Jeden Tag werden etwa 80 neue CVEs veröffentlicht. Ohne einen systematischen Ansatz zum Finden, Priorisieren und Beheben von Schwachstellen spielen Sie Russisches Roulette mit Ihrem Unternehmen. 60 % der Breaches betreffen eine bekannte, ungepatchte Schwachstelle.
Schwachstellenmanagement ist der kontinuierliche, systematische Prozess des Identifizierens, Bewertens, Priorisierens, Behebens und Verifizierens von Sicherheitsschwachstellen über alle IT-Assets einer Organisation hinweg. Es handelt sich nicht um einen einmaligen Scan — es ist ein fortlaufendes Programm, das das Organisationsrisiko über die Zeit reduziert.
Schwachstellen umfassen mehrere Kategorien:
Eine Schwachstellenbewertung zeigt Ihnen, was falsch ist (Momentaufnahme). Schwachstellenmanagement stellt sicher, dass es behoben wird — und behoben bleibt (fortlaufendes Programm mit Priorisierung, Nachverfolgung, Verifizierung und Verbesserung).
Regulatorische Bußgelder: NIS2 schreibt Schwachstellenmanagement vor — bis zu 10 Mio. € oder 2 % des Umsatzes. Breach-Haftung: DSGVO verlangt „geeignete technische Maßnahmen". Ransomware: WannaCry, Log4Shell, MOVEit — alle nutzten bekannte, patchbare Schwachstellen aus. Versicherung: Cyber-Versicherer prüfen das Patch-Management und passen Prämien an oder verweigern Ansprüche.
Sie können nicht schützen, was Sie nicht kennen. Pflegen Sie ein aktuelles Inventar aller IT-Assets und scannen Sie kontinuierlich. Wichtige Kennzahlen: Asset-Abdeckung, Scan-Frequenz, Zeit seit letztem Scan.
Nicht alle Schwachstellen sind gleich. Ein kritischer CVSS-Score bedeutet nicht automatisch kritisches Risiko. Berücksichtigen Sie Ausnutzbarkeit, Asset-Kritikalität, Exposition, kompensierende Kontrollen und Geschäftskontext.
Optionen umfassen Patching, Konfigurationsänderungen, kompensierende Kontrollen (WAF, virtuelles Patching), formale Risikoakzeptanz oder Systemstilllegung.
Eine „gepatchte" Schwachstelle, die nicht tatsächlich behoben wurde, vermittelt ein falsches Sicherheitsgefühl. Scannen Sie immer erneut, führen Sie Regressionstests durch und validieren Sie Konfigurationsänderungen nach der Behebung.
Bedienen Sie verschiedene Zielgruppen: Sicherheitsteams (taktische Dashboards), IT-Management (strategische Berichte), Geschäftsführung (Geschäftsrisiko) und Auditoren (Compliance-Nachweise).
Volumen: Zehntausende kritische/hohe Befunde — nicht alle können behoben werden. Falscher Alarm: Viele kritische CVEs werden nie ausgenutzt. Fehlender Kontext: Eine mittlere Schwachstelle auf einem Zahlungssystem kann ein höheres Risiko darstellen als eine kritische auf einem isolierten Entwicklungsserver.
Risikobasiertes Schwachstellenmanagement (RBVM) kombiniert den Schweregrad der Schwachstelle mit Bedrohungsintelligenz (wird sie ausgenutzt?), Asset-Kritikalität (wie wichtig?) und Exposition (internetfähig?). Dies reduziert den umsetzbaren Rückstand um 80–90 %.
| Aspekt | CVSS | EPSS |
|---|---|---|
| Was wird gemessen | Schweregrad der Schwachstelle (0–10) | Ausnutzungswahrscheinlichkeit (0–100 %) |
| Aktualisierungen | Weitgehend statisch | Täglich |
| Fokus | Was passieren könnte | Was passieren wird |
| Einschränkung | Nur ~15 % der Kritischen werden ausgenutzt | Berücksichtigt keinen Asset-Kontext |
Hoher CVSS + Hoher EPSS → Kritisch, sofortige Behebung. Hoher CVSS + Niedriger EPSS → Geplant innerhalb des Standard-SLA. Niedriger CVSS + Hoher EPSS → Erhöht, untersuchen (möglicherweise unterbewertet). Niedriger CVSS + Niedriger EPSS → Im Rahmen der regulären Wartung beheben.
Entdecken Sie Ihre Schwachstellen, bevor Angreifer es tun. KI-gestütztes Scanning mit risikobasierter Priorisierung.
