1. September 2025

Sicherheitslücken erkennen, bewerten und beheben

Author Image

Von Joachim Reinke

September 1, 2025

ISO 27001
Teilen0
Tweet0
Teilen0
Teilen0

Sicherheitslücken erkennen bewerten und beheben: Schwachstellenmanagement in der ISO 27001-Praxis

Sicherheitslücken verschwinden nicht dadurch, dass man sie scannt. Entscheidend ist, ob Sie einen klaren Ablauf haben: Welche Systeme sind betroffen? Wie kritisch ist die Schwachstelle für Ihre Umgebung? Wer entscheidet über Maßnahmen? Und wie stellen Sie sicher, dass nichts liegen bleibt? Sicherheitslücken erkennen bewerten und beheben - so funktioniert's in der Praxis.

Genau darum geht es beim Schwachstellenmanagement nach ISO 27001. Die Norm verlangt nicht, dass Sie jede Meldung panisch abarbeiten. Sie erwartet aber, dass Sie technische Schwachstellen systematisch erkennen, bewerten und angemessen behandeln.

Was Schwachstellenmanagement in der Praxis bedeutet

Schwachstellenmanagement heißt: Sie schaffen einen verlässlichen Prozess (technisch, organisatorisch - oder gemischt), um bekannte Sicherheitslücken in Ihrer IT rechtzeitig zu erkennen und mit Augenmaß darauf zu reagieren.

Dazu gehören typischerweise fünf Schritte:

  1. relevante Systeme und Software sauber erfassen;
  2. relevante Schwachstellenquellen beobachten;
  3. Meldungen fachlich bewerten;
  4. passende Maßnahmen umsetzen;
  5. Erledigung und Restrisiken nachvollziehbar dokumentieren.

Das klingt banal. In der Praxis scheitert es meist nicht an fehlenden Tools, sondern an fehlender Organisation des Ganzen.

Ohne Überblick funktioniert kein Schwachstellenmanagement

Sie können Schwachstellen nur dann sinnvoll bewerten, wenn Sie wissen, was bei Ihnen überhaupt im Einsatz ist.

Mindestens im Blick haben sollten Sie:

  • Server, Clients, Netzwerkkomponenten und Cloud-Dienste;
  • eingesetzte Betriebssysteme und Versionen;
  • kritische Anwendungen und Bibliotheken;
  • externe Angriffsflächen wie VPN, Firewalls, Webanwendungen oder Remote-Zugänge;
  • verantwortliche Personen oder Teams.

Wenn dieser Überblick fehlt, produzieren Scanner vor allem eines: To-Do-Listen ohne Bezug zur Realität.

Schwachstellen erkennen: Scanner sind hilfreich, aber nicht genug

Sicherheitslücken erkennen bewerten und beheben: Automatisierte Tools sind sinnvoll. Sie ersetzen aber nicht die fachliche Einordnung.

Typische Quellen für relevante Hinweise sind:

  • Schwachstellenscanner für Systeme und Netzwerke;
  • Tools für Abhängigkeiten in Softwareprojekten;
  • Sicherheitsmeldungen von Herstellern;
  • CVE- und CERT-Meldungen;
  • Hinweise aus dem eigenen Betrieb, etwa durch Monitoring oder Incident-Bearbeitung

Wichtig ist nicht, möglichst viele Quellen anzuschließen. Wichtig ist, dass klar ist, wer sie beobachtet und was bei einer relevanten Meldung konkret passiert.

Nicht jede Schwachstelle ist für Sie gleich kritisch

Ein häufiger Fehler ist, CVSS-Scores oder Scanner-Funde direkt in hektische Maßnahmen zu übersetzen.

Besser ist diese Reihenfolge:

1. Ist das betroffene System bei Ihnen überhaupt vorhanden bzw. zwar vorhanden, aber nicht im Einsatz?

Klingt trivial, spart aber Zeit. Viele Funde betreffen Software oder Komponenten, die real gar nicht genutzt werden.

