Wie man Sicherheitslücken im Griff behält: Sicherheitslücken entstehen nicht nur durch Nachlässigkeit - sondern oft schlicht durch Komplexität. Software wird aktualisiert, Dienste laufen in zig Varianten, Bibliotheken stammen aus Drittquellen. Wer den Überblick verliert, verliert oft auch die Kontrolle. Gutes Schwachstellenmanagement hilft, strukturiert gegenzusteuern.
Die ISO 27001 fordert dies in der Anforderung A.8.8.
Schwachstellen managen beginnt beim Überblick
Technische Schwachstellen lassen sich nur dann bewerten, wenn man weiß, was man überhaupt im Einsatz hat. Deshalb ist eine aktuelle Liste die Basis: mit Systemen, Softwareversionen, Komponenten und Verantwortlichkeiten.
Auch typische Fragen helfen weiter:
- Welche Server laufen mit welchem OS? In welcher Version?
- Welche Tools nutzen wir für Remote-Zugriff?
- Welche Webdienste laufen intern - und mit welchen Frameworks?
Nur mit vollständigem Bild lässt sich gezielt auf neue Schwachstellen reagieren.
Schwachstellen erkennen: Quellen & Tools kombinieren
Viele Organisationen verlassen sich auf automatisierte Scanner - und das ist auch gut so. Häufig genutzt werden z.B.:
- Tenable Nessus, Qualys oder OpenVAS für Netzwerkscans;
- Snyk, Dependabot oder OWASP Dependency-Check für Libraries in Softwareprojekten;
- Microsoft Defender for Endpoint, Rapid7 InsightVM, Greenbone für größere Umgebungen.
Zusätzlich sollte man aktuelle Informationen aus zuverlässigen Quellen einholen:
- Sicherheitsbulletins der Hersteller;
- CVE-Datenbanken (z.B. cvedetails.com);
- CERT-Bund, BSI, branchenspezifische ISACs.
Tipp: Mail-Abos für kritische Komponenten helfen, keinen Patch zu verpassen.
Schwachstellen managen heißt: Relevanz bewerten
Nicht jede gemeldete Schwachstelle ist ein akutes Risiko. Sinnvoll ist eine strukturierte Bewertung:
- Ist das betroffene System überhaupt aktiv?
- Ist die Funktion mit der Lücke eingeschaltet?
- Gibt es eine Kompensation (z. B. Firewall, Netztrennung)?
Gerade automatisierte Scanner erzeugen viele False Positives - hier hilft Erfahrung, ein klarer Bewertungsprozess und ggf. eine zweite Meinung.
Schwachstellen beheben - oder anders kompensieren
Patches sind nicht immer sofort verfügbar - oder lassen sich in kritischen Systemen nicht ohne Weiteres einspielen. In solchen Fällen sieht man häufig:
- Workarounds des Herstellers umsetzen;
- Firewall-Regeln anpassen;
- Zugriffe einschränken oder Logging aktivieren;
- Systeme temporär isolieren;
- Awareness-Maßnahmen starten - z.B. bei Phishing-Lücken in Tools.
Wenn möglich, sollte ein Reproduktions- und Testsystem vorhanden sein - für Patches, Updates und die Bewertung von Seiteneffekten.
Schwachstellen kommunizieren: intern und extern
Gerade größere Organisationen oder Hersteller von Software sollten auch über eine Anlaufstelle für Schwachstellenmeldungen verfügen (z.B. dedizierte Mailadresse, Bug-Bounty-Programm, Disclosure-Richtlinie). So lassen sich Lücken gezielt beheben, bevor sie publik werden.
Unser Tipp
Schwachstellenmanagement ist kein reines Technikthema – es braucht Struktur, Zuständigkeiten und Kommunikation. Es lohnt sich, einen klaren Prozess mit Zuständigkeiten und Reaktionszeiten zu definieren, der Scannerergebnisse mit realer Relevanz verknüpft.
So lässt sich mit Augenmaß entscheiden, wann gehandelt werden muss - und wann nicht.
Interesse geweckt?
Möchten Sie mehr zum Thema Schwachstellenmanagement und ISO 27001? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!