank von 332.000+ CVEs, die kontinuierlich aktualisiert wird. Identifiziert sowohl bekannte Schwachstellen als auch Fehlkonfigurationen über Ihre gesamte Angriffsfläche.
Geht über CVSS hinaus: Gleicht aktive Threat Intelligence ab, berücksichtigt reale Exploit-Daten, reduziert False Positives durch intelligente Analyse und liefert risikobasierte Priorisierung, damit Sie sich auf das Wesentliche konzentrieren.
Jeder Scan generiert Berichte, die mit NIS2, DSGVO/GDPR, DORA und ISO 27001 übereinstimmen — dokumentierte Schwachstellenbehandlungs- und -offenlegungs-Nachweise für Auditoren und Regulierungsbehörden.
Umsetzbare Fix-Empfehlungen für jeden Befund. Reduziert die Zeit und Expertise, die erforderlich ist, um Schwachstellen zu schließen.
Professional: €990/Monat — ideal für wachsende Unternehmen. Enterprise: €2.490/Monat — erweiterte Features und höhere Scan-Volumen.
Der kontinuierliche Prozess des Identifizierens, Bewertens, Priorisierens, Behebens und Verifizierens von Sicherheitsschwachstellen. Im Gegensatz zu einmaligen Assessments ist es ein fortlaufendes Programm mit strukturierter Entdeckung, risikobasierter Priorisierung und verfolgter Behebung mit definierten SLAs.
RBVM priorisiert nach tatsächlichem Risiko (Threat Intelligence + Asset-Kritikalität + Exposition) anstatt nur nach CVSS-Schweregrad. Reduziert den handlungsrelevanten Backlog um 80–90% und fokussiert Ressourcen auf wirklich gefährliche Schwachstellen.
CVSS bewertet Schweregrad (statisch, 0–10). EPSS prognostiziert Ausnutzungswahrscheinlichkeit (dynamisch, täglich aktualisiert). Zusammen verwendet bieten sie sowohl Schweregrad-Kontext als auch Ausnutzungswahrscheinlichkeit für überlegene Priorisierung.
Kritisch/internet-zugewandt: mindestens wöchentlich (täglich oder kontinuierlich bevorzugt). Intern: monatliches Minimum. Nach signifikanten Änderungen: immer. Der Trend geht zu kontinuierlichem Scannen.
NIS2 Artikel 21 erfordert explizit „Schwachstellenbehandlung und -offenlegung". Ein konformes Programm muss systematische Entdeckung, risikobasierte Priorisierung, definierte SLAs, Verifizierung, kontinuierliche Überwachung und dokumentierte Prozesse nachweisen.
MTTR für kritische/hochriskante Schwachstellen — es misst direkt, wie schnell Sie Ihre gefährlichsten Expositions-Fenster schließen.
Übernehmen Sie die Kontrolle über Ihr Schwachstellenmanagement. KI-gestützte Entdeckung, Priorisierung und Compliance-Berichterstattung.
Kostenlosen Scan starten →Sicherheit ist nicht optional.
🗡️ Das KENSAI Team
Get a free security scan of your website in 60 seconds
Free Security Scan →