Kantyra Kantyra

← Alle artikelen

Algemeen

Wie steuern Sie Schwachstellen als CISO?

Alain Rees · 12-07-2026 · 11 min leestijd

Schwachstellenmanagement ist der fortlaufende Prozess, mit dem Ihre Organisation Schwächen in ihren Systemen entdeckt, bewertet, behebt und darüber Rechenschaft ablegt. Als CISO sind Sie nicht derjenige, der die Schwachstellen selbst behebt, sondern derjenige, der dafür sorgt, dass der Prozess funktioniert, dass die richtigen Dinge zuerst angegangen werden und dass das Restrisiko bei der richtigen Person liegt. In diesem Artikel lesen Sie, wie Sie Schwachstellenmanagement steuern statt ausführen, welche Richtlinie und welche Steuerungskennzahlen dazugehören und wie Sie es nachweisbar machen.

Kurz gefasst

  • Schwachstellenmanagement ist ein fortlaufender Prozess, kein einzelner Scan und keine einmalige Bereinigung.
  • Als CISO steuern und verantworten Sie den Prozess, während der IT-Betrieb ihn ausführt.
  • Sie priorisieren risikobasiert, sodass nicht jede Schwachstelle dieselbe Aufmerksamkeit erhält.
  • Sie legen Behebungsfristen je Schweregrad fest und verwalten bewusst die Ausnahmen davon.
  • Sie machen das Management nachweisbar mit einem Register, mit Steuerungskennzahlen und mit Rechenschaft gegenüber der Geschäftsleitung.
  • Es fällt mit den vier Phasen des Kantyra-Modells zusammen: Erkennen, Bewerten, Beheben und Nachweisen.

Was Schwachstellenmanagement umfasst

Schwachstellenmanagement befasst sich mit der Beherrschung der Schwächen, über die ein Angreifer eindringen kann. Diese Schwächen stammen aus verschiedenen Quellen. Denken Sie an automatisierte Scans, an Penetrationstests, an Meldungen von Lieferanten, an Bedrohungsinformationen und an Meldungen von außen.

Der Prozess besteht aus einigen festen Schritten. Sie identifizieren Schwachstellen, Sie bewerten, wie schwerwiegend sie in Ihrem Kontext sind, Sie weisen die Behebung einem Eigentümer zu, Sie beheben sie innerhalb einer Frist, und Sie prüfen, ob die Behebung tatsächlich gewirkt hat. Das klingt einfach, aber in der Praxis strömen so viele Schwachstellen herein, dass die Kunst darin liegt, das Ganze zu beherrschen, und nicht darin, eine einzelne Meldung zu lösen.

Steuern oder ausführen: die Rolle des CISO

Der IT-Betrieb führt die Arbeit aus. Er führt die Scans durch, verfolgt selbst, welche Schwachstellen bekannt werden, und installiert die zugehörigen Patches, sobald sie verfügbar sind. Diese Verantwortung liegt dort zu Recht, denn der IT-Betrieb kennt die Systeme und verwaltet sie täglich. Es ist nur nicht Ihre Rolle.

Als CISO steuern Sie den Prozess. Sie legen die Richtlinie fest, Sie bestimmen, wie schnell welcher Schweregrad behoben werden muss, Sie sorgen dafür, dass jede Schwachstelle einen Eigentümer hat, und Sie überwachen, dass das Ganze funktioniert. Wo der IT-Betrieb auf einzelne Systeme schaut, schauen Sie auf den Prozess als Ganzes, auf den Trend und auf das Restrisiko.

Zudem wollen Sie rechtzeitig über die wichtigen Schwachstellen informiert sein, noch bevor sie zu einem Vorfall oder einer Eskalation heranwachsen. Nicht, um sie selbst zu beheben, sondern um steuern zu können, um die Geschäftsleitung informieren zu können und um einzugreifen, wenn eine kritische Schwachstelle liegen bleibt.

Der IT-Betrieb ist also für das Beheben verantwortlich, und Sie sind für die Sicherheit verantwortlich, dass das Beheben auch tatsächlich und rechtzeitig geschieht. Diese Rollen halten Sie getrennt, denn sonst wird es ein Metzger, der sein eigenes Fleisch prüft.

Warum Schwachstellenmanagement eine Verantwortung der Leitung ist

Schwachstellen entstehen fortwährend, und ein System, das heute sicher ist, kann morgen durch eine neu entdeckte Schwäche verwundbar sein. Schwachstellenmanagement ist deshalb kein Projekt mit einem Enddatum, sondern eine fortlaufende Verantwortung.

Diese Verantwortung ist auch nachweisbar zugewiesen. Die Norm ISO 27001 verlangt ausdrücklich, dass Sie technische Schwachstellen beherrschen, und die Sorgfaltspflicht aus NIS2 – in Deutschland umgesetzt durch das NIS-2-Umsetzungsgesetz, in Österreich durch das NISG – verlangt angemessene Maßnahmen, die Sie belegen können müssen. Eine Aufsichtsbehörde oder ein Kunde will nicht hören, dass Sie scannen, sondern sehen, dass Sie kritische Schwachstellen innerhalb einer vereinbarten Frist beheben und dass Sie das Restrisiko bewusst verwalten. Das nachweisbar zu machen ist genau Ihre Aufgabe.

Die Richtlinie für das Schwachstellenmanagement

Eine Richtlinie für das Schwachstellenmanagement macht aus losen Aktionen einen steuerbaren Prozess. Sie legt die Spielregeln fest, an die sich die gesamte Organisation hält. Eine gute Richtlinie beschreibt zumindest die folgenden Punkte:

  • den Geltungsbereich, also welche Systeme und Quellen unter den Prozess fallen;
  • die Rollen und Verantwortlichkeiten, mit einer klaren Trennung zwischen Steuern und Ausführen;
  • die Art und Weise, wie Sie den Schweregrad einer Schwachstelle bestimmen;
  • die Behebungsfristen je Schweregrad, sodass feststeht, wie schnell etwas gelöst sein muss;
  • das Verfahren für Ausnahmen und das bewusste Akzeptieren von Restrisiko;
  • die Art und Weise, wie Sie messen und der Geschäftsleitung berichten.

Ohne diese Richtlinie wird Schwachstellenmanagement zu einer Frage guter Absichten, bei der die dringendsten Schwachstellen im Trubel des Tagesgeschäfts verschwinden.

Risikobasiert priorisieren statt alles auf einmal

Die größte Falle ist, dass Ihre Organisation in Schwachstellen ertrinkt. Eine durchschnittliche Umgebung liefert so viele, dass Sie unmöglich alles auf einmal beheben können. Die Lösung ist nicht, härter zu arbeiten, sondern schärfer zu priorisieren.

Als CISO sorgen Sie dafür, dass die Priorisierung risikobasiert ist. Eine technische Schweregrad-Bewertung, etwa auf Basis von CVSS, ist dabei nur ein Ausgangspunkt. Was wirklich zählt, ist die Kombination dieser Bewertung mit der Bedeutung des betroffenen Systems und mit der Frage, ob die Schwachstelle in der Praxis tatsächlich ausgenutzt wird. Eine mittelmäßige Schwachstelle auf einem kritischen System, das am Internet hängt, verdient mehr Aufmerksamkeit als eine schwere Schwachstelle auf einem abgeschotteten System ohne Auswirkung.

Ihre Rolle ist nicht, jede einzelne Schwachstelle abzuwägen, sondern den Bewertungsrahmen festzulegen, mit dem die Organisation das konsequent tut. So verhindern Sie, dass das Volumen bestimmend wird statt des Risikos.

Behebungsfristen und die Verwaltung von Ausnahmen

Ein praktikabler Prozess hat klare Behebungsfristen je Schweregrad. Sie legen zum Beispiel fest, dass eine kritische Schwachstelle innerhalb weniger Tage behoben wird und eine niedrige innerhalb eines größeren Zeitraums. Diese Fristen geben dem IT-Betrieb Richtung und geben Ihnen einen Maßstab, an dem Sie steuern.

Mindestens ebenso wichtig ist, was Sie tun, wenn die Behebung nicht rechtzeitig gelingt. Manchmal kann eine Schwachstelle nicht sofort behoben werden, etwa weil ein Lieferant noch keine Lösung hat. Dann muss es eine bewusste, zeitweilige Risikoakzeptanz geben, festgehalten und genehmigt durch den richtigen Eigentümer, mit einem Datum, an dem Sie sie erneut bewerten. Als CISO überwachen Sie gerade diesen Punkt, denn ohne diese Verwaltung werden Ausnahmen zu stillen, dauerhaften Risiken, die niemand mehr sieht.

Messen und Rechenschaft ablegen

Sie können nur auf das steuern, was Sie messen. Als CISO verwenden Sie einen begrenzten Satz an Steuerungskennzahlen, um den Prozess zu überwachen und um der Geschäftsleitung darüber zu berichten. Brauchbare Steuerungskennzahlen sind unter anderem:

  • die Anzahl offener Schwachstellen, aufgeschlüsselt nach Schweregrad;
  • die durchschnittliche Behebungszeit und ihr Verlauf über die Zeit;
  • der Prozentsatz der Schwachstellen, die innerhalb der vereinbarten Frist behoben wurden;
  • die Anzahl überfälliger kritischer Schwachstellen;
  • der Abdeckungsgrad, also welcher Teil Ihrer Systeme tatsächlich im Blick ist.

Diese Zahlen übersetzen Sie in eine Erzählung für die Leitungsebene. Die Geschäftsleitung muss keine Liste mit Schwachstellen sehen, sondern will wissen, ob die Organisation die Lage im Griff hat, ob der Trend in die richtige Richtung geht und ob es Risiken gibt, die Aufmerksamkeit verlangen. So machen Sie aus einem technischen Thema ein Gespräch auf Leitungsebene.

Von losen Meldungen zu zusammenhängendem Management

Sie können Schwachstellen nicht steuern, wenn sie über Scan-Berichte, E-Mails und lose Dateien verteilt sind. Die Grundlage ist deshalb ein Schwachstellenregister, also eine aktuelle und zentrale Übersicht über jede Schwachstelle, mit dem Schweregrad, dem betroffenen System, dem Eigentümer, der Behebungsfrist, dem Status und der etwaigen Risikoakzeptanz.

In Kantyra ist dieses Register das Feststellungsregister. Sie erfassen eine Schwachstelle als Feststellung mit der Quelle Schwachstellen-Scan oder CVE, oberhalb der Schwelle, die Sie selbst wählen, sodass Sie auf das steuern, was zählt, und das Register keine Scanner-Ausgabe wird. Je Feststellung halten Sie den Schweregrad, das betroffene Asset, den Eigentümer, die Behebungsfrist und das Datum der erneuten Prüfung fest, und oben im Register zeigt die Expositionsübersicht, wie viele Schwachstellen offen sind, wie viele hoch oder kritisch, und wie viele durch einen Vorfall ausgenutzt wurden.

Von diesem Register laufen die Linien zum Rest Ihres Steuerungssystems. Eine überfällige kritische Schwachstelle ist ein Risiko, das in Ihr Risikoregister gehört; verknüpfen Sie die Feststellung mit einem Risiko, dann legt Kantyra automatisch eine Neubewertungsaufgabe an. Nutzt ein Vorfall die Schwachstelle aus, dann verknüpfen Sie den Vorfall mit der Feststellung und die Behebung erhält automatisch Vorrang. Kann eine Schwachstelle nicht rechtzeitig behoben werden, dann halten Sie das Restrisiko als Ausnahme mit Vier-Augen-Genehmigung und einem Enddatum fest. Ein Register Ihrer Systeme ist die Voraussetzung, denn ohne eine aktuelle Übersicht über Ihre Assets übersehen Sie die Schwachstellen, die auf ihnen liegen. So schließt Schwachstellenmanagement direkt an Ihr Informationssicherheits- und Risikomanagement (ISMS) im Einklang mit ISO 27001 an, sodass es zu einem festen Bestandteil Ihrer Sicherheit wird statt zu einer losen Aktivität.

Wo sitzt Schwachstellenmanagement im Kantyra-Modell?

Wie Penetrationstests lässt sich Schwachstellenmanagement nicht in einer einzigen Phase des Kantyra-Modells fassen: Es ist der Zyklus des Modells, angewendet auf die Schwächen in Ihren Systemen. Aber als CISO liegt Ihr Schwerpunkt nicht ganz unten.

Das Erkennen überlassen Sie größtenteils dem IT-Betrieb: Die Scans und die Pentests bringen die Schwächen ins Bild, und oberhalb Ihrer Schwelle erfassen Sie sie. Beim Bewerten liegt ein großer Teil Ihrer Arbeit: Sie wägen risikobasiert ab, mit dem technischen Schweregrad als Ausgangspunkt und der Bedeutung des Systems und der tatsächlichen Ausnutzung als ausschlaggebendem Faktor, und die schwersten eskalieren Sie ins Risikoregister. Im Beheben legen Sie die Richtlinie und die Behebungsfristen fest, überwachen die Behebung und verwalten die bewussten Risikoakzeptanzen. Und im Nachweisen liegt der Schlussstein Ihrer Rolle: Der Managementbericht bündelt die Steuerungskennzahlen, von offen je Schweregrad und den überfälligen und ausgenutzten Schwachstellen bis zur durchschnittlichen Behebungszeit, dem Prozentsatz innerhalb der Frist und dem Trend von Monat zu Monat, als Rechenschaft gegenüber der Geschäftsleitung.

Schwachstellenmanagement neben den vier Phasen des Kantyra-Modells: die Schwachstellen ins Bild bringen gehört zum Erkennen, das risikobasierte Abwägen und Priorisieren zum Bewerten, die Richtlinie und die Behebung innerhalb der Frist zum Beheben, und die Steuerungskennzahlen und die Rechenschaft zum Nachweisen

Der IT-Betrieb ist vor allem mit Erkennen und Beheben beschäftigt; Sie steuern den gesamten Zyklus und legen darüber Rechenschaft ab. Das ist der Unterschied zwischen Schwachstellen beheben und Schwachstellen beherrschen.

Arbeiten Sie mit losen Dokumenten oder mit einer GRC-Plattform?

Sie können Ihre Richtlinie, Ihre Steuerungskennzahlen und Ihre Schwachstellen in losen Dateien führen, und als Start ist das vertretbar. Aber als CISO stoßen Sie schnell an die Grenzen. Lose Dateien liefern keine aktuelle Übersicht, keinen verlässlichen Trend und keinen Nachweis für die Geschäftsleitung oder die Aufsichtsbehörde.

In einer GRC-Plattform verwalten Sie die Richtlinie, das Schwachstellenregister und die Nachverfolgung als verknüpfte Übersichten innerhalb einer einzigen Umgebung. Jede Schwachstelle hat einen Eigentümer, einen Status und eine Frist, die überfälligen fallen sofort auf, und die Steuerungskennzahlen berechnen sich selbst, sodass Sie auf Schweregrad und Behebungszeit steuern statt auf Bauchgefühl.

Mit Kantyra steuern Sie Schwachstellenmanagement in derselben Umgebung wie Ihr ISMS. Sie halten die Richtlinie als Richtliniendokument fest, Sie führen die Expositionsübersicht nach Schweregrad und Behebungsfrist, und Sie verwalten die Ausnahmen als bewusste Risikoakzeptanzen. Der Managementbericht übersetzt das in die Steuerungskennzahlen für die Geschäftsleitung, mit der durchschnittlichen Behebungszeit, dem Prozentsatz innerhalb der Frist und dem Trend, im Einklang mit ISO 27001. So verlagern Sie sich von losen Meldungen zu nachweisbarer Steuerung.

In fünf Schritten Schwachstellenmanagement einrichten

  1. Legen Sie die Richtlinie fest. Halten Sie den Geltungsbereich, die Rollen, die Behebungsfristen und die Rechenschaft fest.
  2. Trennen Sie Steuern von Ausführen. Legen Sie die Ausführung beim IT-Betrieb und die Steuerung und Rechenschaft bei der CISO-Funktion.
  3. Richten Sie die Priorisierung risikobasiert ein. Kombinieren Sie den technischen Schweregrad mit der Bedeutung des Systems und der tatsächlichen Ausnutzung.
  4. Messen und berichten Sie. Wählen Sie einen begrenzten Satz an Steuerungskennzahlen und bringen Sie diese auf eine Erzählung für die Leitungsebene zurück.
  5. Verwalten Sie alles im Zusammenhang. Verknüpfen Sie das Schwachstellenregister mit Ihrem Risikoregister, Ihren Verbesserungsmaßnahmen und Ihrem ISMS.

Häufig gestellte Fragen zum Schwachstellenmanagement

Was ist der Unterschied zwischen Schwachstellenmanagement und Patchen? Patchen ist eine Möglichkeit, eine Schwachstelle zu beheben. Schwachstellenmanagement ist der gesamte Prozess darum herum, vom Entdecken und Priorisieren bis zum Beheben, Verifizieren und Rechenschaft ablegen. Patchen ist Ausführung, Management ist Steuerung.

Ist Schwachstellenmanagement eine Aufgabe der IT oder des CISO? Von beiden, aber in unterschiedlicher Rolle. Der IT-Betrieb führt die Behebung aus, während der CISO den Prozess steuert, die Priorisierung bestimmt und Rechenschaft ablegt. Diese Trennung verhindert, dass dieselbe Partei ihre eigene Arbeit beurteilt.

Müssen Sie jede Schwachstelle beheben? Nein. Sie priorisieren risikobasiert. Manche Schwachstellen beheben Sie sofort, andere akzeptieren Sie bewusst und zeitweilig als Restrisiko, sofern das festgehalten und durch den richtigen Eigentümer genehmigt ist.

Wie schnell müssen Sie eine kritische Schwachstelle beheben? Das halten Sie in Ihrer Richtlinie fest. Für kritische Schwachstellen ist eine kurze Frist üblich, besonders wenn das System am Internet hängt oder tatsächlich ausgenutzt wird. Es geht darum, dass die Fristen je Schweregrad feststehen und dass Sie danach steuern.

Wie weisen Sie nach, dass Sie Schwachstellen beherrschen? Mit einer festgelegten Richtlinie, einem aktuellen Schwachstellenregister, einem Satz an Steuerungskennzahlen und einer regelmäßigen Berichterstattung an die Geschäftsleitung. Zusammen zeigen diese, dass Sie die Lage im Griff haben und dass das Restrisiko bewusst zugewiesen ist.

Loslegen mit Schwachstellenmanagement in Kantyra

Wollen Sie Schwachstellenmanagement steuern, statt Meldungen hinterherzulaufen? Mit Kantyra halten Sie Ihre Richtlinie, Ihr Schwachstellenregister und Ihre Nachverfolgung verknüpft, im Einklang mit ISO 27001. So steuern Sie auf Schweregrad und Behebungsfrist, der Managementbericht zeigt die Steuerungskennzahlen und den Trend für die Geschäftsleitung, und Sie verwalten die Ausnahmen bewusst. Fordern Sie eine Demo an und entdecken Sie, wie Sie Schwachstellenmanagement auf Ihrem bestehenden ISMS aufbauen.


Kantyra ist eine europäische ISMS- und GRC-Plattform, mit der Organisationen ihre Informationssicherheit, ihr Risikomanagement und ihre Compliance nachweisbar verwalten, im Einklang mit Normen wie ISO 27001 und ISO 22301 und mit Rechtsvorschriften wie der DSGVO, NIS2 und der KI-Verordnung.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen