Thought Leadership
Sicherheitslücken systematisch finden, bewerten und schließen, bevor Angreifer sie ausnutzen. Das Vulnerability Management ist ein Muss für jedes Unternehmen. Worum gehts?
Unternehmen betreiben heute Tausende von Systemen: Server, Workstations, Netzwerkgeräte, Cloud-Instanzen, Container, IoT-Geräte. Jede dieser Komponenten kann Schwachstellen enthalten. Vulnerability Management ist der strukturierte Prozess, mit dem Organisationen genau diese Schwachstellen kontinuierlich identifizieren, priorisieren und beheben. Das klingt nach einer einfachen Aufgabe. In der Praxis ist es eine der komplexesten Daueraufgaben in der IT-Sicherheit.
Was ist eine Vulnerability?
Bevor man über das Management spricht, muss der Begriff „Vulnerability“ klar sein. Eine Vulnerability, auf Deutsch Schwachstelle oder Sicherheitslücke, ist ein Fehler in Software, Hardware oder einer Konfiguration, der es einem Angreifer ermöglicht, ein System zu kompromittieren. Das kann ein Programmierfehler in einer Webanwendung sein, eine veraltete Bibliothek mit bekanntem Exploit oder ein falsch konfigurierter Dienst, der mehr Rechte vergibt als nötig.
Wichtig ist die Abgrenzung zu verwandten Begriffen:
Threat (Bedrohung): Ein potenzieller Angreifer oder Angriffsszenario, das eine Schwachstelle ausnutzen könnte.
Exploit: Die konkrete Methode oder der Code, mit dem eine Schwachstelle tatsächlich ausgenutzt wird.
Risk (Risiko): Die Kombination aus Wahrscheinlichkeit eines Angriffs und dem potenziellen Schaden.
Vulnerability Management befasst sich primär mit dem ersten Glied dieser Kette: den Schwachstellen selbst.
Der Vulnerability-Management-Zyklus
Vulnerability Management ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Er lässt sich in fünf Phasen unterteilen.
1. Asset Discovery
Bevor man Schwachstellen finden kann, muss man wissen, was im eigenen Netzwerk überhaupt vorhanden ist. Asset Discovery erfasst alle Systeme, Geräte und Anwendungen innerhalb einer IT-Umgebung. Das klingt trivial, ist es aber nicht: In großen Unternehmen existieren oft sogenannte „Shadow IT“ Systeme, also Geräte und Dienste, die ohne Wissen der IT-Abteilung betrieben werden.
Werkzeuge wie Nmap, Qualys oder Tenable.io helfen dabei, Netzwerke zu scannen und eine vollständige Inventarliste zu erstellen. Moderne Lösungen integrieren sich außerdem in Cloud-Plattformen wie AWS, Azure oder Google Cloud, um auch dort laufende Ressourcen automatisch zu erfassen.
2. Vulnerability Scanning
Im zweiten Schritt werden die entdeckten Assets auf bekannte Schwachstellen untersucht. Scanner vergleichen die vorgefundene Software und deren Versionen mit Datenbanken bekannter Schwachstellen, allen voran der National Vulnerability Database (NVD) des NIST sowie der CVE-Liste (Common Vulnerabilities and Exposures).
Es gibt zwei grundlegende Scan-Ansätze:
Unauthentifiziertes Scanning prüft ein System von außen, ohne sich anzumelden. Es simuliert die Perspektive eines externen Angreifers, liefert aber weniger detaillierte Ergebnisse.
Authentifiziertes Scanning meldet sich mit einem Konto auf dem Zielsystem an und kann so eine deutlich tiefere Analyse durchführen, installierte Pakete prüfen und Konfigurationsprobleme aufdecken.
Die Wahl des richtigen Scan-Typs hängt vom jeweiligen Ziel ab. In der Praxis kombinieren Unternehmen häufig beide Methoden.
3. Priorisierung
Ein typischer Vulnerability-Scan in einem mittelgroßen Unternehmen liefert Tausende von Funden. Nicht alle davon sind gleich kritisch. Hier kommt die Priorisierung ins Spiel.
Das bekannteste Bewertungssystem ist der CVSS (Common Vulnerability Scoring System). Er vergibt Schwachstellen einen Wert zwischen 0 und 10, basierend auf Faktoren wie Angriffsvektor, Komplexität der Ausnutzung und möglichem Schaden. Ein CVSS-Score von 9 oder höher gilt als „kritisch“.
