Alain Rees · 12-07-2026 · 11 min leestijd
Schwachstellenmanagement ist der fortlaufende Prozess, mit dem Ihre Organisation Schwächen in ihren Systemen entdeckt, bewertet, behebt und darüber Rechenschaft ablegt. Als CISO sind Sie nicht derjenige, der die Schwachstellen selbst behebt, sondern derjenige, der dafür sorgt, dass der Prozess funktioniert, dass die richtigen Dinge zuerst angegangen werden und dass das Restrisiko bei der richtigen Person liegt. In diesem Artikel lesen Sie, wie Sie Schwachstellenmanagement steuern statt ausführen, welche Richtlinie und welche Steuerungskennzahlen dazugehören und wie Sie es nachweisbar machen.
Kurz gefasst
- Schwachstellenmanagement ist ein fortlaufender Prozess, kein einzelner Scan und keine einmalige Bereinigung.
- Als CISO steuern und verantworten Sie den Prozess, während der IT-Betrieb ihn ausführt.
- Sie priorisieren risikobasiert, sodass nicht jede Schwachstelle dieselbe Aufmerksamkeit erhält.
- Sie legen Behebungsfristen je Schweregrad fest und verwalten bewusst die Ausnahmen davon.
- Sie machen das Management nachweisbar mit einem Register, mit Steuerungskennzahlen und mit Rechenschaft gegenüber der Geschäftsleitung.
- Es fällt mit den vier Phasen des Kantyra-Modells zusammen: Erkennen, Bewerten, Beheben und Nachweisen.
Schwachstellenmanagement befasst sich mit der Beherrschung der Schwächen, über die ein Angreifer eindringen kann. Diese Schwächen stammen aus verschiedenen Quellen. Denken Sie an automatisierte Scans, an Penetrationstests, an Meldungen von Lieferanten, an Bedrohungsinformationen und an Meldungen von außen.
Der Prozess besteht aus einigen festen Schritten. Sie identifizieren Schwachstellen, Sie bewerten, wie schwerwiegend sie in Ihrem Kontext sind, Sie weisen die Behebung einem Eigentümer zu, Sie beheben sie innerhalb einer Frist, und Sie prüfen, ob die Behebung tatsächlich gewirkt hat. Das klingt einfach, aber in der Praxis strömen so viele Schwachstellen herein, dass die Kunst darin liegt, das Ganze zu beherrschen, und nicht darin, eine einzelne Meldung zu lösen.
Der IT-Betrieb führt die Arbeit aus. Er führt die Scans durch, verfolgt selbst, welche Schwachstellen bekannt werden, und installiert die zugehörigen Patches, sobald sie verfügbar sind. Diese Verantwortung liegt dort zu Recht, denn der IT-Betrieb kennt die Systeme und verwaltet sie täglich. Es ist nur nicht Ihre Rolle.
Als CISO steuern Sie den Prozess. Sie legen die Richtlinie fest, Sie bestimmen, wie schnell welcher Schweregrad behoben werden muss, Sie sorgen dafür, dass jede Schwachstelle einen Eigentümer hat, und Sie überwachen, dass das Ganze funktioniert. Wo der IT-Betrieb auf einzelne Systeme schaut, schauen Sie auf den Prozess als Ganzes, auf den Trend und auf das Restrisiko.
Zudem wollen Sie rechtzeitig über die wichtigen Schwachstellen informiert sein, noch bevor sie zu einem Vorfall oder einer Eskalation heranwachsen. Nicht, um sie selbst zu beheben, sondern um steuern zu können, um die Geschäftsleitung informieren zu können und um einzugreifen, wenn eine kritische Schwachstelle liegen bleibt.
Der IT-Betrieb ist also für das Beheben verantwortlich, und Sie sind für die Sicherheit verantwortlich, dass das Beheben auch tatsächlich und rechtzeitig geschieht. Diese Rollen halten Sie getrennt, denn sonst wird es ein Metzger, der sein eigenes Fleisch prüft.
Schwachstellen entstehen fortwährend, und ein System, das heute sicher ist, kann morgen durch eine neu entdeckte Schwäche verwundbar sein. Schwachstellenmanagement ist deshalb kein Projekt mit einem Enddatum, sondern eine fortlaufende Verantwortung.