2. Ist die angreifbare Funktion bei Ihnen aktiv?

Eine Schwachstelle kann hoch eingestuft sein und für Ihre konkrete Umgebung trotzdem kaum relevant sein, wenn die betroffene Funktion deaktiviert oder nicht erreichbar ist.

3. Ist das System von außen oder intern erreichbar?

Eine Lücke auf einem isolierten internen System ist anders zu bewerten als dieselbe Lücke auf einem öffentlich erreichbaren Webdienst.

4. Gibt es bereits wirksame Kompensationen?

Netztrennung, restriktive Firewall-Regeln, zusätzliche Authentisierung oder vorgeschaltete Sicherheitsmechanismen können das Risiko deutlich reduzieren.

5. Wie hoch wäre der Schaden im Ernstfall?

Entscheidend ist nicht nur die technische Schwere, sondern auch die Auswirkung auf Verfügbarkeit, Vertraulichkeit und Integrität.

Genau hier trennt sich solides Schwachstellenmanagement von blindem Patch-Aktionismus.

Maßnahmen festlegen: Patchen, absichern oder bewusst übergangsweise ein Work-Around

Die beste Maßnahme ist ein Sicherheitsupdate. Aber nicht immer ist das sofort möglich. Manchmal dauert es, bis der zur Verfügung steht.

In der Praxis kommen je nach Situation zum Beispiel diese Maßnahmen infrage:

  • Update oder Patch einspielen;
  • Workaround des Herstellers umsetzen;
  • gefährdete Funktion deaktivieren;
  • Angriffsfläche verkleinern, etwa durch Firewall- oder ACL-Anpassungen;
  • Zugriffe einschränken;
  • zusätzliche Überwachung oder Logging aktivieren;
  • System vorübergehend isolieren;
  • Restrisiko dokumentieren und befristet akzeptieren.

Wichtig ist, dass solche Entscheidungen nicht zufällig getroffen werden. Es braucht klare Zuständigkeiten, Reaktionszeiten und nachvollziehbare Kriterien.

Was Auditoren beim Schwachstellenmanagement typischerweise sehen wollen

Im Audit reicht es nicht, zu sagen: "Wir patchen regelmäßig."

Überzeugender ist, wenn Sie zeigen können:

  • welche Quellen für Schwachstelleninformationen genutzt werden;
  • wie relevante Meldungen identifiziert werden;
  • nach welchen Kriterien bewertet wird;
  • wer über Maßnahmen entscheidet;
  • wie Fristen festgelegt werden;
  • wie Erledigung oder bewusste Abweichungen dokumentiert werden.

Ein einfacher, sauber gelebter Prozess ist hier meist deutlich besser als ein großes Tool, das niemand konsequent nutzt.

Typische Fehler im Schwachstellenmanagement

Diese Probleme sehen wir in der Praxis besonders häufig:

  1. Es gibt Scanner, aber keinen Entscheidungsprozess: Dann entstehen Listen, aber keine belastbaren Entscheidungen.
  2. Verantwortlichkeiten sind unklar: Wenn niemand eindeutig zuständig ist, bleiben kritische Themen liegen.
  3. Alles wird gleich behandelt: Dann geht Zeit für Nebenthemen drauf, während wirklich kritische Lücken zu spät bearbeitet werden.
  4. Technische Bewertung und Geschäftsrisiko werden nicht zusammengeführt: Eine technische Schwachstelle ist erst dann sauber priorisiert, wenn klar ist, welche Auswirkungen sie auf Ihr Unternehmen hätte.
  5. Ausnahmen werden nicht dokumentiert: Wenn ein Patch nicht sofort eingespielt werden kann, muss nachvollziehbar sein, warum das so ist und welche Zwischenmaßnahmen gelten.

Ein pragmatischer Mindestprozess für kleine und mittlere Unternehmen

Wenn Sie kein großes Security-Team haben, reicht für den Start oft schon ein schlanker Ablauf:

  1. Kritische Systeme und Software erfassen;
  2. Relevante Informationsquellen festlegen;
  3. Eingehende Meldungen regelmäßig prüfen (vorfiltern, damit der Admin nicht jeden Tag 2000 Meldungen lesen muss);
  4. Kritikalität anhand weniger klarer Kriterien bewerten (z.B. "Ist das System überhaupt exponiert? Ist es kritisch?");
  5. Maßnahmen, Fristen und Verantwortliche festhalten;
  6. Umsetzung nachverfolgen;
  7. Ausnahmen mit Begründung dokumentieren.

