Organisatorische Maßnahme
Schwachstellenmanagement
Der Schwachstellenmanagement-Prozess
Identifikation
Kontinuierliche Erfassung von Schwachstellen: automatisierte Scans, Herstellermeldungen, CVE-Feeds, CERT-Bund-Warnungen.
Bewertung
Risikobewertung nach CVSS-Score und tatsächlicher Relevanz: Ist das System exponiert? Gibt es einen Exploit? Welche Daten wären betroffen?
Priorisierung
Nicht alle Schwachstellen können sofort geschlossen werden. Kritische (CVSS ≥ 9) zuerst, dann Hoch (7–8.9), dann Rest nach Exposition.
Behebung & Nachverfolgung
Patch einspielen, Workaround umsetzen oder das Risiko dokumentiert akzeptieren. Offene Schwachstellen bis zur Behebung nachverfolgen.
Werkzeuge für KMU
- BSI CERT-Bund Warnungen – kostenloser Newsletter zu aktuellen Schwachstellen in gängiger Software
- Greenbone Community Edition – Open-Source-Schwachstellenscanner für das eigene Netzwerk
- Qualys FreeScan / Nessus Essentials – begrenzte kostenlose Scans für kleinere Umgebungen
- Microsoft Defender Vulnerability Management – integriert in Windows-Umgebungen mit Microsoft 365
- CVE-Datenbank (nvd.nist.gov) – öffentliche Datenbank bekannter Schwachstellen mit CVSS-Scores
Reaktionsfristen nach Schwere
24–72 Stunden
Sofortige Maßnahmen: Patch einspielen oder System isolieren. Bei aktiver Ausnutzung im Umlauf: Notfallpatch innerhalb von Stunden.
7–14 Tage
Zeitnahe Behebung innerhalb des nächsten Wartungsfensters oder dedizierter Notfall-Patch.
30–90 Tage
Behebung im regulären Patch-Zyklus. Dokumentation, falls Behebung nicht möglich ist (Risikakzeptanz mit Begründung).