Kostenlosen Scan starten →| Framework | Anforderung an Schwachstellenmanagement | Sanktion |
|---|---|---|
| NIS2 | Artikel 21: „Schwachstellenbehandlung und -offenlegung" als Mindestmaßnahme | Bis zu 10 Mio. € / 2 % Umsatz |
| DORA | IKT-Risikomanagement, regelmäßige Schwachstellenbewertungen | Sektorspezifische Durchsetzung |
| DSGVO/GDPR | Artikel 32: „geeignete technische Maßnahmen" | Bis zu 20 Mio. € / 4 % Umsatz |
| ISO 27001 | A.8.8: Management technischer Schwachstellen | Zertifizierungsrisiko |
| PCI DSS 4.0 | Vierteljährliche externe ASV-Scans, interne Scans, jährliche Pentests | PCI-Non-Compliance-Bußgelder |
| Risikostufe | Internetfähig | Intern kritisch | Intern Standard |
|---|---|---|---|
| Kritisch | 24 Stunden | 72 Stunden | 7 Tage |
| Hoch | 7 Tage | 14 Tage | 30 Tage |
| Mittel | 30 Tage | 60 Tage | 90 Tage |
| Niedrig | 90 Tage | 180 Tage | Nächste Wartung |
KENSAI scannt Webanwendungen, APIs und Infrastruktur mit einer Datenbank von über 332.000 CVEs, die kontinuierlich aktualisiert wird. Identifiziert sowohl bekannte Schwachstellen als auch Fehlkonfigurationen über Ihre gesamte Angriffsfläche.
Geht über CVSS hinaus: Abgleich mit aktiver Bedrohungsintelligenz, Berücksichtigung realer Ausnutzungsdaten, Reduzierung von False Positives durch intelligente Analyse und Bereitstellung risikobasierter Priorisierung, damit Sie sich auf das Wesentliche konzentrieren.
Jeder Scan generiert Berichte, die auf NIS2, DSGVO/GDPR, DORA und ISO 27001 abgestimmt sind — dokumentierte Schwachstellenbehandlung und Offenlegungsnachweise für Auditoren und Regulierungsbehörden.
Umsetzbare Behebungsempfehlungen für jeden Befund. Reduziert den Zeit- und Expertise-Aufwand zum Schließen von Schwachstellen.
Professional: 990 €/Monat — ideal für wachsende Unternehmen. Enterprise: 2.490 €/Monat — erweiterte Funktionen und höhere Scan-Volumina.
Der kontinuierliche Prozess des Identifizierens, Bewertens, Priorisierens, Behebens und Verifizierens von Sicherheitsschwachstellen. Im Gegensatz zu einmaligen Bewertungen ist es ein fortlaufendes Programm mit strukturierter Erkennung, risikobasierter Priorisierung und nachverfolgter Behebung mit definierten SLAs.
RBVM priorisiert nach tatsächlichem Risiko (Bedrohungsintelligenz + Asset-Kritikalität + Exposition) statt allein nach CVSS-Schweregrad. Reduziert den umsetzbaren Rückstand um 80–90 % und konzentriert Ressourcen auf wirklich gefährliche Schwachstellen.
CVSS bewertet den Schweregrad (statisch, 0–10). EPSS prognostiziert die Ausnutzungswahrscheinlichkeit (dynamisch, täglich aktualisiert). Zusammen verwendet bieten sie sowohl Schweregrad-Kontext als auch Ausnutzungswahrscheinlichkeit für überlegene Priorisierung.
Kritisch/internetfähig: mindestens wöchentlich (täglich oder kontinuierlich bevorzugt). Intern: mindestens monatlich. Nach wesentlichen Änderungen: immer. Der Trend geht zu kontinuierlichem Scanning.
NIS2 Artikel 21 verlangt ausdrücklich „Schwachstellenbehandlung und -offenlegung". Ein konformes Programm muss systematische Erkennung, risikobasierte Priorisierung, definierte SLAs, Verifizierung, kontinuierliche Überwachung und dokumentierte Prozesse nachweisen.
MTTR für kritische/hochriskante Schwachstellen — sie misst direkt, wie schnell Sie Ihre gefährlichsten Expositionsfenster schließen.
Übernehmen Sie die Kontrolle über Ihr Schwachstellenmanagement. KI-gestützte Erkennung, Priorisierung und Compliance-Berichterstattung.
Kostenlosen Scan starten →Sicherheit ist keine Option.
🗡️ Das KENSAI Team
Get a free security scan of your website in 60 seconds
Free Security Scan →