Vulnerability Management: Systematisches Schwachstellenmanagement in der Praxis
Vulnerability Management ist mehr als regelmäßige Scans - es ist ein kontinuierlicher Prozess aus Erkennung, Bewertung, Priorisierung, Behebung und Verifikation. Dieser Artikel erklärt das vollständige VM-Programm: Scanner-Auswahl, CVSS vs. EPSS-Priorisierung, Patch-SLAs, Metriken und Integration in DevSecOps und ISMS.
Inhaltsverzeichnis (5 Abschnitte)
Vulnerability Management (VM) ist der kontinuierliche Prozess, Schwachstellen in IT-Systemen zu erkennen, zu bewerten, zu priorisieren und zu beheben. Es ist ein fundamentaler Bestandteil jedes ISMS und wird explizit von ISO 27001 (A.8.8), NIS2 und den CIS Controls (Control 7) gefordert.
Der Vulnerability-Management-Zyklus
VM ist kein einmaliger Prozess, sondern ein kontinuierlicher Zyklus aus sieben Phasen:
Phase 1 - Asset Discovery: Was scannen wir überhaupt? Ein vollständiges Asset-Inventar ist die Grundlage - ohne es entstehen blinde Flecken. Scope: alle IP-Ranges, Cloud-Ressourcen, Web-Apps.
Phase 2 - Vulnerability Scanning: Regelmäßige authentifizierte Scans liefern ein vollständiges Bild der installierten Software und Patches. Unauthentifizierte Scans zeigen extern-sichtbare Risiken, finden aber weniger. Empfohlene Frequenz: kritische Systeme wöchentlich, alle anderen monatlich.
Phase 3 - Vulnerability Assessment: Bewertung der gefundenen Schwachstellen anhand des CVSS-Scores (technische Schwere), des Kontexts (ist das System exponiert? enthält es sensitive Daten?) und durch False-Positive-Filterung.
Phase 4 - Priorisierung: Nicht alle CVSS-10-Schwachstellen sind gleichzeitig dringend. EPSS (Exploit Prediction Scoring System) gibt an, wie wahrscheinlich eine Exploitation in den nächsten 30 Tagen ist. Business Impact entscheidet, welche Systeme kritisch für den Betrieb sind.
Phase 5 - Remediation: Patchen (Update durchführen), Mitigieren (Workaround wenn kein Patch verfügbar), oder Akzeptieren (dokumentiertes Risiko mit Begründung). SLAs müssen eingehalten werden.
Phase 6 - Verifikation: Wurde der Patch wirklich angewendet? Rescan nach dem Patch, Schließen und Dokumentieren des Findings.
Phase 7 - Reporting und Metriken: Trend-Analyse (werden wir besser oder schlechter?), Mean Time to Remediate (MTTR) pro Severity, Management-Reporting.
CVSS vs. EPSS - wie priorisieren?
CVSS (Common Vulnerability Scoring System) bewertet die technische Schwere einer Schwachstelle (0-10) anhand von Angriffspfad, Komplexität, benötigten Rechten und Impact. Das Problem: CVSS bewertet nicht, wie wahrscheinlich eine Exploitation tatsächlich ist. Von ca. 25.000 neuen CVEs pro Jahr sind noch immer Hunderte mit CVSS 9-10 bewertet - eine Priorisierung ausschließlich nach CVSS führt zu "alle 9,0+ zuerst" und damit zu einer unbearbeitbaren Liste.
EPSS (Exploit Prediction Scoring System, FIRST.org-Initiative, kostenlos) schätzt die Wahrscheinlichkeit, dass eine CVE in den nächsten 30 Tagen aktiv ausgenutzt wird (Skala 0-1). Es berücksichtigt PoC-Verfügbarkeit, Threat Intelligence und Scan-Daten und wird täglich aktualisiert.
Die Kombination beider Metriken liefert die beste Priorisierung:
| CVE | CVSS | EPSS | Empfehlung |
|---|---|---|---|
| CVE-2021-44228 (Log4Shell) | 10,0 | 0,975 | SOFORT - aktiv ausgenutzt |
| CVE-2023-12345 | 9,8 | 0,004 | Weniger dringend - kein aktiver Exploit |
| CVE-2022-67890 | 7,5 | 0,89 | DRINGEND - aktiv ausgenutzt trotz niedrigerem CVSS |
CVE-2022-67890 mit CVSS 7,5 hat trotz niedrigerem Score höhere Dringlichkeit als CVE-2023-12345 mit CVSS 9,8.
CISA KEV (Known Exploited Vulnerabilities): Das Katalog der CISA (cisa.gov/known-exploited-vulnerabilities-catalog) listet offiziell in-the-wild ausgenutzte Schwachstellen, wird täglich aktualisiert und ist kostenlos. Für US-Bundesbehörden besteht Pflicht zum Patchen innerhalb definierter Fristen; für alle anderen ist es die verlässlichste "sofort patchen"-Liste. Abonnierbar via API oder RSS-Feed.
Zusätzlicher Vulnerability-Kontext aus der eigenen Umgebung: Ist das System aus dem Internet erreichbar (erhöht Dringlichkeit erheblich)? Enthält es sensitive Daten? Gibt es Mitigationen, die den CVSS-Score faktisch senken (z. B. Firewall blockiert den Angriffsvektor)?
