Schwachstellenbewertung

Warum Es Wichtig Ist

Moderne Unternehmen betreiben tausende Assets in Cloud, On-Premises, Mobile und IoT. Jedes kann bekannte Schwachstellen (CVEs), Fehlkonfigurationen oder unsichere Standardeinstellungen aufweisen. Ohne ein systematisches Programm sind Organisationen blind für Schwächen, die Angreifer unweigerlich finden.

Der Equifax-Vorfall 2017 nutzte eine ungepatchte Apache-Struts-Lücke. Log4Shell (CVE-2021-44228) gab Angreifern Remote Code Execution auf Millionen von Systemen. Schwachstellenbewertung ist Voraussetzung für Risikomanagement.

Der Prozess

1. Asset Discovery

Man kann nicht schützen, was man nicht kennt. Kombinieren Sie Netzwerkerkennung, Agenten-Telemetrie, Cloud-APIs, CMDB und externes Attack Surface Management.

2. Scannen

Authentifiziertes Scannen liefert deutlich bessere Ergebnisse.

3. Validierung

Scanner liefern False Positives. Kritische Findings manuell oder durch Korrelation validieren.

4. Priorisierung

Risiko = CVSS × EPSS × Kritikalität × Exposition

Kritische Indikatoren:
- CVE im CISA KEV
- EPSS > 50 %
- Internet-exponiertes Asset
- Sensible Daten
- Keine kompensierenden Kontrollen

5. Behebung

Patches, Konfigurationsänderungen, kompensierende Kontrollen oder dokumentierte Risikoakzeptanz. SLAs: Kritisch 7 Tage, Hoch 30 Tage, Mittel 90 Tage.

6. Verifizierung

Re-Scan zur Bestätigung. MTTR als zentrale Programm-KPI.

Standards und Quellen

• CVE (MITRE), NVD, CWE
• CISA KEV
• EPSS

Best Practices

1. Kontinuierliches Scannen statt vierteljährlich.
2. Authentifizierte Scans wo möglich.
3. Risikobasierte Priorisierung (CVSS + EPSS + Kontext).
4. CISA KEV als sofortige Priorität.
5. Integration mit Ticketing für SLAs.
6. MTTR messen.

Verwandte Konzepte

• Risikomanagement
• Threat Hunting
• Sicherheits-Framework
• Exploit