Schwachstellenmanagement, eine Unterdomäne im IT-Risikomanagement, ist die kontinuierliche Erkennung, Priorisierung und Behebung von Sicherheitslücken in der IT-Infrastruktur und Software eines Unternehmens.

Eine Sicherheitslücke ist ein Fehler oder eine Schwachstelle in der Struktur, Funktionalität oder Implementierung eines Netzes oder eines vernetzten Assets, das Hacker ausnutzen können, um Cyberangriffe zu starten, sich unbefugten Zugriff auf Systeme oder Daten zu verschaffen oder einem Unternehmen anderweitig zu schaden. Beispiele für häufig auftretende Schwachstellen sind beispielsweise Firewall-Fehlkonfigurationen, die möglicherweise dazu führen, dass bestimmte Arten von Malware in das Netz eindringen können, oder ungepatchte Fehler im Remote Desktop Protokoll eines Betriebssystems, die es Hackern ermöglichen könnten, die Kontrolle über ein Gerät zu übernehmen.

Da die heutigen Unternehmensnetze stark dezentralisiert sind und jeden Tag viele neue Schwachstellen entdeckt werden, ist ein effektives manuell durchgeführtes oder Ad-hoc-Schwachstellenmanagement jedoch praktisch unmöglich. Cybersicherheitsteams verlassen sich in der Regel auf Lösungen für Schwachstellenmanagement, um den Prozess zu automatisieren.

Das Center for Internet Security (CIS) führt ein kontinuierliches Schwachstellenmanagement in seiner Liste der Kritischen Sicherheitsmaßnahmen (Link außerhalb von ibm.com) zur Abwehr der gängigsten Cyberattacken auf. Das Schwachstellenmanagement ermöglicht es IT-Sicherheitsteams, eine proaktivere Sicherheitsposition anzunehmen, indem Schwachstellen identifiziert und behoben werden, bevor sie ausgenutzt werden können. 

Da jederzeit neue Schwachstellen auftreten können, sehen Sicherheitsteams das Schwachstellenmanagement als fortlaufenden Lebenszyklus und nicht als diskretes Ereignis an. Dieser Lebenszyklus umfasst fünf fortlaufende und sich überschneidende Workflows: Erkennung, Kategorisierung und Priorisierung, Problemlösung, Neubewertung und Berichterstellung.

1. Erkennung

Im Mittelpunkt des Erkennungsworkflow steht die Anfälligkeitsbewertung, ein Prozess zur Überprüfung aller IT- Anlagen eines Unternehmens auf bekannte und potenzielle Schwachstellen. Im Regelfall automatisieren Sicherheitsteams diesen Prozess mithilfe von Software zum Scannen auf Schwachstellen. Einige Schwachstellen-Scansysteme führen regelmäßige, umfassende Netzscans nach einem festen Zeitplan durch, während andere Agenten verwenden, die auf Laptops, Routern und anderen Endpunkten installiert sind, um Daten auf jedem Gerät zu erfassen. Sicherheitsteams können auch in bestimmten Abständen Schwachstellenbewertungen wie Penetrationstests einsetzen, um Schwachstellen zu lokalisieren, die einer Suchsoftware möglicherweise entgehen können.  

2. Kategorisierung und Priorisierung

Sobald Schwachstellen identifiziert wurden, werden sie nach Typ kategorisiert (z. B. Gerätefehlkonfigurationen, Verschlüsselungsprobleme, Offenlegungen vertraulicher Daten) und nach Kritikalität priorisiert. Dabei wird eine Schätzung des Schweregrads jeder Schwachstelle, die Exploit-Anfälligkeit und die Wahrscheinlichkeit eines Angriffs vorgenommen.

Zur Bestimmung der Kritikalität ziehen Lösungen für das Schwachstellenmanagement in der Regel Bedrohungsdatenquellen wie das Common Vulnerability Scoring System (CVSS) heran, einem offenen Branchenstandard für Cybersicherheit, der die Kritikalität bekannter Schwachstellen auf einer Skala von 0 bis 10 bewertet, und greifen auch auf die Liste der Common Vulnerabilities and Exposures (CVEs) von MITRE und die National Vulnerability Database (NVD) von NIST, zurück. 

