2026-03-08
By Emre SalmanogluSchwachstellenmanagement: Der umfassende Leitfaden für Sicherheits- und Compliance-Teams
Erfahren Sie, wie Sie ein Schwachstellenmanagement-Programm aufbauen, das ISO 27001, SOC 2, NIS2 und DORA erfüllt. Behandelt Scanning, Priorisierung, Behebungs-SLAs und Auditnachweise.
Schwachstellenmanagement
Vulnerability Scanning
Patch-Management
CVE
Compliance
Was ist Schwachstellenmanagement?
Schwachstellenmanagement ist der kontinuierliche, systematische Prozess der Identifizierung, Bewertung, Behandlung und Berichterstattung von Sicherheitsschwachstellen in der gesamten Technologieumgebung einer Organisation. Es verwandelt rohe Schwachstellendaten in umsetzbare Risikominderung.
Ein ausgereiftes Programm geht weit über das Ausführen eines Scanners hinaus — es umfasst Asset-Erkennung, risikobasierte Priorisierung, Behebungs-Workflows, Ausnahmebehandlung, Metrik-Tracking und Compliance-Berichterstattung.
Der Schwachstellenmanagement-Lebenszyklus
| Phase | Aktivitäten | Wesentliche Ergebnisse |
|---|---|---|
| 1. Asset-Erkennung | Vollständiges, aktuelles Inventar aller Hard- und Software pflegen | Asset-Register mit Kritikalitätsbewertung |
| 2. Schwachstellen-Identifizierung | Authentifizierte Scans durchführen, Advisories prüfen, Threat-Feeds überwachen | Rohe Schwachstellenfunde |
| 3. Priorisierung | Nach CVSS + Asset-Kritikalität + Ausnutzbarkeit + Geschäftskontext bewerten | Priorisierte Behebungswarteschlange |
| 4. Behebung | Patchen, konfigurieren, upgraden oder kompensierende Kontrollen anwenden | Geschlossene Schwachstellen, Änderungsaufzeichnungen |
| 5. Verifizierung | Erneut scannen zur Bestätigung der Fixes | Verifizierungsnachweise |
| 6. Berichterstattung | Dashboard-Metriken, Trendanalysen, Compliance-Berichte | Management- und Auditberichte |
| 7. Governance | Richtlinienüberprüfung, SLA-Anpassungen, Programm-Reifegradbewertung | Aktualisierte Richtlinien |
Schwachstellen-Bewertung und Priorisierung
CVSS-Schweregrade
| Schweregrad | CVSS-Score | Typische Behebungs-SLA | Beispiele |
|---|---|---|---|
| Kritisch | 9.0 – 10.0 | 24-72 Stunden | Remote Code Execution, Authentifizierungsumgehung |
| Hoch | 7.0 – 8.9 | 7-14 Tage | Rechteeskalation, SQL-Injection |
| Mittel | 4.0 – 6.9 | 30-60 Tage | Cross-Site-Scripting, Informationspreisgabe |
| Niedrig | 0.1 – 3.9 | 90 Tage | Kleinere Konfigurationsprobleme |
| Informativ | 0.0 | Best Effort | Best-Practice-Empfehlungen |
Risikobasierte Priorisierung
CVSS allein reicht nicht aus. Kombinieren Sie diese Faktoren:
| Faktor | Beschreibung | Gewichtung |
|---|---|---|
| CVSS-Basisscore | Intrinsischer Schweregrad der Schwachstelle | Basis |
| Ausnutzbarkeit | Existiert ein bekannter Exploit? Wird er aktiv ausgenutzt? | Hoch |
| Asset-Kritikalität | Wie wichtig ist das betroffene System für das Unternehmen? | Hoch |
| Exposition | Ist das Asset internet-exponiert oder nur intern? | Mittel |
| Datensensitivität | Welche Klassifizierungsstufe der Daten werden verarbeitet? | Mittel |
| Kompensierende Kontrollen | Sind bereits mitigierende Kontrollen vorhanden? | Anpassend |
Scan-Typen
| Scan-Typ | Zweck | Häufigkeit | Tools |
|---|---|---|---|
| Netzwerk-Schwachstellenscan | Bekannte CVEs in OS und Diensten entdecken | Mindestens wöchentlich | Nessus, Qualys, Rapid7 |
| Authentifizierter Scan | Tiefenscan mit Systemzugangsdaten | Wöchentlich | Wie oben, mit Credentials |
| Webanwendungs-Scan (DAST) | Laufende Webanwendungen auf OWASP Top 10 testen | Pro Release + monatlich | OWASP ZAP, Burp Suite |
