← Zurück zum Blog
Research 20 Min. Lesezeit

Schwachstellenmanagement: Der vollständige Leitfaden

Jeden Tag werden etwa 80 neue CVEs veröffentlicht. Ohne einen systematischen Ansatz zum Finden, Priorisieren und Beheben von Schwachstellen spielen Sie Russisches Roulette mit Ihrem Unternehmen. 60 % der Breaches betreffen eine bekannte, ungepatchte Schwachstelle.

80+
Neue CVEs täglich
60 %
Breaches durch bekannte CVEs
4,88 Mio. $
Ø Breach-Kosten
15 Tage
Ø Zeit bis zur Ausnutzung

Was ist Schwachstellenmanagement?

ℹ️ Definition

Schwachstellenmanagement ist der kontinuierliche, systematische Prozess des Identifizierens, Bewertens, Priorisierens, Behebens und Verifizierens von Sicherheitsschwachstellen über alle IT-Assets einer Organisation hinweg. Es handelt sich nicht um einen einmaligen Scan — es ist ein fortlaufendes Programm, das das Organisationsrisiko über die Zeit reduziert.

Schwachstellen umfassen mehrere Kategorien:

Bewertung vs. Management

Eine Schwachstellenbewertung zeigt Ihnen, was falsch ist (Momentaufnahme). Schwachstellenmanagement stellt sicher, dass es behoben wird — und behoben bleibt (fortlaufendes Programm mit Priorisierung, Nachverfolgung, Verifizierung und Verbesserung).


Warum Schwachstellenmanagement wichtig ist

⚠️ Die geschäftlichen Risiken

Regulatorische Bußgelder: NIS2 schreibt Schwachstellenmanagement vor — bis zu 10 Mio. € oder 2 % des Umsatzes. Breach-Haftung: DSGVO verlangt „geeignete technische Maßnahmen". Ransomware: WannaCry, Log4Shell, MOVEit — alle nutzten bekannte, patchbare Schwachstellen aus. Versicherung: Cyber-Versicherer prüfen das Patch-Management und passen Prämien an oder verweigern Ansprüche.


Der Schwachstellenmanagement-Lebenszyklus

5-Phasen-Kreislauf

Phase 1: Entdecken

Sie können nicht schützen, was Sie nicht kennen. Pflegen Sie ein aktuelles Inventar aller IT-Assets und scannen Sie kontinuierlich. Wichtige Kennzahlen: Asset-Abdeckung, Scan-Frequenz, Zeit seit letztem Scan.

Phase 2: Priorisieren

Nicht alle Schwachstellen sind gleich. Ein kritischer CVSS-Score bedeutet nicht automatisch kritisches Risiko. Berücksichtigen Sie Ausnutzbarkeit, Asset-Kritikalität, Exposition, kompensierende Kontrollen und Geschäftskontext.

Phase 3: Beheben

Optionen umfassen Patching, Konfigurationsänderungen, kompensierende Kontrollen (WAF, virtuelles Patching), formale Risikoakzeptanz oder Systemstilllegung.

Phase 4: Verifizieren

⚠️ Überspringen Sie die Verifizierung nicht

Eine „gepatchte" Schwachstelle, die nicht tatsächlich behoben wurde, vermittelt ein falsches Sicherheitsgefühl. Scannen Sie immer erneut, führen Sie Regressionstests durch und validieren Sie Konfigurationsänderungen nach der Behebung.

Phase 5: Berichten & Verbessern

Bedienen Sie verschiedene Zielgruppen: Sicherheitsteams (taktische Dashboards), IT-Management (strategische Berichte), Geschäftsführung (Geschäftsrisiko) und Auditoren (Compliance-Nachweise).


Risikobasiertes Schwachstellenmanagement

⚠️ Reine CVSS-Priorisierung ist unzureichend

Volumen: Zehntausende kritische/hohe Befunde — nicht alle können behoben werden. Falscher Alarm: Viele kritische CVEs werden nie ausgenutzt. Fehlender Kontext: Eine mittlere Schwachstelle auf einem Zahlungssystem kann ein höheres Risiko darstellen als eine kritische auf einem isolierten Entwicklungsserver.

Risiko = Bedrohung × Schwachstelle × Auswirkung

Risikobasiertes Schwachstellenmanagement (RBVM) kombiniert den Schweregrad der Schwachstelle mit Bedrohungsintelligenz (wird sie ausgenutzt?), Asset-Kritikalität (wie wichtig?) und Exposition (internetfähig?). Dies reduziert den umsetzbaren Rückstand um 80–90 %.


CVSS vs. EPSS: Moderne Priorisierung

AspektCVSSEPSS
Was wird gemessenSchweregrad der Schwachstelle (0–10)Ausnutzungswahrscheinlichkeit (0–100 %)
AktualisierungenWeitgehend statischTäglich
FokusWas passieren könnteWas passieren wird
EinschränkungNur ~15 % der Kritischen werden ausgenutztBerücksichtigt keinen Asset-Kontext

Verwenden Sie beide zusammen

Hoher CVSS + Hoher EPSS → Kritisch, sofortige Behebung. Hoher CVSS + Niedriger EPSS → Geplant innerhalb des Standard-SLA. Niedriger CVSS + Hoher EPSS → Erhöht, untersuchen (möglicherweise unterbewertet). Niedriger CVSS + Niedriger EPSS → Im Rahmen der regulären Wartung beheben.