Scanner und Tools
Open Source
OpenVAS / Greenbone Community Edition: Komplettlösung aus Scanner, Verwaltung und Reporting mit täglich aktualisierten NVTs (Network Vulnerability Tests). Docker-basiertes Deployment verfügbar. Authentifizierte Scans (SSH-Schlüssel oder Windows-Credentials) liefern deutlich mehr Findings als unauthentifizierte. Empfohlene Scan-Policy: Full and Very Deep, wöchentlich für Server.
Nessus Essentials (kostenlos bis 16 IPs): Branchenbester Scanner in der kostenlosen Variante für bis zu 16 Hosts. Plugins werden täglich aktualisiert. Gut für den Einstieg und kleine Umgebungen.
Kommerziell
- Tenable Nessus Pro / io: Unbegrenzte Hosts, web-basierte Verwaltung, CI/CD-Integration, ab ca. 3.000 EUR/Jahr.
- Rapid7 InsightVM: Live-Dashboards, agenten-basiert für Laptops (auch wenn Off-Network), Integration in SIEM und Ticketsysteme.
- Qualys VMDR: Cloud-basiert ohne lokalen Scanner, sehr breite Plattform (WAF, Policy Compliance), Großunternehmen-Fokus.
Spezialisierte Scanner
- Web-Applikationen: OWASP ZAP (kostenlos), Burp Suite Enterprise (kommerziell), Nuclei (kostenlos, Template-basiert), Nikto (kostenlos)
- Container: Trivy (kostenlos, Aquasecurity), Grype (kostenlos, Anchore), Snyk Container (freemium)
- Cloud-Konfiguration: Prowler (kostenlos, AWS/Azure/GCP), ScoutSuite (kostenlos), Wiz (kommerziell)
- Code-Abhängigkeiten (SCA): Snyk (freemium), OWASP Dependency-Check (kostenlos), GitHub Dependabot (kostenlos für GitHub-Repos)
Patch-SLAs und Metriken
Empfohlene Patch-SLAs nach Severity und Angriffsfläche:
| Severity | Angriffsfläche | Patch-SLA |
|---|---|---|
| Critical (9-10) | Extern | 24 Stunden |
| Critical (9-10) | Intern | 72 Stunden |
| High (7-8) | Extern | 7 Tage |
| High (7-8) | Intern | 14 Tage |
| Medium (4-6) | Alle | 30 Tage |
| Low (0-3) | Alle | 90 Tage (oder akzeptieren) |
| CISA KEV | Alle | Immer sofort, unabhängig von CVSS |
Ausnahme-Management: Wenn ein SLA nicht einhaltbar ist, wird ein dokumentiertes Risiko-Akzeptanz-Dokument erstellt (z. B. "CVE-2023-XXXXX: Patch nicht verfügbar, Mitigierung: WAF-Rule aktiv"). Alle Ausnahmen benötigen Genehmigung durch CISO/Leitung und werden quartalsweise überprüft.
VM-Metriken für das Management-Reporting:
| Metrik | Zielwert | Formel |
|---|---|---|
| Vulnerability Discovery | < 48h | Zeit bis neues CVE im System erfasst |
| Patch Compliance Rate | > 95% | gepatchte VMs / alle VMs |
| Mean Time to Remediate | < 7d (CRIT) | Durchschnitt aller behobenen Findings |
| Overdue Findings | 0 | Critical/High außerhalb SLA |
| Attack Surface Reduction | Trend abnehmend | Findings über Zeit |
| Scanner Coverage | > 95% | gescannte Assets / alle Assets |
Monatlicher Reporting-Inhalt: neue Schwachstellen diesen Monat, behobene Schwachstellen, offene Criticals mit Trend, SLA-Einhaltung (Ziel: >95%), Top-5 riskanteste Assets, Empfehlungen für den nächsten Monat.
VM in die Entwicklung integrieren (Shift Left)
Code-Phase (Entwickler-Workstation): IDE-Plugins wie Snyk oder SonarLint zeigen CVEs in Abhängigkeiten sofort. Pre-commit-Hooks mit pip-audit oder npm audit laufen vor jedem Commit. Aufwand: 5 Minuten Setup, 0 EUR Kosten.
CI/CD-Phase (Pipeline): SCA-Scan (alle Abhängigkeiten auf CVEs), Container-Scan (Trivy auf jedes gebaute Image), IaC-Scan (Checkov auf Terraform/CloudFormation). Fail-Fast-Regel: Critical-Findings stoppen die Pipeline.
Staging-Phase: DAST mit ZAP oder Nuclei gegen die laufende Anwendung findet Web-App-Schwachstellen vor dem Produktionsdeployment.
Produktions-Phase: Kontinuierlicher Scan (wöchentlich bzw. täglich für kritische Systeme), optional RASP (Runtime Application Self-Protection), WAF für virtuelle Patches.
"Virtual Patching" via WAF: Wenn eine CVE bekannt ist, aber der Patch noch nicht verfügbar ist, kann eine WAF-Regel den spezifischen Angriffsvektor kurzfristig blockieren. Dies ist keine dauerhafte Lösung und kein Ersatz für den echten Patch.
# SCA in CI/CD (Beispiele)
npm audit --production
pip-audit
./mvnw dependency-check:check -Dfailbuild=true -DcvssScoreThreshold=7.0Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.