| Statische Analyse (SAST) | Quellcode auf Schwachstellen analysieren | Bei jedem Commit (CI/CD) | SonarQube, Checkmarx, Semgrep |
| Software Composition Analysis (SCA) | Verwundbare Open-Source-Abhängigkeiten identifizieren | Bei jedem Build | Snyk, Dependabot, Grype |
| Container-Image-Scan | Container-Images auf bekannte CVEs scannen | Bei jedem Build | Trivy, Grype, Prisma Cloud |
| Cloud-Konfigurationsscan | Cloud-Infrastruktur auf Fehlkonfigurationen prüfen | Kontinuierlich | CSPM-Tools |
| Infrastructure-as-Code-Scan | IaC-Templates vor dem Deployment scannen | Bei jedem Commit | Checkov, tfsec, KICS |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | ISO 27001 | SOC 2 | NIS2 | DORA | PCI DSS |
|---|---|---|---|---|---|
| Schwachstellen-Scanning | A.8.8 | CC7.1 | Art. 21(2)(e) | Art. 9(2) | Anf. 11.3 |
| Patch-Management | A.8.8 | CC7.1 | Art. 21(2)(e) | Art. 9(2) | Anf. 6.3.3 |
| Risikobasierte Priorisierung | A.8.8 | CC3.2 | Art. 21(2)(a) | Art. 9(1) | Anf. 6.3.1 |
| Behebungs-Tracking | A.8.8 | CC7.2 | Art. 21(2)(e) | Art. 9(2) | Anf. 11.3.3 |
| Ausnahmemanagement | A.5.1 | CC3.2 | Art. 21(1) | Art. 9(1) | Anf. 6.3.2 |
| Berichterstattung an Management | A.5.1 | CC4.2 | Art. 20 | Art. 13 | Anf. 12.4 |
Auditnachweise
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| Schwachstellenmanagement-Richtlinie | Dokumentierte Richtlinie mit SLAs und Eskalationswegen | Alle Frameworks |
| Scan-Berichte | Regelmäßige Scan-Ausgaben mit Abdeckung und Ergebnissen | Alle Frameworks |
| Behebungs-Tickets | Jira/ServiceNow-Tickets mit Zeitstempeln und Status | ISO 27001, SOC 2 |
| SLA-Compliance-Berichte | Dashboard mit % innerhalb SLA behoben | Alle Frameworks |
| Ausnahmenregister | Dokumentierte Risikoakzeptanzen mit Genehmigungen | Alle Frameworks |
| Trendberichte | Monat-über-Monat Schwachstellenanzahl und MTTR | SOC 2, NIS2 |
| Penetrationstest-Ergebnisse | Jährliche Penetrationstests zur Validierung | ISO 27001, NIS2, DORA |
Häufige Fehler
| Fehler | Auswirkung | Lösung |
|---|---|---|
| Scannen ohne Behebungs-Workflows | Ansammlung unbehobener Schwachstellen | Ticketing-Integration, Eigentümer zuweisen |
| Alle Schwachstellen gleich behandeln | Alarm-Fatigue, fehlgeleitete Ressourcen | Risikobasierte Priorisierung implementieren |
| Nur nicht-authentifizierte Scans | 40-60 % der Schwachstellen werden übersehen | Authentifiziertes Scanning einsetzen |
| Kein Asset-Inventar | Unbekannte Scan-Lücken | Automatische Asset-Erkennung aufbauen |
| Manuelle Nachverfolgung in Tabellen | Audit-Versagen, verlorene Sichtbarkeit | Dedizierte Plattform verwenden |
| Cloud und Container ignorieren | Wachsende blinde Flecken | Scanning auf Cloud, Container und IaC erweitern |
Wie Orbiq Schwachstellenmanagement unterstützt
Orbiq hilft Ihnen, Schwachstellenmanagement-Kontrollen gegenüber Kunden und Auditoren nachzuweisen:
- Evidenzsammlung — Scan-Berichte, Behebungs-Tickets und SLA-Metriken zentralisieren
- Kontinuierliche Überwachung — Schwachstellenmanagement-KPIs über Ihre Umgebung verfolgen
- Trust Center — Ihre Schwachstellenmanagement-Praxis über Ihr Trust Center teilen
- Compliance-Mapping — Kontrollen auf ISO 27001, SOC 2, NIS2 und DORA abbilden
- Audit-Bereitschaft — Vorgefertigte Evidenzpakete für die Auditorenprüfung
Weiterführende Artikel
- Penetrationstest — Wirksamkeit des Schwachstellenmanagements validieren
- Cloud Security Posture Management — Cloud-spezifische Schwachstellenerkennung
- Incident Response — Ausgenutzte Schwachstellen behandeln
- Risikomanagement-Frameworks — Breiterer Risikokontext
- Security Audit — Gesamte Sicherheitslage einschließlich Schwachstellenmanagement bewerten