Schwachstellenmanagement: So funktioniert es und wie Sicherheitsteams ausnutzbare Risiken minimieren

Unternehmen sehen sich mit einer zunehmenden Sicherheitslücke konfrontiert. Mit 40.289 im Jahr 2024 veröffentlichten CVEs – ein Anstieg von 39 % gegenüber 2023 (Fortinet Global Threat Landscape Report 2025), und angesichts der Tatsache, dass ein Datenleck mittlerweile durchschnittlich 4,88 Millionen US-Dollar kostet (IBM Cost of a Data Breach 2024), haben Kompromittierungen der Lieferkette, cloud Workloads und ausgediente Infrastruktur die Risikobewertung grundlegend verändert, sodass regelmäßige Patch-Zyklen keine strukturell angemessene Reaktion mehr darstellen.

Dieser Leitfaden erläutert, wie Schwachstellenmanagement funktioniert, wie man ein ausgereiftes Programm aufbaut und bewertet und wie moderne Erkennungsfunktionen ermitteln, welche Schwachstellen für Angreifer von aktuellem Interesse sind. Er richtet sich an SOC-Teams, Sicherheitsingenieure und CISOs, die ein Schwachstellenmanagementprogramm in hybriden Unternehmensumgebungen aufbauen oder weiterentwickeln.

Was ist Schwachstellenmanagement?

Das Schwachstellenmanagement ist ein kontinuierlicher, strategischer Prozess zur Identifizierung, Bewertung, Priorisierung und Behebung von Sicherheitslücken in der gesamten Technologieinfrastruktur eines Unternehmens. Im Gegensatz zu punktuellen Bewertungen oder dem enger gefassten Anwendungsbereich des Patch-Managements deckt das Schwachstellenmanagement den gesamten Lebenszyklus einer Sicherheitslücke ab – von der Erfassung der Systeme bis hin zur Überprüfung der Behebung – und ermöglicht so eine systematische Reduzierung ausnutzbarer Risiken.

Inwiefern unterscheidet sich das Schwachstellenmanagement von der Schwachstellenanalyse und dem Patch-Management?

Die Begriffe werden oft synonym verwendet, beschreiben jedoch unterschiedliche Aktivitäten mit unterschiedlichem Umfang. Das Schwachstellenmanagement ist ein fortlaufendes Programm: Es gewährleistet eine kontinuierliche Überwachung der gesamten Schwachstellenlandschaft, legt Prioritäten fest und verfolgt den Fortschritt der Behebung im Zeitverlauf. Die Schwachstellenanalyse liefert eine Momentaufnahme, die für Audits und begrenzte Bewertungen nützlich ist, jedoch kein Ersatz für eine kontinuierliche Überwachung darstellt. Das Patch-Management befasst sich ausschließlich mit Software-Updates und stellt somit nur einen Teilbereich der Behebungsmaßnahmen innerhalb eines ausgereiften Schwachstellenmanagement-Programms dar. 

CVE (Common Vulnerabilities and Exposures) stellt standardisierte Kennungen für bekannte Sicherheitslücken bereit. CVSS (Common Vulnerability Scoring System) bewertet den Schweregrad auf einer Skala von 0 bis 10, obwohl dieser Ansatz wegen der Erzeugung falscher Dringlichkeit auf gut dokumentierte Kritik stößt – nur 3 % der Schwachstellen führen am häufigsten zu einer erheblichen Gefährdung, was bedeutet, dass die überwiegende Mehrheit der von CVSS markierten Befunde in der Praxis keine operative Bedrohung darstellt (Tenable Research 2024). Das Exploit Prediction Scoring System (EPSS) prognostiziert mithilfe von maschinellem Lernen die Wahrscheinlichkeit einer Ausnutzung innerhalb von 30 Tagen und bietet so eine betrieblich genauere Priorisierung. Der KEV-Katalog (Known Exploited Vulnerabilities) der CISA erfasst Schwachstellen, bei denen eine aktive Ausnutzung bestätigt wurde, und stellt die Behebungsziele mit der höchsten Priorität in jedem Programm dar (CISA KEV-Katalog).

Was ist der Unterschied zwischen einer Schwachstelle, einem Risiko und einer Bedrohung?

Eine Schwachstelle ist eine Schwäche in einem System, einer Anwendung oder einer Konfiguration, die ausgenutzt werden kann. Eine Bedrohung ist ein Akteur oder ein Umstand, der über die Fähigkeit und die Absicht verfügt, diese Schwäche auszunutzen. Ein Risiko ist die potenzielle Auswirkung auf das Geschäft, falls die Bedrohung die Schwachstelle erfolgreich ausnutzt, wobei sowohl die Wahrscheinlichkeit als auch die Folgen berücksichtigt werden. Schwachstellenmanagement-Programme gehen Schwachstellen direkt an, doch eine effektive Priorisierung erfordert alle drei Faktoren: Eine CVE mit hohem Schweregrad in einem isolierten, vom Netz getrennten System birgt möglicherweise ein geringeres Betriebsrisiko als ein Fehler mit mittlerem Schweregrad, der aktiv in einer Produktionsumgebung mit dem Internet verbundenen Diensten ausgenutzt wird.