Diese Verantwortung ist auch nachweisbar zugewiesen. Die Norm ISO 27001 verlangt ausdrücklich, dass Sie technische Schwachstellen beherrschen, und die Sorgfaltspflicht aus NIS2 – in Deutschland umgesetzt durch das NIS-2-Umsetzungsgesetz, in Österreich durch das NISG – verlangt angemessene Maßnahmen, die Sie belegen können müssen. Eine Aufsichtsbehörde oder ein Kunde will nicht hören, dass Sie scannen, sondern sehen, dass Sie kritische Schwachstellen innerhalb einer vereinbarten Frist beheben und dass Sie das Restrisiko bewusst verwalten. Das nachweisbar zu machen ist genau Ihre Aufgabe.
Eine Richtlinie für das Schwachstellenmanagement macht aus losen Aktionen einen steuerbaren Prozess. Sie legt die Spielregeln fest, an die sich die gesamte Organisation hält. Eine gute Richtlinie beschreibt zumindest die folgenden Punkte:
Ohne diese Richtlinie wird Schwachstellenmanagement zu einer Frage guter Absichten, bei der die dringendsten Schwachstellen im Trubel des Tagesgeschäfts verschwinden.
Die größte Falle ist, dass Ihre Organisation in Schwachstellen ertrinkt. Eine durchschnittliche Umgebung liefert so viele, dass Sie unmöglich alles auf einmal beheben können. Die Lösung ist nicht, härter zu arbeiten, sondern schärfer zu priorisieren.
Als CISO sorgen Sie dafür, dass die Priorisierung risikobasiert ist. Eine technische Schweregrad-Bewertung, etwa auf Basis von CVSS, ist dabei nur ein Ausgangspunkt. Was wirklich zählt, ist die Kombination dieser Bewertung mit der Bedeutung des betroffenen Systems und mit der Frage, ob die Schwachstelle in der Praxis tatsächlich ausgenutzt wird. Eine mittelmäßige Schwachstelle auf einem kritischen System, das am Internet hängt, verdient mehr Aufmerksamkeit als eine schwere Schwachstelle auf einem abgeschotteten System ohne Auswirkung.
Ihre Rolle ist nicht, jede einzelne Schwachstelle abzuwägen, sondern den Bewertungsrahmen festzulegen, mit dem die Organisation das konsequent tut. So verhindern Sie, dass das Volumen bestimmend wird statt des Risikos.
Ein praktikabler Prozess hat klare Behebungsfristen je Schweregrad. Sie legen zum Beispiel fest, dass eine kritische Schwachstelle innerhalb weniger Tage behoben wird und eine niedrige innerhalb eines größeren Zeitraums. Diese Fristen geben dem IT-Betrieb Richtung und geben Ihnen einen Maßstab, an dem Sie steuern.
Mindestens ebenso wichtig ist, was Sie tun, wenn die Behebung nicht rechtzeitig gelingt. Manchmal kann eine Schwachstelle nicht sofort behoben werden, etwa weil ein Lieferant noch keine Lösung hat. Dann muss es eine bewusste, zeitweilige Risikoakzeptanz geben, festgehalten und genehmigt durch den richtigen Eigentümer, mit einem Datum, an dem Sie sie erneut bewerten. Als CISO überwachen Sie gerade diesen Punkt, denn ohne diese Verwaltung werden Ausnahmen zu stillen, dauerhaften Risiken, die niemand mehr sieht.
Sie können nur auf das steuern, was Sie messen. Als CISO verwenden Sie einen begrenzten Satz an Steuerungskennzahlen, um den Prozess zu überwachen und um der Geschäftsleitung darüber zu berichten. Brauchbare Steuerungskennzahlen sind unter anderem:
Diese Zahlen übersetzen Sie in eine Erzählung für die Leitungsebene. Die Geschäftsleitung muss keine Liste mit Schwachstellen sehen, sondern will wissen, ob die Organisation die Lage im Griff hat, ob der Trend in die richtige Richtung geht und ob es Risiken gibt, die Aufmerksamkeit verlangen. So machen Sie aus einem technischen Thema ein Gespräch auf Leitungsebene.
