Vulnerability Management
Managing Director
Vulnerability Management ist ein kontinuierlicher Prozess zur Identifikation, Bewertung und Behebung von Sicherheitslücken in IT-Systemen. Ziel ist es, Risiken frühzeitig zu erkennen und die Angriffsfläche von Unternehmen zielgerichtet zu reduzieren.
- Letztes Update: 30.04.2026
-
39 Mal aufgerufen.
Das Herzstück eines wirksamen Vulnerability-Management-Programms ist die risikobasierte Priorisierung, bei der Sicherheitslücken mit Business-Kritikalität, Erreichbarkeit und realer Bedrohungslage zusammengeführt werden.
Was ist Schwachstellenmanagement?
Schwachstellenmanagement oder Vulnerability Management identifiziert, welche Sicherheitslücken in der eigenen IT-Umgebung offen sind und wie dringend sie geschlossen werden müssen. Der Prozess reicht von der Schwachstellenerkennung über die Priorisierung bis zur wirksamen Behebung in Software, IT-Systemen, im Netzwerk, in der Cloud und auf anderen Assets.
Der entscheidende Punkt liegt im Ansatz. Ein einzelner Scan der Schwachstellen findet zwar technische Auffälligkeiten, löst aber noch kein Problem. Erst ein regelbasiertes Schwachstellenmanagement macht daraus konkrete Entscheidungen: Welche Lücke ist wirklich kritisch? Wo ist die Angriffsfläche am größten? Welche Risiken müssen sofort behandelt werden und was kann geplant abgearbeitet werden?
Die drei Erfolgsfaktoren für IT-Sicherheit:- proaktiv statt reaktiv: Schwachstellen werden gesucht, bevor Angreifer sie ausnutzen
- kontinuierlich statt einmalig: Vulnerability Management gehört in den laufenden IT-Betrieb
- risikobasiert statt pauschal: Nicht jede Lücke braucht dieselbe Priorität
Sichtbarkeit, Priorisierung und Behandlung von Schwachstellen
Ein wirksames Schwachstellenmanagement braucht drei Dinge: belastbare Sichtbarkeit, fehlerfreie Priorisierung und eine realistische Behandlung offener Schwachstellen. Erst dadurch wird aus einzelnen Findings ein Prozess, der im Alltag trägt.
Asset Discovery und Vulnerability Assessment als Grundlage
Man kann nur schützen, was man auch kennt. Dieser Satz trifft den Kern ziemlich genau. Wer kein sauberes Inventar seiner Assets, seiner Software, seiner Cloud-Ressourcen und seiner unbekannten Schatten-IT hat, übersieht zwangsläufig Sicherheitslücken und vergrößert die Angriffsfläche.
Wichtig sind dabei vor allem:- vollständige Sicht auf Assets: Hardware, Anwendungen, virtuelle Systeme, Cloud-Ressourcen, Workloads in Containern und externe Dienste müssen bekannt sein
- regelmäßige Scans: Ein Vulnerability Assessment und wiederkehrende Scans machen bekannte Schwachstellen in der IT-Umgebung sichtbar
- blinde Flecken vermeiden: Unverwaltete Systeme, vergessene Testumgebungen oder nicht dokumentierte Endpunkte bleiben sonst außerhalb jeder Kontrolle
- valide Datenbasis: Erst wenn klar ist, was in der eigenen IT-Infrastruktur überhaupt existiert, kann Vulnerability Management belastbare Ergebnisse liefern
Risikobasiertes Schwachstellenmanagement statt reiner Scores
Ein hoher CVSS-Score sieht bedrohlich aus, beantwortet aber noch nicht die wichtigste Frage: Wie gefährlich ist diese Lücke für Ihr Unternehmen? Das Common Vulnerability Scoring System ist ein wichtiger Ausgangspunkt, reicht aber als alleinige Entscheidungsgrundlage nicht aus.
Ein risikobasiertes Schwachstellenmanagement (Risk-Based Vulnerability Management) verbindet die technische Bewertung daher mit dem individuellen Business-Kontext.
