1. September 2025

Sicherheitslücken erkennen, bewerten und beheben

Von Joachim Reinke

September 1, 2025

ISO 27001

Sicherheitslücken erkennen bewerten und beheben: Schwachstellenmanagement in der ISO 27001-Praxis

Sicherheitslücken verschwinden nicht dadurch, dass man sie scannt. Entscheidend ist, ob Sie einen klaren Ablauf haben: Welche Systeme sind betroffen? Wie kritisch ist die Schwachstelle für Ihre Umgebung? Wer entscheidet über Maßnahmen? Und wie stellen Sie sicher, dass nichts liegen bleibt? Sicherheitslücken erkennen bewerten und beheben - so funktioniert's in der Praxis.

Genau darum geht es beim Schwachstellenmanagement nach ISO 27001. Die Norm verlangt nicht, dass Sie jede Meldung panisch abarbeiten. Sie erwartet aber, dass Sie technische Schwachstellen systematisch erkennen, bewerten und angemessen behandeln.

Was Schwachstellenmanagement in der Praxis bedeutet

Schwachstellenmanagement heißt: Sie schaffen einen verlässlichen Prozess (technisch, organisatorisch - oder gemischt), um bekannte Sicherheitslücken in Ihrer IT rechtzeitig zu erkennen und mit Augenmaß darauf zu reagieren.

Dazu gehören typischerweise fünf Schritte:

  1. relevante Systeme und Software sauber erfassen;
  2. relevante Schwachstellenquellen beobachten;
  3. Meldungen fachlich bewerten;
  4. passende Maßnahmen umsetzen;
  5. Erledigung und Restrisiken nachvollziehbar dokumentieren.

Das klingt banal. In der Praxis scheitert es meist nicht an fehlenden Tools, sondern an fehlender Organisation des Ganzen.

Ohne Überblick funktioniert kein Schwachstellenmanagement

Sie können Schwachstellen nur dann sinnvoll bewerten, wenn Sie wissen, was bei Ihnen überhaupt im Einsatz ist.

Mindestens im Blick haben sollten Sie:

  • Server, Clients, Netzwerkkomponenten und Cloud-Dienste;
  • eingesetzte Betriebssysteme und Versionen;
  • kritische Anwendungen und Bibliotheken;
  • externe Angriffsflächen wie VPN, Firewalls, Webanwendungen oder Remote-Zugänge;
  • verantwortliche Personen oder Teams.

Wenn dieser Überblick fehlt, produzieren Scanner vor allem eines: To-Do-Listen ohne Bezug zur Realität.

Schwachstellen erkennen: Scanner sind hilfreich, aber nicht genug

Sicherheitslücken erkennen bewerten und beheben: Automatisierte Tools sind sinnvoll. Sie ersetzen aber nicht die fachliche Einordnung.

Typische Quellen für relevante Hinweise sind:

  • Schwachstellenscanner für Systeme und Netzwerke;
  • Tools für Abhängigkeiten in Softwareprojekten;
  • Sicherheitsmeldungen von Herstellern;
  • CVE- und CERT-Meldungen;
  • Hinweise aus dem eigenen Betrieb, etwa durch Monitoring oder Incident-Bearbeitung

Wichtig ist nicht, möglichst viele Quellen anzuschließen. Wichtig ist, dass klar ist, wer sie beobachtet und was bei einer relevanten Meldung konkret passiert.

Nicht jede Schwachstelle ist für Sie gleich kritisch

Ein häufiger Fehler ist, CVSS-Scores oder Scanner-Funde direkt in hektische Maßnahmen zu übersetzen.

Besser ist diese Reihenfolge:

1. Ist das betroffene System bei Ihnen überhaupt vorhanden bzw. zwar vorhanden, aber nicht im Einsatz?

Klingt trivial, spart aber Zeit. Viele Funde betreffen Software oder Komponenten, die real gar nicht genutzt werden.

2. Ist die angreifbare Funktion bei Ihnen aktiv?

Eine Schwachstelle kann hoch eingestuft sein und für Ihre konkrete Umgebung trotzdem kaum relevant sein, wenn die betroffene Funktion deaktiviert oder nicht erreichbar ist.

3. Ist das System von außen oder intern erreichbar?

Eine Lücke auf einem isolierten internen System ist anders zu bewerten als dieselbe Lücke auf einem öffentlich erreichbaren Webdienst.

4. Gibt es bereits wirksame Kompensationen?

Netztrennung, restriktive Firewall-Regeln, zusätzliche Authentisierung oder vorgeschaltete Sicherheitsmechanismen können das Risiko deutlich reduzieren.