3. Problemlösung

Sobald Schwachstellen priorisiert wurden, können Sicherheitsteams diese auf drei Arten beheben:

• Korrektur –Eine Schwachstelle vollständig beheben, damit sie nicht mehr ausgenutzt werden kann, z. B. durch Installation eines Patches, der einen Softwarefehler behebt, oder durch Außerkraftsetzen eines anfälligen Assets. Viele Schwachstellenmanagement-Plattformen bieten Korrekturtools wie Patch-Management für automatische Patch-Downloads und -Tests sowie Konfigurationsmanagement zur Behebung von Netzwerk- und Gerätefehlkonfigurationen über ein zentrales Dashboard oder Portal.
• Risikominderung –Erschwerung der Ausnutzung einer Schwachstelle und/oder Verringerung der Auswirkungen der Ausnutzung ohne vollständige Beseitigung der Sicherheitslücke. Ein Beispiel für Risikominderung wäre es, ein anfälliges Gerät online zu lassen, es jedoch vom Rest des Netzes zu segmentieren. Eine Risikominderung wird häufig dann vorgenommen, wenn ein Patch oder andere Korrekturmaßnahmen noch nicht verfügbar sind. 
• Akzeptanz -die Entscheidung, eine Schwachstelle zu ignorieren. Schwachstellen mit niedrigen Kritikalitätswerten, die wahrscheinlich nicht ausgenutzt werden oder keinen erheblichen Schaden verursachen, werden oft hingenommen. 

4. Neubewertung

Wenn Schwachstellen behoben sind, führen Sicherheitsteams in der Regel eine neue Schwachstellenbewertung durch, um sicherzustellen, dass ihre Maßnahmen zur Risikominderung oder Behebung der Sicherheitslücken erfolgreich waren und zu keinen neuen Schwachstellen geführt haben.

5. Berichterstellung

Schwachstellenmanagement-Plattformen stellen in der Regel Dashboards für die Berichterstattung über Metriken wie mittlere Erkennungszeit (MTTD) und mittlere Antwortzeit (MTTR) bereit. Viele Lösungen pflegen auch Datenbanken mit identifizierten Sicherheitslücken, die es Sicherheitsteams ermöglichen, die Lösung identifizierter Schwachstellen zu verfolgen und frühere Maßnahmen in Bezug auf Schwachstellenmanagement zu überprüfen.

Diese Berichtsfunktionen ermöglichen es Sicherheitsteams, eine Vergleichsbasis für laufende Schwachstellenmanagement-Aktivitäten zu erstellen und die Programmleistung im Zeitverlauf zu überwachen. Berichte können auch zum Informationsaustausch zwischen dem Sicherheitsteam und anderen IT-Teams verwendet werden, die möglicherweise für die Verwaltung von Assets verantwortlich sind, aber nicht direkt am Schwachstellenmanagement-Prozess beteiligt sind. 

Risikobasiertes Schwachstellenmanagement (RBVM) ist eine relativ neue Methode zum Schwachstellenmanagement. RVBM kombiniert Stakeholder-spezifische Daten zu Sicherheitslücken mit künstlicher Intelligenz und Funktionen für maschinelles Lernen, um das Schwachstellenmanagement auf drei wichtige Arten zu verbessern.

Mehr Kontext für effektivere Priorisierung. Wie oben erwähnt, bestimmen traditionelle Lösungen für das Schwachstellenmanagement die Kritikalität mithilfe von Ressourcen nach Industriestandard wie CVSS oder NIST NVD. Diese Ressourcen basieren auf allgemein gültige Regeln, die die durchschnittliche Kritikalität einer Sicherheitslücke in allen Organisationen bestimmen können. Ihnen fehlen jedoch Stakeholder-spezifische Daten zu Sicherheitslücken, die zu einer gefährlichen Über- oder Unterpriorisierung der Kritikalität einer Schwachstelle gegenüber einem bestimmten Unternehmen führen können.