Tools für das Schwachstellenmanagement

Scanner-Kategorien

Das richtige Tool auswählen

Wichtige Bewertungskriterien

KENSAI kostenlos testen

Entdecken Sie Ihre Schwachstellen, bevor Angreifer es tun. KI-gestütztes Scanning mit risikobasierter Priorisierung.

Kostenlosen Scan starten →

Compliance-Integration

FrameworkAnforderung an SchwachstellenmanagementSanktion
NIS2Artikel 21: „Schwachstellenbehandlung und -offenlegung" als MindestmaßnahmeBis zu 10 Mio. € / 2 % Umsatz
DORAIKT-Risikomanagement, regelmäßige SchwachstellenbewertungenSektorspezifische Durchsetzung
DSGVO/GDPRArtikel 32: „geeignete technische Maßnahmen"Bis zu 20 Mio. € / 4 % Umsatz
ISO 27001A.8.8: Management technischer SchwachstellenZertifizierungsrisiko
PCI DSS 4.0Vierteljährliche externe ASV-Scans, interne Scans, jährliche PentestsPCI-Non-Compliance-Bußgelder

Ein Schwachstellenmanagement-Programm aufbauen

Behebungs-SLAs (Beispiel)

RisikostufeInternetfähigIntern kritischIntern Standard
Kritisch24 Stunden72 Stunden7 Tage
Hoch7 Tage14 Tage30 Tage
Mittel30 Tage60 Tage90 Tage
Niedrig90 Tage180 TageNächste Wartung

Wichtige Kennzahlen


Wie KENSAI Schwachstellenmanagement automatisiert

Kontinuierliche Erkennung

KENSAI scannt Webanwendungen, APIs und Infrastruktur mit einer Datenbank von über 332.000 CVEs, die kontinuierlich aktualisiert wird. Identifiziert sowohl bekannte Schwachstellen als auch Fehlkonfigurationen über Ihre gesamte Angriffsfläche.

KI-gestützte Priorisierung

Geht über CVSS hinaus: Abgleich mit aktiver Bedrohungsintelligenz, Berücksichtigung realer Ausnutzungsdaten, Reduzierung von False Positives durch intelligente Analyse und Bereitstellung risikobasierter Priorisierung, damit Sie sich auf das Wesentliche konzentrieren.

Automatisierte Compliance-Berichterstattung

Jeder Scan generiert Berichte, die auf NIS2, DSGVO/GDPR, DORA und ISO 27001 abgestimmt sind — dokumentierte Schwachstellenbehandlung und Offenlegungsnachweise für Auditoren und Regulierungsbehörden.

Behebungsanleitung

Umsetzbare Behebungsempfehlungen für jeden Befund. Reduziert den Zeit- und Expertise-Aufwand zum Schließen von Schwachstellen.

Preise

Professional: 990 €/Monat — ideal für wachsende Unternehmen. Enterprise: 2.490 €/Monat — erweiterte Funktionen und höhere Scan-Volumina.


FAQ

Was ist Schwachstellenmanagement?

Der kontinuierliche Prozess des Identifizierens, Bewertens, Priorisierens, Behebens und Verifizierens von Sicherheitsschwachstellen. Im Gegensatz zu einmaligen Bewertungen ist es ein fortlaufendes Programm mit strukturierter Erkennung, risikobasierter Priorisierung und nachverfolgter Behebung mit definierten SLAs.

Was ist risikobasiertes Schwachstellenmanagement?

RBVM priorisiert nach tatsächlichem Risiko (Bedrohungsintelligenz + Asset-Kritikalität + Exposition) statt allein nach CVSS-Schweregrad. Reduziert den umsetzbaren Rückstand um 80–90 % und konzentriert Ressourcen auf wirklich gefährliche Schwachstellen.

Was ist der Unterschied zwischen CVSS und EPSS?

CVSS bewertet den Schweregrad (statisch, 0–10). EPSS prognostiziert die Ausnutzungswahrscheinlichkeit (dynamisch, täglich aktualisiert). Zusammen verwendet bieten sie sowohl Schweregrad-Kontext als auch Ausnutzungswahrscheinlichkeit für überlegene Priorisierung.

Wie oft sollten Schwachstellenscans durchgeführt werden?

Kritisch/internetfähig: mindestens wöchentlich (täglich oder kontinuierlich bevorzugt). Intern: mindestens monatlich. Nach wesentlichen Änderungen: immer. Der Trend geht zu kontinuierlichem Scanning.

Wie unterstützt Schwachstellenmanagement die NIS2-Compliance?

NIS2 Artikel 21 verlangt ausdrücklich „Schwachstellenbehandlung und -offenlegung". Ein konformes Programm muss systematische Erkennung, risikobasierte Priorisierung, definierte SLAs, Verifizierung, kontinuierliche Überwachung und dokumentierte Prozesse nachweisen.

Was ist die wichtigste Kennzahl?

MTTR für kritische/hochriskante Schwachstellen — sie misst direkt, wie schnell Sie Ihre gefährlichsten Expositionsfenster schließen.

KENSAI kostenlos testen

Übernehmen Sie die Kontrolle über Ihr Schwachstellenmanagement. KI-gestützte Erkennung, Priorisierung und Compliance-Berichterstattung.

Kostenlosen Scan starten →

Sicherheit ist keine Option.

🗡️ Das KENSAI Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home