Entscheidend sind dabei vor allem diese Faktoren:- CVSS als Startpunkt: Der technische Score zeigt, wie kritisch eine bekannte Schwachstelle grundsätzlich ist
- Business-Kritikalität: Eine Lücke auf einem produktiven Kernsystem wiegt anders als dieselbe Lücke auf einem wenig relevanten Testsystem
- Threat Intelligence: Wird die Schwachstelle aktuell aktiv ausgenutzt oder existieren bereits Exploits? Dann steigt der Handlungsdruck
- Erreichbarkeit: Ein intern isoliertes System stellt meist ein anderes Risiko dar als ein vom Internet erreichbarer Dienst
- Umgebung und Konfiguration: Auch Fehlkonfigurationen und die reale Einbettung in die Umgebung entscheiden mit über den tatsächlichen Schweregrad
Behebung, Mitigation und Akzeptanz von IT-Schwachstellen
Ein wirksames Schwachstellenmanagement endet nicht beim Fund einer Sicherheitslücke. Wichtig ist, wie mit dem Ergebnis weiter umgegangen wird. In der Praxis gibt es dabei selten nur einen richtigen Weg. Manche Schwachstellen lassen sich direkt durch einen Patch schließen.
In anderen Fällen ist eine sofortige Behebung jedoch nicht möglich – etwa weil ein Update des Herstellers fehlt oder die Systemstabilität Vorrang hat. Genau dann braucht es einen klaren, risikobasierten Umgang mit den verfügbaren Handlungsoptionen.
Typische Reaktionswege sind:- Remediation: Die Schwachstelle wird vollständig beseitigt, etwa durch einen Patch, ein Sicherheitsupdate oder eine technische Korrektur.
- Mitigation: Die Lücke bleibt zunächst bestehen, ihre Ausnutzung wird aber erschwert, zum Beispiel durch Segmentierung, zusätzliche Regeln oder andere Schutzmaßnahmen.
- Risk Acceptance: Eine Schwachstelle wird bewusst akzeptiert, wenn der Aufwand in keinem sinnvollen Verhältnis zum tatsächlichen Risiko steht.
- Neubewertung: Erst ein erneuter Scan zeigt, ob die Behebung wirklich wirksam war und die Lücke nicht mehr vorhanden ist.
IT-Transformation erfolgreich gestalten!
Warum Vulnerability Management im Alltag oft scheitert
Vulnerability Management scheitert im Alltag selten am fehlenden Scan. Die eigentlichen Probleme entstehen später: bei der Einordnung, bei der Übergabe und bei der Priorisierung der gefundenen Fehler. Deshalb verlieren viele Unternehmen Tempo, Fokus und am Ende auch die Wirksamkeit von Sicherheitsupdates.
Die häufigsten Hürden sind:- Zu viele Findings, zu wenig Priorität: Regelmäßige Scans liefern schnell Hunderte oder sogar Tausende Treffer. Fehlt ein risikobasierter Blick, landen kritische und weniger relevante Lücken in derselben Warteschlange.
- Silos zwischen Security und Betrieb: Die Security findet die Lücke, der IT-Betrieb soll sie beheben. Ohne klare Übergaben und gemeinsame Prozesse bleiben Tickets liegen oder verlieren unterwegs an Kontext.
- Technischer Score ohne Business-Bezug: Ein hoher Wert allein sagt noch nicht, welche Schwachstelle zuerst behandelt werden muss. Bedeutend ist, wie kritisch das betroffene System wirklich ist.
- Manuelle Abläufe und veraltete Daten: Wenn Findings händisch geprüft und Tickets manuell verteilt werden, ist das Lagebild oft schon wieder überholt. Ein punktueller Scan reicht heute dafür nicht mehr aus.
Mit ServiceNow vom isolierten Scan zum automatisierten Workflow
Um die Lücke zwischen Entdeckung und Behebung zu schließen, fungiert ServiceNow als bedeutende Integrationsplattform. ServiceNow übersetzt technische Security-Daten in steuerbare IT-Prozesse und löst damit klassische Silos zwischen Security und Betrieb auf.
So greifen die Module ineinander:- Security Operations (SecOps): Schwachstellen aus Scannern laufen zentral zusammen und werden zielgerichtet weiterverarbeitet. So bleibt ein Finding nicht in einem isolierten Tool oder in einer Excel-Liste liegen.
- IT-Service-Management (ITSM): Aus einem technischen Fund wird automatisch ein Ticket mit Zuständigkeit, Priorität und Frist. Das bringt Schwachstellen direkt in die gewohnten Abläufe der IT-Teams.
- IT Operations Management (ITOM): Über die CMDB und den Kontext betroffener Assets wird klar, welche Schwachstelle geschäftlich wirklich kritisch ist. Ein produktionsnaher Server wird anders priorisiert als ein Testsystem.
- Patchmanagement: Die Behebung lässt sich auf Basis definierter Regeln steuern. Das reduziert manuellen Aufwand und beschleunigt die Reaktion.
- Integrated Risk Management (IRM): Schwachstellen werden mit Geschäftsrisiken und Compliance-Anforderungen verknüpft. So entsteht ein klareres Bild des aktuellen Sicherheitsstatus.
- IT-Monitoring: Die laufende Synchronisation mit Scannern und Plattformdaten hilft dabei, neue Assets schneller sichtbar zu machen, das Lagebild aktuell zu halten und die Überwachung offener Schwachstellen zu verbessern.
Die Vorteile eines strukturierten Vulnerability Managements
Best Practices: Vom Scanner-Ergebnis zur echten Priorität
Risikobasierung vor technischem Score
Maßgeblich ist:
Eine Schwachstelle ist immer im Kontext des betroffenen Assets zu bewerten. Der technische Score ist wichtig, reicht für gute Entscheidungen aber allein nicht aus. Für die tatsächliche Gefahr zählen auch Business-Kritikalität, Erreichbarkeit und die Rolle des Systems im Netzwerk oder in produktiven Services.
Häufiger Fehler:
Teams arbeiten Findings stur nach Score ab. Dadurch wird Zeit in Testsysteme oder wenig relevante Produkte investiert, während eine mittelbewertete Lücke auf einem geschäftskritischen Webserver die größere Angriffsfläche offen lässt.
Pragmatische Lösung:
Verknüpfe Deinen Schwachstellen-Scanner direkt mit IT-Operations-Management (ITOM) und der CMDB. So priorisierst Du Findings auf geschäftskritischen Assets automatisch zuerst und ergänzt die technische Bewertung um den tatsächlichen Kontext aus Betrieb, Erreichbarkeit und Asset-Kritikalität.
Die CMDB wird damit zum praktischen Leitfaden für belastbare Entscheidungen und hilft Security-Leader, Prioritäten nachvollziehbar zu setzen.
Standardfälle automatisiert in die Umsetzung bringen
Wichtig ist:
Routinefälle brauchen Tempo. Viele offene Sicherheitslücken sind Standardthemen, bei denen der nächste manuelle Einzelschritt kaum zusätzlichen Erkenntnisgewinn bringt. Hier zählt Standardisierung.
Gängige Schwachstellen:
Jedes Browser-Update, jedes Office-Finding und jede bekannte Standardlücke durchläuft dieselbe manuelle Analyse wie eine komplexe Serverschwachstelle. Das bremst den Workflow und bindet Experten an Aufgaben, die sich längst klarer steuern ließen.
Strukturelle Lösung:
Definiere Regeln für die automatische Ticket-Zuweisung und nutze die Patchmanagement für wiederkehrende Standardfälle. So gelangen bekannte Lücken ohne Umwege in die Umsetzung, während Security und Betrieb mehr Zeit für komplexe Schwächen, kritische Sicherheitsrisiken und die abschließende Überprüfung der Ergebnisse behalten.