5. Wie hoch wäre der Schaden im Ernstfall?

Entscheidend ist nicht nur die technische Schwere, sondern auch die Auswirkung auf Verfügbarkeit, Vertraulichkeit und Integrität.

Genau hier trennt sich solides Schwachstellenmanagement von blindem Patch-Aktionismus.

Maßnahmen festlegen: Patchen, absichern oder bewusst übergangsweise ein Work-Around

Die beste Maßnahme ist ein Sicherheitsupdate. Aber nicht immer ist das sofort möglich. Manchmal dauert es, bis der zur Verfügung steht.

In der Praxis kommen je nach Situation zum Beispiel diese Maßnahmen infrage:

  • Update oder Patch einspielen;
  • Workaround des Herstellers umsetzen;
  • gefährdete Funktion deaktivieren;
  • Angriffsfläche verkleinern, etwa durch Firewall- oder ACL-Anpassungen;
  • Zugriffe einschränken;
  • zusätzliche Überwachung oder Logging aktivieren;
  • System vorübergehend isolieren;
  • Restrisiko dokumentieren und befristet akzeptieren.

Wichtig ist, dass solche Entscheidungen nicht zufällig getroffen werden. Es braucht klare Zuständigkeiten, Reaktionszeiten und nachvollziehbare Kriterien.

Was Auditoren beim Schwachstellenmanagement typischerweise sehen wollen

Im Audit reicht es nicht, zu sagen: "Wir patchen regelmäßig."

Überzeugender ist, wenn Sie zeigen können:

  • welche Quellen für Schwachstelleninformationen genutzt werden;
  • wie relevante Meldungen identifiziert werden;
  • nach welchen Kriterien bewertet wird;
  • wer über Maßnahmen entscheidet;
  • wie Fristen festgelegt werden;
  • wie Erledigung oder bewusste Abweichungen dokumentiert werden.

Ein einfacher, sauber gelebter Prozess ist hier meist deutlich besser als ein großes Tool, das niemand konsequent nutzt.

Typische Fehler im Schwachstellenmanagement

Diese Probleme sehen wir in der Praxis besonders häufig:

  1. Es gibt Scanner, aber keinen Entscheidungsprozess: Dann entstehen Listen, aber keine belastbaren Entscheidungen.
  2. Verantwortlichkeiten sind unklar: Wenn niemand eindeutig zuständig ist, bleiben kritische Themen liegen.
  3. Alles wird gleich behandelt: Dann geht Zeit für Nebenthemen drauf, während wirklich kritische Lücken zu spät bearbeitet werden.
  4. Technische Bewertung und Geschäftsrisiko werden nicht zusammengeführt: Eine technische Schwachstelle ist erst dann sauber priorisiert, wenn klar ist, welche Auswirkungen sie auf Ihr Unternehmen hätte.
  5. Ausnahmen werden nicht dokumentiert: Wenn ein Patch nicht sofort eingespielt werden kann, muss nachvollziehbar sein, warum das so ist und welche Zwischenmaßnahmen gelten.

Ein pragmatischer Mindestprozess für kleine und mittlere Unternehmen

Wenn Sie kein großes Security-Team haben, reicht für den Start oft schon ein schlanker Ablauf:

  1. Kritische Systeme und Software erfassen;
  2. Relevante Informationsquellen festlegen;
  3. Eingehende Meldungen regelmäßig prüfen (vorfiltern, damit der Admin nicht jeden Tag 2000 Meldungen lesen muss);
  4. Kritikalität anhand weniger klarer Kriterien bewerten (z.B. "Ist das System überhaupt exponiert? Ist es kritisch?");
  5. Maßnahmen, Fristen und Verantwortliche festhalten;
  6. Umsetzung nachverfolgen;
  7. Ausnahmen mit Begründung dokumentieren.

Das ist nicht spektakulär. Aber genau so wird Schwachstellenmanagement belastbar.

FAQ

Unser Tipp

Gutes Schwachstellenmanagement heißt nicht, jede Meldung sofort zu eskalieren. Es heißt, bekannte Schwachstellen verlässlich zu erkennen, richtig einzuordnen und angemessen zu behandeln.

Wer dafür eine Vorgehensweise hat, spart Zeit, reduziert unnötige Hektik und ist im Audit deutlich besser aufgestellt.

Interesse geweckt?

Sicherheitslücken erkennen bewerten und beheben: Wenn Sie das auch so aufsetzen möchten, dass es im Alltag funktioniert und im ISO 27001-Audit durchkommt, dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Insert Styled Box

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments