Seit NIS2 verbindlich gilt, beschäftigen sich viele Unternehmen mit Risikomanagement, Meldepflichten und organisatorischen Anforderungen. Ein Bereich wird dabei häufig unterschätzt: das Schwachstellenmanagement.
Bekannte Schwachstellen gehören nach wie vor zu den häufigsten Ursachen für Sicherheitsvorfälle. Gleichzeitig wächst die Zahl der veröffentlichten Schwachstellen jedes Jahr. Viele Unternehmen stehen vor der Aufgabe, hunderte oder tausende Meldungen zu bewerten und die relevanten Risiken herauszufiltern.
Was fordert NIS2 beim Schwachstellenmanagement?
Die Richtlinie schreibt nicht vor, welche Tools eingesetzt werden müssen oder innerhalb welcher Frist ein Update installiert werden muss.
Unternehmen müssen Schwachstellen identifizieren, bewerten, priorisieren und behandeln. Die Vorgehensweise muss dokumentiert und nachvollziehbar sein.
Dazu gehört unter anderem:
- Identifikation von Schwachstellen
- Bewertung der Risiken
- Priorisierung von Maßnahmen
- Behandlung erkannter Schwachstellen
- Dokumentation und Nachverfolgung
Warum viele Unternehmen trotzdem Probleme haben
Scanner liefern Listen mit Schwachstellen. Die Priorisierung bleibt beim Unternehmen. Ohne vollständige Übersicht über Systeme, Abhängigkeiten und Schutzbedarf entsteht schnell eine lange Liste offener Findings ohne klare Reihenfolge.
Schritt 1: Wissen, welche Systeme überhaupt betroffen sind
Schwachstellenmanagement beginnt nicht mit einem Scanner, sondern mit der Frage welche Systeme überhaupt betrachtet werden müssen.
Dazu gehören beispielsweise:
- Server und Clients
- Netzwerkkomponenten
- Cloud-Dienste
- Anwendungen
- Datenbanken
- Fernwartungszugänge
- Produktionsanlagen und OT-Systeme
Gerade bei gewachsenen Infrastrukturen zeigt sich häufig, dass einzelne Systeme nicht oder nur unvollständig dokumentiert sind. Schwachstellen können dann weder erkannt noch bewertet werden.
Schritt 2: Schwachstellen identifizieren
Erkannte Schwachstellen stammen häufig aus unterschiedlichen Quellen:
- Vulnerability Scanner
- Herstellerwarnungen
- CERT-Meldungen
- Penetration Tests
- Security Assessments
In größeren Umgebungen kommen schnell mehrere hundert oder tausend Findings zusammen.
Schritt 3: Risiken bewerten statt nur CVSS-Werte betrachten
Eine CVSS 9.8 auf einem isolierten Testsystem kann weniger kritisch sein als eine CVSS 6.5 auf einem zentralen System mit direktem Zugriff aus dem Unternehmensnetz.
Entscheidend sind unter anderem folgende Fragen:
- Ist das System überhaupt erreichbar?
- Kann die Schwachstelle tatsächlich ausgenutzt werden?
- Welche Auswirkungen hätte ein erfolgreicher Angriff?
- Welche Schutzmaßnahmen existieren bereits?
Schritt 4: Maßnahmen priorisieren
In der Praxis werden Schwachstellen häufig in unterschiedliche Prioritätsstufen eingeteilt. Kritische Schwachstellen werden sofort behandelt, andere im nächsten Wartungsfenster oder durch kompensierende Maßnahmen abgesichert.
Unternehmen müssen entscheiden:
- Sofortige Behebung
- Geplante Behebung im nächsten Wartungsfenster
- Kompensierende Schutzmaßnahmen
- Bewusste Risikoakzeptanz
Gerade in OT-Umgebungen ist ein sofortiges Einspielen von Updates oft nicht möglich. Umso wichtiger wird eine nachvollziehbare Risikobewertung.
Schritt 5: Schwachstellenmanagement als kontinuierlichen Prozess verstehen
Neue Schwachstellen werden täglich veröffentlicht. Hersteller veröffentlichen Updates, Systeme werden erweitert und neue Anwendungen kommen hinzu. Deshalb muss die Bewertung regelmäßig wiederholt werden.
Typische Schwachstellen im Schwachstellenmanagement
In Projekten begegnen uns immer wieder ähnliche Herausforderungen:
Unvollständige Systemübersicht
Nicht alle Systeme sind bekannt oder dokumentiert.
Fehlende Priorisierung
Alle Schwachstellen werden gleich behandelt.
Fokus auf Office-IT
Produktionsanlagen, OT-Systeme und technische Infrastruktur bleiben häufig außen vor.
Unklare Verantwortlichkeiten
Niemand weiß genau, wer bewertet, priorisiert oder Maßnahmen freigibt.
Reaktive statt kontinuierliche Prozesse
Schwachstellen werden erst bearbeitet, wenn ein Problem bereits sichtbar geworden ist.
Was Unternehmen jetzt tun sollten
Ein funktionierendes Schwachstellenmanagement benötigt keine perfekte Infrastruktur und keine zehn verschiedenen Security-Tools.
Wichtiger sind klare Prozesse und Verantwortlichkeiten:
- Systeme und Assets erfassen
- Schwachstellen regelmäßig identifizieren
- Risiken im Kontext bewerten
- Maßnahmen priorisieren
- Ergebnisse dokumentieren
- Prozesse regelmäßig überprüfen
NIS2 Beratung & Umsetzung mit ICS
Ob fehlende Asset-Übersicht, unklare Priorisierung oder die Einbindung von OT-Systemen: ICS unterstützt Unternehmen bei der Umsetzung der NIS2-Anforderungen. Von der Gap-Analyse über ISMS und Schwachstellenmanagement bis hin zur kontinuierlichen Risikoanalyse mit SECIRA.
Mehr zu unserem NIS2 Angebot erfahren → NIS2 Umsetzung & Beratung
Mehr zu ISMS erfahren → Implementierung eines ISMS
Mehr über Schwachstellenmanagement & Risikoanalyse erfahren → Kontinuierliche Risikoanalye mit SECIRA
