Die 5 Hauptphasen des Schwachstellenmanagement-Prozesses

Es versteht sich von selbst, dass diese Kosten für die meisten Unternehmen einfach zu hoch sind. Zudem schicken die wenigsten von ihnen Raumschiffe ins All, bei denen das Leben von Astronauten buchstäblich auf dem Spiel steht. Das Schwachstellenmanagement ist daher ein wesentlich realistischeres Ziel für gewöhnliche Unternehmen.

Als Prozess beinhaltet das Schwachstellenmanagement die Identifizierung, Bewertung und Priorisierung von Sicherheitslücken in Systemen, Workloads und Endpunkten. Nachdem die Schwachstellen klassifiziert wurden, befasst sich der Prozess typischerweise mit der Behebung, Berichterstattung und der zufriedenstellenden Lösung der entdeckten Bedrohungen.

Was ist der Unterschied zwischen einem Schwachstellenmanagement-Programm und einem -Prozess?

Die Begriffe „Schwachstellenmanagement-Programm“ und „Schwachstellenmanagement-Prozess“ sind miteinander verwandt, stehen jedoch für unterschiedliche Aspekte beim Umgang mit Schwachstellen in den Sicherheitspraktiken einer Organisation.

Ein Schwachstellenmanagement-Programm ist ein umfassender und strategischer Ansatz für das Management von Schwachstellen über die gesamte IT-Infrastruktur-Software und die Systeme einer Organisation hinweg. Es handelt sich um ein übergeordnetes Konzept, das verschiedene Elemente wie Richtlinien, Verfahren, Werkzeuge und Ressourcen umfasst, die darauf abzielen, das Gesamtrisiko durch Schwachstellen zu verringern.

Ein Schwachstellenmanagement-Programm umfasst typischerweise die folgenden Komponenten:

• Schwachstellenbewertungen: Systeme, Anwendungen und Netzwerke regelmäßig scannen, um potenzielle Schwachstellen zu identifizieren.
• Priorisierung von Risiken: Schwachstellen anhand ihrer Schwere und ihrer potenziellen Auswirkungen auf das Unternehmen bewerten und priorisieren.
• Patch-Management: Prozesse für die Anwendung von Sicherheitspatches und Updates entwickeln, um identifizierte Schwachstellen zu beheben. (häufig erleichtert durch Security Testing Tools)
• Bedrohungsinformationen: Bedrohungsinformationen integrieren, um die neuesten Schwachstellen und potenziellen Angriffspfade zu erkennen.
• Berichte und Kennzahlen: Berichte und Kennzahlen erstellen, um die Wirksamkeit der Maßnahmen im Schwachstellenmanagement zu verfolgen.
• Verantwortlichkeiten und Rollen: Verantwortlichkeiten und Rollen der am Schwachstellenmanagement beteiligten Mitarbeiter klar definieren.

Der Schwachstellenmanagement-Prozess ist ein spezifischer und operativer Teil des Schwachstellenmanagement-Programms. Er bezieht sich auf die Schritt-für-Schritt-Verfahren und Maßnahmen, die beim Umgang mit einer einzelnen oder einer Reihe von Schwachstellen ergriffen werden. Der Prozess umfasst das Ausführen von Aufgaben und folgt einem strukturierten Ansatz, um Schwachstellen wirksam zu behandeln.

Der Schwachstellenmanagement-Prozess beinhaltet in der Regel folgende Phasen:

• Identifikation: In dieser Phase werden Schwachstellen mit verschiedenen Methoden wie Schwachstellenscans, manuellen Bewertungen oder Penetrationstests erkannt und katalogisiert.
• Bewertung: Nach der Identifikation werden die Schwachstellen hinsichtlich ihrer Schwere und ihres potenziellen Einflusses auf die Vermögenswerte und Prozesse der Organisation bewertet.
• Behebung: In dieser Phase ergreift die Organisation Maßnahmen zur Behebung der identifizierten Schwachstellen. Dies kann das Anwenden von Sicherheitspatches, Konfigurationsänderungen oder das Implementieren von Workarounds beinhalten.
• Überprüfung: Nachdem die Behebungsmaßnahmen umgesetzt wurden, prüft die Organisation, ob die Schwachstellen erfolgreich behoben und gemindert wurden.
• Berichterstattung: Während des gesamten Prozesses sind Dokumentation und Berichterstattung entscheidend, um Fortschritte zu verfolgen, die Einhaltung von Vorschriften zu sichern und mit Stakeholdern zu kommunizieren.