Da beispielsweise kein Sicherheitsteam über die Zeit oder Ressourcen verfügt, jede Sicherheitslücke im eigenen Netz zu beheben, priorisieren viele Teams Schwachstellen anhand eines „hohen“ (7.0 – 8.9) oder „kritischen“ (9.0 – 10.0) CVSS-Score. Wenn jedoch eine „kritische“ Sicherheitslücke in einem Asset keine vertraulichen Informationen speichert oder verarbeitet oder keine Wege zu hochwertigen Netzsegmenten bietet, kann die Behebung möglicherweise wertvolle Zeit des Sicherheitsteams beanspruchen, die sinnvoller investiert werden könnte. Andererseits können Sicherheitslücken mit niedrigen CVSS-Werten für einige Unternehmen eine größere Bedrohung darstellen als für andere. Der 2014 entdeckte Heartbleed-Programmfehler erhielt die Bewertung „Mittel“ (5,0) auf der CVSS-Skala (Link außerhalb von ibm.com), doch Hacker nutzten es, um umfangreiche Angriffe durchzuführen, wie beispielsweise Datendiebstahl von 4,5 Millionen Patienten (Link außerhalb von ibm.com) von einer der größten Krankenhausketten der USA.

RBVM ergänzt das Scoring mit Stakeholder-spezifischen Daten zu Sicherheitslücken: Anzahl und Kritikalität des betroffenen Assets, die Art und Weise, wie die Assets mit anderen Assets verbunden sind, und den potenziellen Schaden, den ein Exploit verursachen könnte, sowie Daten darüber, wie Cyberkriminelle mit Sicherheitslücken in der realen Welt interagieren. Es setzt maschinelles Lernen ein, um Risikobewertungen zu formulieren, die das Risiko jeder Sicherheitslücke für das Unternehmen genauer widerspiegeln. So können IT-Sicherheitsteams eine geringere Anzahl kritischer Sicherheitslücken priorisieren, ohne dass die Netzsicherheit beeinträchtigt wird.

Erkennung in Echtzeit. Beim RBVM werden Sicherheitslücken-Scans häufig in Echtzeit statt nach einem wiederkehrenden Zeitplan durchgeführt. Darüber hinaus können RBVM-Lösungen eine breitere Palette von Assets überwachen: Während herkömmliche Scansoftware für Sicherheitslücken normalerweise auf bekannte Assets beschränkt sind, die direkt mit dem Netz verbunden sind, können RBVM-Tools in der Regel lokale und remote verbundene Mobilgeräte, Cloud-Assets, Apps von Drittanbietern und andere Ressourcen überprüfen.

Automatisierte Neubewertung. In einem RBVM-Prozess kann die Neubewertung automatisch durch kontinuierliche Überprüfung auf Sicherheitslücken durchgeführt werden. Beim traditionellem Schwachstellenmanagement kann eine Neubewertung einen gezielten Netzscan oder Penetrationstest erfordern. 

Schwachstellenmanagement und Angriffsflächenmanagement sind eng miteinander verbunden. ASM ist die kontinuierliche Erkennung, Analyse, Behebung und Überwachung der Schwachstellen und potenziellen Angriffsvektoren, die die Angriffsfläche eines Unternehmens ausmachen. Der Hauptunterschied zwischen ASM und Schwachstellenmanagement besteht im Umfang. Zwar überwachen und beheben beide Prozesse Schwachstellen in den Assets eines Unternehmens, jedoch verfolgt ASM einen verstärkt ganzheitlichen Ansatz für die Netzsicherheit. 

ASM-Lösungen beinhalten Funktionen zur Asseterkennung, die sämtliche mit dem Netz verbundenen Assets identifizieren und überwachen, ob bekannt, unbekannt, von Drittanbietern oder Tochterunternehmen stammend oder von schädlicher Natur. ASM erstreckt sich auch über IT-Assets hinaus, um Sicherheitslücken in den physischen und Social-Engineering-Angriffsflächen eines Unternehmens zu ermitteln. Anschließend werden diese Anlagen und Sicherheitslücken aus der Perspektive von Hackern analysiert, um nachzuvollziehen, auf welche Weise Cyberkriminelle sie verwenden könnten, um das Netz zu infiltrieren.

Mit dem Aufkommen des risikobasierten Schwachstellenmanagement (RBVM) verschwimmen die Grenzen zwischen Schwachstellenmanagement und ASM zunehmend. Unternehmen setzen ASM-Plattformen häufig als Teil ihrer RBVM-Lösung ein, da ASM einen umfassenderen Überblick über die Angriffsfläche bietet als das alleinige Schwachstellenmanagement.