CVSS hat jedoch Grenzen. Ein kritischer CVSS-Score sagt nichts darüber aus, ob eine Schwachstelle aktiv ausgenutzt wird oder ob ein Exploit überhaupt öffentlich verfügbar ist. Neuere Ansätze wie das EPSS (Exploit Prediction Scoring System) versuchen, genau das zu modellieren und prognostizieren, wie wahrscheinlich es ist, dass eine bestimmte Schwachstelle in den nächsten 30 Tagen aktiv ausgenutzt wird.
Ergänzend dazu hat die CISA (Cybersecurity and Infrastructure Security Agency) den KEV-Katalog (Known Exploited Vulnerabilities) eingeführt. Er listet Schwachstellen, die nachweislich aktiv in realen Angriffen ausgenutzt werden. Für viele Sicherheitsteams gilt: Was im KEV steht, hat höchste Priorität.
4. Remediation
Die eigentliche Behebung von Schwachstellen, die sogenannte Remediation, ist oft der aufwendigste Schritt. Sie kann verschiedene Formen annehmen:
Patching ist die häufigste Maßnahme. Hersteller veröffentlichen regelmäßig Updates, die Schwachstellen beheben. Das Einspielen dieser Patches muss koordiniert, getestet und dokumentiert werden.
Konfigurationsänderungen können Schwachstellen entschärfen, ohne dass ein Patch verfügbar ist. Ein unnötig exponierter Dienst lässt sich abschalten, übermäßig erteilte Rechte lassen sich einschränken.
Workarounds und Mitigationen sind temporäre Maßnahmen, wenn ein Patch noch nicht verfügbar ist oder nicht sofort eingespielt werden kann. Eine Web Application Firewall (WAF) kann beispielsweise bekannte Angriffsmuster blockieren, auch wenn die eigentliche Anwendung noch nicht gepatcht wurde.
Akzeptanz ist in manchen Fällen die bewusste Entscheidung, eine Schwachstelle vorerst nicht zu beheben, beispielsweise weil das betroffene System bald abgelöst wird und das Risiko als gering eingeschätzt wird. Solche Entscheidungen müssen dokumentiert und regelmäßig überprüft werden.
5. Reporting und Verifizierung
Nach der Remediation folgt die Überprüfung: Wurde die Schwachstelle tatsächlich beseitigt? Ein erneuter Scan des betroffenen Systems gibt darüber Auskunft. Parallel dazu wird der gesamte Prozess dokumentiert, um Compliance-Anforderungen zu erfüllen und Trends über die Zeit nachzuverfolgen.
Gute Vulnerability-Management-Lösungen bieten Dashboards und Reports, die den aktuellen Sicherheitsstatus auf einen Blick vermitteln und Fortschritte sichtbar machen.
Vulnerability Management vs. Penetration Testing
Ein häufiges Missverständnis: Vulnerability Management und Penetration Testing werden oft gleichgesetzt. Sie ergänzen sich zwar, sind aber grundlegend verschieden.
Vulnerability Management ist ein kontinuierlicher, automatisierter Prozess. Er scannt regelmäßig bekannte Schwachstellen und verfolgt deren Behebung über Zeit.
Penetration Testing ist ein manueller, zeitlich begrenzter Prozess. Sicherheitsexperten versuchen aktiv, in ein System einzubrechen, oft mit kreativen Methoden jenseits bekannter CVEs. Sie finden Schwachstellen, die automatisierte Scanner nicht erkennen, etwa logische Fehler in Geschäftsanwendungen oder Kombinationen aus mehreren scheinbar harmlosen Schwächen.
Professionelle Sicherheitsprogramme nutzen beide Ansätze. Vulnerability Management sorgt für die kontinuierliche Grundhygiene, Penetration Tests liefern tiefere Einblicke in die tatsächliche Angriffsfähigkeit.
Werkzeuge und Plattformen
Der Markt für Vulnerability-Management-Lösungen ist breit aufgestellt. Einige wichtige Kategorien und Vertreter:
Enterprise-Plattformen wie Tenable.io (ehemals Nessus), Qualys VMDR oder Rapid7 InsightVM bieten umfassende Scanning-Funktionen, Asset-Management und Integrationen in Ticketing-Systeme wie Jira oder ServiceNow.
Open-Source-Werkzeuge wie OpenVAS (Teil des Greenbone Vulnerability Management) ermöglichen Vulnerability Scanning ohne Lizenzkosten, erfordern aber mehr Betriebsaufwand.
Cloud-native Lösungen wie AWS Inspector, Microsoft Defender for Cloud oder Google Security Command Center sind direkt in die jeweiligen Cloud-Plattformen integriert und scannen automatisch dort laufende Workloads.
Container- und DevSecOps-Werkzeuge wie Snyk, Trivy oder Grype fokussieren sich auf Schwachstellen in Container-Images und Abhängigkeiten in der Softwareentwicklung.
Vulnerability Management in der Praxis: Herausforderungen
Theorie und Praxis klaffen im Vulnerability Management oft auseinander. Die häufigsten Probleme:
Patch-Rückstand: Viele Unternehmen haben einen riesigen Rückstand an offenen Schwachstellen, der sich über Jahre aufgebaut hat. Priorisierung wird dann zur Überlebensstrategie.
Koordination zwischen Teams: Security-Teams finden Schwachstellen, aber das Patching liegt oft bei anderen Teams, etwa den Systemadministratoren oder Anwendungsentwicklern. Ohne klare Prozesse und Verantwortlichkeiten gerät das Beheben von Schwachstellen ins Stocken.
Legacy-Systeme: Ältere Systeme erhalten oft keine Updates mehr vom Hersteller. End-of-Life-Software ist ein dauerhaftes Sicherheitsproblem, das sich nicht einfach durch Patching lösen lässt.
Cloud- und Container-Dynamik: In modernen Umgebungen werden Systeme ständig neu erstellt und wieder gelöscht. Klassische Scan-Ansätze, die auf feste IP-Adressen setzen, stoßen hier schnell an Grenzen.
False Positives: Scanner melden manchmal Schwachstellen, die in der konkreten Umgebung gar nicht ausnutzbar sind. Das kostet Zeit bei der Triage und kann das Vertrauen in den Prozess untergraben.
Regulatorische Anforderungen
Vulnerability Management ist in vielen Branchen nicht nur Best Practice, sondern regulatorische Pflicht. Wichtige Frameworks und Standards, die explizite Anforderungen stellen:
ISO 27001 fordert in Anhang A die regelmäßige Überprüfung auf technische Schwachstellen als Teil eines Informationssicherheits-Managementsystems.
PCI DSS (Payment Card Industry Data Security Standard) schreibt für Unternehmen, die Kreditkartendaten verarbeiten, vierteljährliche externe Schwachstellenscans und jährliche Penetrationstests vor.
NIS2 (Network and Information Systems Directive 2), die in der EU seit Oktober 2024 gilt, verpflichtet Betreiber kritischer und wichtiger Infrastrukturen zu technischen Sicherheitsmaßnahmen, zu denen auch Vulnerability Management gehört.
BSI-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik enthält detaillierte Bausteine für den systematischen Umgang mit Schwachstellen.
Vulnerability Management in der Softwareentwicklung: Shift Left
Klassisches Vulnerability Management setzt an bestehenden Systemen an. Ein moderner Ansatz, der in der Softwareentwicklung zunehmend Verbreitung findet, ist „Shift Left“: Schwachstellen sollen möglichst früh im Entwicklungsprozess gefunden werden, bevor Software überhaupt in Produktion geht.
Das bedeutet: Entwickler prüfen ihre Abhängigkeiten bereits beim Schreiben von Code auf bekannte Schwachstellen. CI/CD-Pipelines führen automatisch Security-Scans durch. Container-Images werden vor dem Deployment auf Schwachstellen geprüft.
Tools wie Dependabot (in GitHub integriert), Snyk oder OWASP Dependency-Check unterstützen diesen Ansatz. Das Ziel ist, Sicherheit nicht als nachgelagerte Kontrolle zu behandeln, sondern als integralen Teil der Softwareentwicklung.
Fazit
Vulnerability Management ist kein einmaliges Projekt und kein Werkzeug, das man einmal konfiguriert und dann laufen lässt. Es ist ein kontinuierlicher Prozess, der Disziplin, klare Verantwortlichkeiten und die richtigen Werkzeuge erfordert.
Angesichts der wachsenden Angriffsflächen durch Cloud, Container und IoT wird er eher komplexer als einfacher. Unternehmen, die Vulnerability Management als strategische Daueraufgabe verstehen und in entsprechende Prozesse und Werkzeuge investieren, verschaffen sich einen messbaren Vorteil gegenüber Angreifern, die auf leichte Ziele aus sind.