Zusammengefasst ist ein Schwachstellenmanagement-Programm eine umfassende Strategie, die verschiedene Elemente zur effektiven Steuerung von Schwachstellen in einer Organisation vereint. Der Schwachstellenmanagement-Prozess hingegen ist eine spezifische Abfolge von Schritten und Maßnahmen zur Identifizierung, Bewertung und Behebung einzelner Schwachstellen als Teil des übergeordneten Programms. Der Prozess ist somit ein integraler Bestandteil des Programms und trägt maßgeblich zu dessen Erfolg bei.

JOIN THE COMMUNITY

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Sign up with LinkedIn

Or sign up with email:

Facebook

This field is for validation purposes and should be left unchanged.

Name*

First name Last name

Business email*

This field is hidden when viewing the form

Free Account Module

Bottom BarLanding PageFooterInlinePop UpSidebarSSO

LinkedIn profile

Seniority*

Select an optionExecutive / C-suiteVPDirectorManagerIndividual ContributorOther

Company's AI adoption maturity*

Select an optionExploring opportunitiesRunning pilotsScaling adoptionEmbedded in the business model

Die fünf Phasen des Schwachstellenmanagement-Prozesses

Im Gegensatz zur Schwachstellenbewertung, die ein einmaliges Ereignis ist, handelt es sich beim Schwachstellenmanagement um einen kontinuierlichen, fortlaufenden Prozess. Dies sind die Schritte, die im Lebenszyklus des Schwachstellenmanagements zu befolgen sind.

Schritt 1: Erkennen von Schwachstellen

In diesem Schritt dreht sich alles darum, Schwachstellen zu identifizieren und zu klassifizieren. Schwachstellen werden üblicherweise mithilfe des Common Vulnerability Scoring System (CVSS) eingestuft.

Die Rolle des CVSS ist im zweiten Schritt noch wichtiger; allerdings steht hier vor allem das Schwachstellenscanning im Mittelpunkt. Schwachstellenscans werden häufig im Rahmen eines Penetrationstests von einer Pentesterin oder einem Sicherheitsteam durchgeführt.

Bei diesem Prozess wird ein Schwachstellenscanner als automatisiertes Werkzeug eingesetzt, um bekannte Schwachstellen in der IT-Infrastruktur eines Unternehmens zu suchen, zu identifizieren und zu melden.

Er erstellt ein Inventar aller im System verfügbaren IT-Assets, insbesondere jener, die aktiv mit dem Netzwerk der Organisation verbunden sind. Dazu gehören typischerweise Firewalls, Server, Betriebssysteme, Container, virtuelle Maschinen, Router, Drucker, Laptops, Desktops und Switches.

Auch Endpunkte wie offene Ports, IoT-Geräte, Systemkonfigurationen, installierte Software, Anwendungen von Drittanbietern und Dateisystemstrukturen werden überprüft.

Da Schwachstellenscanner das Netzwerk einer Organisation auf Schwachstellen untersuchen, ist die Wahrscheinlichkeit von Systemstörungen oder Beeinträchtigungen hoch. Deshalb passen White-Hat-Hacker ihre Methoden während des Penetrationstests üblicherweise an, um dem entgegenzuwirken. Sie könnten beispielsweise Systeme ausschließen, die zu instabilem oder unberechenbarem Verhalten neigen, oder ihre Methoden so anpassen, dass sie möglichst wenig stören. Ist beispielsweise die Netzwerkbandbreite eine Herausforderung, können sie die Netzwerkscans auf Zeiten außerhalb der Hauptgeschäftszeiten verlegen, wenn die Bandbreite weniger beansprucht wird. 

Schwachstellenmanagement-Lösungen sind zudem in der Lage, kontinuierlich Daten von Systemen mithilfe von Endpunkt-Agenten zu sammeln. Mit fortschreitender Entwicklung sind diese Lösungen auch flexibler geworden und scannen neue Systeme oder Geräte direkt nach deren Verbindung mit dem Netzwerk.

Doch das alleinige Systemscanning ist nicht das Hauptziel dieses Schrittes. 

Insgesamt wird die System- und Netzwerksicherheit einer Organisation durch die in diesem Schritt erstellte Übersicht der IT-Assets gesteigert. Mithilfe dieser Asset-Erkennung kann eine Organisation einfach feststellen, welche Geräte geschützt sind, welche Komponenten ungeschützt bleiben und wie auf Systemendpunkte potenziell zugegriffen werden kann.

Dieser Schritt ist entscheidend, da er dazu beiträgt, die Angriffsfläche zu bestimmen, die für Ausnutzung offen oder anfällig ist. Zudem werden die durch die Schwachstellenmanagement-Lösung gesammelten Informationen genutzt, um Berichte und Systemmetriken zu erstellen, die im nächsten Schritt des Managementprozesses verwendet werden.

Eine sichere Datenspeicherung ist im Schwachstellenmanagement essenziell. Ein Weg, dies zu erreichen, ist die Nutzung hochwertiger Datenbankmanagement-Software.

Schritt 2: Bewertung von Schwachstellen

Nachdem die Schwachstellen entdeckt wurden, besteht der nächste Schritt darin, die identifizierten Schwachstellen nach ihrem Risikograd zu bewerten. Im ersten Schritt habe ich bereits das CVSS kurz erwähnt und wie es als System zur Einstufung von Cybersecurity-Schwachstellen eingesetzt wird.

CVSS ist ein offener, kostenloser Standard zur Kommunikation des Schweregrades von Schwachstellen. Es vergibt einen Score von 0,0 bis 10,0. Zur Ergänzung der Schwachstellenbewertung enthält die National Vulnerability Database (NVD) eine Schweregradbewertung für die CVSS-Scores, wie in der nachstehenden Tabelle aufgeführt.

Diese Scores zeigen Organisationen, welches Risiko von den jeweiligen Infrastrukturen durch einzelne Schwachstellen ausgeht. So können Organisationen Schwachstellen und Bedrohungen priorisieren und gezielt bekämpfen. Diese Bewertung informiert außerdem über die Risikomanagementstrategie sowie die Maßnahmen zur Behebung.

Obwohl Schwachstellenscanner und CVSS-Werte hervorragende Werkzeuge darstellen, vermitteln sie möglicherweise nicht immer ein vollständiges Bild der Risiken, denen eine Organisation ausgesetzt ist.

Das liegt daran, dass diese standardmäßigen Bewertungsskalen nicht immer die besten Einblicke in die Bedrohungen bieten, denen Ihr Unternehmen aufgrund seines spezifischen Risikoprofils ausgesetzt ist. Obwohl intelligente Schwachstellenmanagement-Tools Risiken priorisieren können, sind sie möglicherweise nicht immer differenziert genug, um alle zusätzlichen Faktoren zu berücksichtigen.

Cybersecurity-Expert:innen können mit der gesammelten Bedrohungsintelligenz einen besseren, ganzheitlichen Kontext zu Ihrer Risikobelastung liefern. Diese Sicherheitsprofis berücksichtigen oft eine Vielzahl von Faktoren wie die folgenden, um eine geeignete Risikobewertung vorzunehmen:

• Handelt es sich hierbei um eine echte Schwachstelle oder lediglich um einen Fehlalarm?
• Wie schwer ist es, die Schwachstelle auszunutzen?
• Kann diese Schwachstelle aus der Ferne ausgenutzt werden?
• Wie einfach ist die Ausnutzung dieser Schwachstelle?
• Existieren für diese Schwachstelle bereits öffentlich verfügbare Exploits?
• Wie viele Geräte sind mit dieser Schwachstelle betroffen?
• Handelt es sich um eine neue Schwachstelle (ältere Schwachstellen verursachen oftmals eine höhere Risikobelastung) und wissen Sie, wie lange sie bereits im Netzwerk besteht?
• Sind in Ihrer Infrastruktur bereits Sicherheitsrichtlinien, -protokolle und Kontrollen vorhanden, um die Auswirkungen der Schwachstelle im Falle einer Ausnutzung zu mindern?
• Welche Auswirkungen hätte ein erfolgreicher Angriff auf diese Schwachstelle auf das gesamte Unternehmen?

Schritt 3: Beheben von Schwachstellen

Dieser Schritt konzentriert sich darauf, entdeckte Schwachstellen zu behandeln und zu beseitigen. Verschiedene Strategien werden angewendet, um Schwachstellen je nach dem Risiko, das sie für das Unternehmen darstellen, zu priorisieren und zu eliminieren.

Patchen

Patchen ist oft die naheliegendste Lösung, um einen Großteil der in Software gefundenen Schwachstellen zu beheben. Tatsächlich sind die meisten Cybersecurity-Breaches auf ungepatchte Software zurückzuführen. Deshalb ist ein Patch-Management-System, das Betriebssysteme und Drittanbieter-Software auf dem neuesten Stand hält, essenziell.

Es kann jedoch vorkommen, dass ein Anbieter noch keinen Patch für eine bestimmte Schwachstelle herausgebracht hat. In diesem Fall sollten Organisationen auf andere Minderungsmaßnahmen zurückgreifen, um die Auswirkungen einer möglichen Ausnutzung zu verringern.

Solche Maßnahmen können das Einschränken von Benutzerrechten für bestimmte Aktionen umfassen oder—abhängig vom Schweregrad—das Entfernen oder Blockieren betroffener Geräte aus dem Netzwerk.

Dort, wo Bedrohungen und Schwachstellen adressiert werden, müssen Maßnahmen etabliert und Fortschritte sichtbar gemacht werden, um eine sicherere Sicherheitslage in der Organisation zu erreichen.

Akzeptanz

Akzeptanz ist ebenfalls eine kontraintuitive Strategie im Schwachstellenmanagement. Sie bedeutet, bei entdeckten Schwachstellen bewusst nichts zu unternehmen. Diese Strategie ist sinnvoll bei geringfügigen Risiken, die das Unternehmen kaum gefährden. Besonders dann, wenn die Behebung teurer wäre als potenzielle Schäden durch die Schwachstelle. 

Selbst wenn nur harmlose Schwachstellen behoben werden sollen, sollten Organisationen dennoch darauf achten, ihre gemeldeten Schwachstellenkennzahlen zu optimieren. Je mehr das Schwachstellenmanagementsystem auf die Verbesserung dieser Kennzahlen abzielt, desto weiter wird die Angriffsfläche des Unternehmens reduziert.

Darüber hinaus kann dieser Verbesserungsprozess eine Grundlage für das Risikomanagement schaffen, die das Unternehmen stetig mit neuen und ehrgeizigeren Zielen anheben kann.

Schritt 4: Überprüfung von Schwachstellen

Dieser Schritt stellt sicher, dass die Bedrohungen im System durch Kontroll-Audits beseitigt wurden. Penetrationstests sollten ebenfalls eingesetzt werden, um die Wirksamkeit der getroffenen Maßnahmen zu überprüfen. Zusätzlich wird sichergestellt, dass auf dem Weg nicht unbeabsichtigt neue Schwachstellen entstanden sind.

Schritt 5: Schwachstellen dokumentieren

Es ist wichtig, nicht nur die entdeckten Schwachstellen, sondern auch einen Sicherheitsplan zu dokumentieren, der beschreibt, wie bekannte Schwachstellen gehandhabt und verdächtige Aktivitäten überwacht werden sollen. Diese Berichte sind unerlässlich, da sie Aufzeichnungen liefern, die Unternehmen helfen, ihre Sicherheitsreaktionen zukünftig zu verbessern.

Diese Berichte sind auch wichtig für die Weitergabe an das Top-Management und für Compliance-Audits. Denn das Aufzeichnen und Nachweisen behobener Schwachstellen und Vorfälle zeugt von Verantwortungsbewusstsein. Und diese Rechenschaftspflicht ist häufig nötig, um Compliance-Standards einzuhalten.

Glücklicherweise gibt es intelligente und fortschrittliche Schwachstellenmanagement-Software und Webanwendungspenetrationstools, die diese Berichte automatisch erstellen können, sodass Sie diese nicht manuell anfertigen müssen.

Die Bedeutung des Schwachstellenmanagements

Schwachstellenmanagement-Prozesse sind unverzichtbar, wenn Sie Ihr Netzwerk durch Minimierung von Bedrohungen und Angriffsmöglichkeiten sicher halten wollen. 

Erfahren Sie mehr über Schwachstellen- und Bedrohungsmanagement, indem Sie weitere Artikel in unserem Blog lesen, oder Sie können den Newsletter von The QA Lead abonnieren.