Sie können Schwachstellen nicht steuern, wenn sie über Scan-Berichte, E-Mails und lose Dateien verteilt sind. Die Grundlage ist deshalb ein Schwachstellenregister, also eine aktuelle und zentrale Übersicht über jede Schwachstelle, mit dem Schweregrad, dem betroffenen System, dem Eigentümer, der Behebungsfrist, dem Status und der etwaigen Risikoakzeptanz.
In Kantyra ist dieses Register das Feststellungsregister. Sie erfassen eine Schwachstelle als Feststellung mit der Quelle Schwachstellen-Scan oder CVE, oberhalb der Schwelle, die Sie selbst wählen, sodass Sie auf das steuern, was zählt, und das Register keine Scanner-Ausgabe wird. Je Feststellung halten Sie den Schweregrad, das betroffene Asset, den Eigentümer, die Behebungsfrist und das Datum der erneuten Prüfung fest, und oben im Register zeigt die Expositionsübersicht, wie viele Schwachstellen offen sind, wie viele hoch oder kritisch, und wie viele durch einen Vorfall ausgenutzt wurden.
Von diesem Register laufen die Linien zum Rest Ihres Steuerungssystems. Eine überfällige kritische Schwachstelle ist ein Risiko, das in Ihr Risikoregister gehört; verknüpfen Sie die Feststellung mit einem Risiko, dann legt Kantyra automatisch eine Neubewertungsaufgabe an. Nutzt ein Vorfall die Schwachstelle aus, dann verknüpfen Sie den Vorfall mit der Feststellung und die Behebung erhält automatisch Vorrang. Kann eine Schwachstelle nicht rechtzeitig behoben werden, dann halten Sie das Restrisiko als Ausnahme mit Vier-Augen-Genehmigung und einem Enddatum fest. Ein Register Ihrer Systeme ist die Voraussetzung, denn ohne eine aktuelle Übersicht über Ihre Assets übersehen Sie die Schwachstellen, die auf ihnen liegen. So schließt Schwachstellenmanagement direkt an Ihr Informationssicherheits- und Risikomanagement (ISMS) im Einklang mit ISO 27001 an, sodass es zu einem festen Bestandteil Ihrer Sicherheit wird statt zu einer losen Aktivität.
Wie Penetrationstests lässt sich Schwachstellenmanagement nicht in einer einzigen Phase des Kantyra-Modells fassen: Es ist der Zyklus des Modells, angewendet auf die Schwächen in Ihren Systemen. Aber als CISO liegt Ihr Schwerpunkt nicht ganz unten.
Das Erkennen überlassen Sie größtenteils dem IT-Betrieb: Die Scans und die Pentests bringen die Schwächen ins Bild, und oberhalb Ihrer Schwelle erfassen Sie sie. Beim Bewerten liegt ein großer Teil Ihrer Arbeit: Sie wägen risikobasiert ab, mit dem technischen Schweregrad als Ausgangspunkt und der Bedeutung des Systems und der tatsächlichen Ausnutzung als ausschlaggebendem Faktor, und die schwersten eskalieren Sie ins Risikoregister. Im Beheben legen Sie die Richtlinie und die Behebungsfristen fest, überwachen die Behebung und verwalten die bewussten Risikoakzeptanzen. Und im Nachweisen liegt der Schlussstein Ihrer Rolle: Der Managementbericht bündelt die Steuerungskennzahlen, von offen je Schweregrad und den überfälligen und ausgenutzten Schwachstellen bis zur durchschnittlichen Behebungszeit, dem Prozentsatz innerhalb der Frist und dem Trend von Monat zu Monat, als Rechenschaft gegenüber der Geschäftsleitung.
Der IT-Betrieb ist vor allem mit Erkennen und Beheben beschäftigt; Sie steuern den gesamten Zyklus und legen darüber Rechenschaft ab. Das ist der Unterschied zwischen Schwachstellen beheben und Schwachstellen beherrschen.
Sie können Ihre Richtlinie, Ihre Steuerungskennzahlen und Ihre Schwachstellen in losen Dateien führen, und als Start ist das vertretbar. Aber als CISO stoßen Sie schnell an die Grenzen. Lose Dateien liefern keine aktuelle Übersicht, keinen verlässlichen Trend und keinen Nachweis für die Geschäftsleitung oder die Aufsichtsbehörde.