Das ist nicht spektakulär. Aber genau so wird Schwachstellenmanagement belastbar.

FAQ

Was versteht ISO 27001 unter Schwachstellenmanagement?

ISO 27001 erwartet, dass technische Schwachstellen systematisch erkannt, bewertet und angemessen behandelt werden. Es geht also nicht nur darum, Sicherheitslücken zu finden, sondern auch darum, nachvollziehbar zu entscheiden, welche Maßnahmen erforderlich sind und wie die Umsetzung verfolgt wird.

Reicht ein Schwachstellenscanner aus?

Nein. Ein Scanner ist nur ein Werkzeug zur Erkennung. Entscheidend ist, ob Sie die Ergebnisse sinnvoll einordnen, priorisieren und in konkrete Maßnahmen überführen. Ohne klaren Prozess produziert ein Scanner vor allem lange Listen.

Wie schnell müssen Schwachstellen behoben werden?

ISO 27001 nennt keine festen Fristen für jede Schwachstelle. Sinnvoll sind eigene Vorgaben, die sich an der Kritikalität und am Risiko orientieren (siehe dazu auch unser Artikel zum Risikomanagement). Kritische, leicht ausnutzbare Schwachstellen auf öffentlich erreichbaren Systemen sollten deutlich schneller behandelt werden als weniger relevante Funde auf intern abgeschotteten Systemen oder in Softwaremodulen, die Sie gar nicht aktiviert haben.

Was ist der Unterschied zwischen Schwachstellenmanagement und Patchmanagement?

Schwachstellenmanagement ist der übergeordnete Prozess. Er umfasst das Erkennen, Bewerten und Behandeln von Sicherheitslücken. Patchmanagement ist eine mögliche Behandlung, nämlich das Einspielen von Updates. Nicht jede Schwachstelle wird ausschließlich durch einen Patch gelöst. Manchmal sind auch Workarounds, Konfigurationsänderungen oder andere Schutzmaßnahmen sinnvoll.

Wer sollte im Unternehmen für Schwachstellenmanagement verantwortlich sein?

ISO 27001 gibt hier schon eine clevere Antwort - und zwar im Bereich Asset Management. Dort wird gefordert, dass für alle "Assets" (und das sind auch die Systeme, die von Schwachstellen betroffen sind) ein Verantwortlicher existieren muss. Nicht jeder Systemverantwortliche ist auch gleich ein guter Schwachstellenmanager - aber er sollte dann das Schwachstellenmanagement an jemanden mit Kompetenz delegieren (bspw. die IT). So fällt nichts "durch's Raster".

Welche Nachweise sind für ein ISO-27001-Audit sinnvoll?

Hilfreich sind dokumentierte Zuständigkeiten, genutzte Informationsquellen, Bewertungskriterien, festgelegte Maßnahmen und Umsetzungsnachweise. Im Audit ist ein einfacher, sauber gelebter Prozess meist überzeugender als ein komplexes "Das könnten wir im Prinzip benutzen"-Tool.

Unser Tipp

Gutes Schwachstellenmanagement heißt nicht, jede Meldung sofort zu eskalieren. Es heißt, bekannte Schwachstellen verlässlich zu erkennen, richtig einzuordnen und angemessen zu behandeln.

Wer dafür eine Vorgehensweise hat, spart Zeit, reduziert unnötige Hektik und ist im Audit deutlich besser aufgestellt.

Interesse geweckt?

Sicherheitslücken erkennen bewerten und beheben: Wenn Sie das auch so aufsetzen möchten, dass es im Alltag funktioniert und im ISO 27001-Audit durchkommt, dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Insert Styled Box
Teilen0
Tweet0
Teilen0
Teilen0
Author Image
Share0

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}