In einer GRC-Plattform verwalten Sie die Richtlinie, das Schwachstellenregister und die Nachverfolgung als verknüpfte Übersichten innerhalb einer einzigen Umgebung. Jede Schwachstelle hat einen Eigentümer, einen Status und eine Frist, die überfälligen fallen sofort auf, und die Steuerungskennzahlen berechnen sich selbst, sodass Sie auf Schweregrad und Behebungszeit steuern statt auf Bauchgefühl.
Mit Kantyra steuern Sie Schwachstellenmanagement in derselben Umgebung wie Ihr ISMS. Sie halten die Richtlinie als Richtliniendokument fest, Sie führen die Expositionsübersicht nach Schweregrad und Behebungsfrist, und Sie verwalten die Ausnahmen als bewusste Risikoakzeptanzen. Der Managementbericht übersetzt das in die Steuerungskennzahlen für die Geschäftsleitung, mit der durchschnittlichen Behebungszeit, dem Prozentsatz innerhalb der Frist und dem Trend, im Einklang mit ISO 27001. So verlagern Sie sich von losen Meldungen zu nachweisbarer Steuerung.
Was ist der Unterschied zwischen Schwachstellenmanagement und Patchen? Patchen ist eine Möglichkeit, eine Schwachstelle zu beheben. Schwachstellenmanagement ist der gesamte Prozess darum herum, vom Entdecken und Priorisieren bis zum Beheben, Verifizieren und Rechenschaft ablegen. Patchen ist Ausführung, Management ist Steuerung.
Ist Schwachstellenmanagement eine Aufgabe der IT oder des CISO? Von beiden, aber in unterschiedlicher Rolle. Der IT-Betrieb führt die Behebung aus, während der CISO den Prozess steuert, die Priorisierung bestimmt und Rechenschaft ablegt. Diese Trennung verhindert, dass dieselbe Partei ihre eigene Arbeit beurteilt.
Müssen Sie jede Schwachstelle beheben? Nein. Sie priorisieren risikobasiert. Manche Schwachstellen beheben Sie sofort, andere akzeptieren Sie bewusst und zeitweilig als Restrisiko, sofern das festgehalten und durch den richtigen Eigentümer genehmigt ist.
Wie schnell müssen Sie eine kritische Schwachstelle beheben? Das halten Sie in Ihrer Richtlinie fest. Für kritische Schwachstellen ist eine kurze Frist üblich, besonders wenn das System am Internet hängt oder tatsächlich ausgenutzt wird. Es geht darum, dass die Fristen je Schweregrad feststehen und dass Sie danach steuern.
Wie weisen Sie nach, dass Sie Schwachstellen beherrschen? Mit einer festgelegten Richtlinie, einem aktuellen Schwachstellenregister, einem Satz an Steuerungskennzahlen und einer regelmäßigen Berichterstattung an die Geschäftsleitung. Zusammen zeigen diese, dass Sie die Lage im Griff haben und dass das Restrisiko bewusst zugewiesen ist.
Wollen Sie Schwachstellenmanagement steuern, statt Meldungen hinterherzulaufen? Mit Kantyra halten Sie Ihre Richtlinie, Ihr Schwachstellenregister und Ihre Nachverfolgung verknüpft, im Einklang mit ISO 27001. So steuern Sie auf Schweregrad und Behebungsfrist, der Managementbericht zeigt die Steuerungskennzahlen und den Trend für die Geschäftsleitung, und Sie verwalten die Ausnahmen bewusst. Fordern Sie eine Demo an und entdecken Sie, wie Sie Schwachstellenmanagement auf Ihrem bestehenden ISMS aufbauen.
Kantyra ist eine europäische ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement und ihre Compliance nachweisbar verwalten, im Einklang mit Normen wie ISO 27001 und ISO 22301 und mit Rechtsvorschriften wie der DSGVO, NIS2 und der KI-Verordnung.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMessen Sie als CISO, wo Ihre Organisation und Ihr CISO Office stehen, und erfahren Sie, wie Sie mit einer Scorecard steuern und rechtzeitig nachsteuern.
So bauen Sie Penetrationstests strukturiert auf, von der Pentest-Richtlinie und dem Kalender bis zum Bericht und zur Nachverfolgung der Erkenntnisse.
Die DSGVO verlangt, dass Sie den Umgang mit personenbezogenen Daten nicht nur sorgfältig regeln, sondern auch nachweisen können.