Wie funktioniert das Schwachstellenmanagement?

Das Schwachstellenmanagement funktioniert als kontinuierlicher Sechs-Phasen-Zyklus. Jede Phase fließt in die nächste ein, und das Programm kommt nie vollständig zum Stillstand: Die Ressourcen ändern sich, täglich werden neue Schwachstellen bekannt, und die Bedrohungslage wandelt sich ständig. Der kontinuierliche Sechs-Phasen-Zyklus funktioniert wie folgt:

‍

1. Erfassung und Bestandsaufnahme von Ressourcen – Erfassen Sie alle Ressourcen, einschließlich Hardware, Software, cloud , Container und Identitäten. Unternehmen können unbekannte Ressourcen nicht schützen. Moderne Umgebungen erfordern eine kontinuierliche Erfassung, die in CMDBs und cloud integriert ist, um Echtzeit-Transparenz über die gesamte hybride Infrastruktur hinweg zu gewährleisten.
   
2. Priorisierung von Ressourcen – Klassifizieren Sie Ressourcen nach Kritikalität, Datensensibilität, Geschäftsfunktion und Risikoausmaß. Internet-exponierte Ressourcen und Systeme, auf denen sensible Daten gehostet werden, werden am häufigsten gescannt und unterliegen den kürzesten SLAs für die Behebung von Sicherheitslücken. Mithilfe von Techniken zum Angriffsflächenmanagement werden Ressourcen identifiziert, die sofortige Aufmerksamkeit erfordern.
   
3. Bewertung und Scans – Erkennen Sie Schwachstellen durch authentifizierte und nicht authentifizierte Scans, agentenbasierte Überwachung, SAST und DAST für Anwendungen sowie CSPM für cloud . Authentifizierte Scans bieten einen tieferen Einblick als externe Bewertungen. Agentenbasierte Scans ermöglichen die kontinuierliche Überwachung dynamischer Workloads.
   
4. Berichterstellung und Analyse – Verwandeln Sie Rohdaten aus Scans in priorisierte, umsetzbare Erkenntnisse. Aussagekräftige Berichte heben kritische Befunde hervor, stellen einen Bezug zum geschäftlichen Kontext her und verfolgen den Fortschritt der Behebung im Zeitverlauf. Dashboards für Führungskräfte vermitteln der Unternehmensleitung Risikotrends. Technische Berichte bieten den Entwicklerteams präzise Anleitungen zur Behebung.
   
5. Behebung und Risikominderung – Installieren Sie Hersteller-Patches, implementieren Sie virtuelle Patches über WAF- oder IPS-Regeln, isolieren Sie anfällige Systeme oder richten Sie Ausgleichskontrollen für Systeme ein, die nicht gepatcht werden können. Unternehmen, die innerhalb von 30 Tagen eine Behebungsquote von 89 % erreichen, nutzen Automatisierung und Orchestrierung, um manuelle Übergabeverzögerungen zwischen der Identifizierung und der Ergreifung von Maßnahmen zu vermeiden.
   
6. Überprüfung und Überwachung – Überprüfen Sie die Behebung durch erneutes Scannen und Testen. Durch kontinuierliche Überwachung werden neue Schwachstellen und Abweichungen in der Konfiguration zwischen den geplanten Scan-Zyklen erkannt. Die aus der Überprüfung gewonnenen Erkenntnisse fließen in die künftige Priorisierung und die Anpassung der SLAs über den gesamten Lebenszyklus hinweg ein.
   

Häufige Sicherheitslücken, mit denen sich Sicherheitsteams befassen

Sicherheitslücken bilden keine einheitliche Kategorie; maßgeschneiderte Scan-Ansätze sind unerlässlich, um eine umfassende Abdeckung in einer modernen hybriden Infrastruktur zu gewährleisten. 

‍

Die folgende Tabelle ordnet jedem Schwachstellentyp den entsprechenden Angriffsvektor, gängige Beispiele sowie die wichtigsten Priorisierungsmerkmale zu

Sicherheitslücken im Netzwerk

Netzwerkschwachstellen legen unternehmensweite Angriffsflächen offen, die Angreifer ohne Benutzereingriff ausloten können. Unverschlüsselte Protokolle, Standard-Anmeldedaten auf Netzwerkgeräten und nicht gepatchte Netzwerkdienste gehören zu den am häufigsten ausgenutzten Schwachstellen. Netzwerkbasierte Scanner identifizieren diese aus der Perspektive eines externen Angreifers, während authentifizierte Scans einen tieferen Einblick in interne Fehlkonfigurationen bieten, die bei reinen Perimeter-Prüfungen nicht sichtbar sind.

Sicherheitslücken in Anwendungen

Sicherheitslücken in Anwendungen erfordern spezielle Testansätze, die über herkömmliche Netzwerkscans hinausgehen. SAST identifiziert Fehler auf Codeebene bereits während der Entwicklung. DAST testet laufende Anwendungen auf ausnutzbare Schwachstellen, darunter Injektionsfehler, Authentifizierungsumgehungen und unsichere direkte Objektreferenzen. Die Software-Composition-Analyse (SCA) identifiziert anfällige Bibliotheken von Drittanbietern – eine entscheidende Funktion, da moderne Anwendungen in der Regel Hunderte von Open-Source-Abhängigkeiten mit eigenständigen Schwachstellen-Lebenszyklen enthalten.

Sicherheitslücken in Cloud Container-Umgebungen

Cloud Workloads bringen Schwachstellenkategorien mit sich, die herkömmliche Scan-Tools übersehen. Falsch konfigurierte Speicher-Buckets, IAM-Rollen mit übermäßigen Berechtigungen und nicht gepatchte Container-Basisimages erfordern speziell entwickelte Tools: CSPM-Plattformen zur Konfigurationsbewertung, CWPP zum Schutz von Workloads und das Scannen von Container-Images, das vor der Bereitstellung in CI/CD-Pipelines integriert wird. Laut Gartner werden bis 2029 35 % der Anwendungen containerisiert sein, wodurch die Abdeckung cloud Schwachstellen zu einer wachsenden Priorität im Programm wird.

Sicherheitslücken im Bereich Identitäts- und Zugriffsmanagement

Identitätsschwachstellen werden zunehmend als Einstiegsvektoren für Angriffe genutzt. Schwache MFA-Konfigurationen, Dienstkonten mit übermäßigen Berechtigungen und Kerberoast-anfällige Konten in Active Directory werden bei Angriffen auf Unternehmen regelmäßig ausgenutzt. Das Management von Identitätsschwachstellen erfordert eine Integration zwischen herkömmlichen Scan-Tools und Identitätssicherheitslösungen – eine Lücke, die bei vielen Programmen zu blinden Flecken in ihrer Angriffsfläche mit dem höchsten Risiko führt.

Schwachstellenmanagement in Zahlen: Statistiken für 2024–2025

Die nachstehenden Daten spiegeln das derzeitige Ausmaß der Sicherheitsrisiken in Unternehmensumgebungen wider. Diese Kennzahlen sollten als Grundlage für Investitionsentscheidungen, die Anpassung von SLAs und die Berichterstattung über die Sicherheitslage auf Vorstandsebene dienen. Quellen und Veröffentlichungsjahre sind zur Nachvollziehbarkeit und Zitierfähigkeit angegeben.

Fallstudien zum Schwachstellenmanagement in Unternehmen aus der Praxis

Die folgenden Fälle veranschaulichen, wie sich Mängel im Schwachstellenmanagement in messbaren betrieblichen Auswirkungen niederschlagen. Jeder Fall steht für einen bestimmten Fehlermodus – Zeitpunkt der Offenlegung, Gefährdung durch Dritte und zero-day – und liefert eine direkte Erkenntnis für die Programmgestaltung und die Anpassung von SLAs.

Log4Shell – weltweite Ausnutzung innerhalb weniger Stunden nach der Veröffentlichung

Am 9. Dezember 2021 wurde eine kritische Sicherheitslücke (CVE-2021-44228, CVSS 10.0) in der Logging-Bibliothek Apache Log4j bekannt gegeben, die die Ausführung von Remote-Code ermöglicht. Innerhalb von 72 Stunden identifizierte Checkpoint Research über 100 verschiedene Gruppen von Angreifern, die die Schwachstelle aktiv bei Zielen mit Internetanbindung ausnutzten. Die CISA erließ die Notfallanweisung 22-02, die alle zivilen Bundesbehörden dazu verpflichtete, unverzüglich einen Patch zu installieren. Die Schwachstelle betraf weltweit Hunderte Millionen von Geräten in cloud , Unternehmensanwendungen und eingebetteten Systemen.

Die Log4j-Bibliothek war in Softwareprodukten von Hunderten von Anbietern eingebettet, von denen viele keinen Einblick in ihre Abhängigkeitsketten hatten. Unternehmen, die vierteljährliche Scan-Zyklen durchführten, waren wochenlang gefährdet, während die Patches der Anbieter vor der Bereitstellung geprüft und getestet wurden.

Erkenntnis: Bei Schwachstellen mit hohem Schweregrad beginnt die Ausnutzung bereits wenige Stunden nach der Veröffentlichung; Programme ohne kontinuierliche Überprüfung und automatisierte KEV-Warnmeldungen können nicht mit der Geschwindigkeit reagieren, die die Bedrohungslage erfordert.

MOVEit Transfer – Kettenreaktion durch Sicherheitsverletzung bei Drittanbieter betrifft über 2.700 Organisationen

Im Mai 2023 nutzte die ransomware Cl0p eine SQL-Injection-Sicherheitslücke (CVE-2023-34362) in der Dateiübertragungsplattform „MOVEit Transfer“ von Progress Software aus, noch bevor der Anbieter die Schwachstelle öffentlich bekanntgab. Der Angriff breitete sich auf mehr als 2.700 Organisationen aus – darunter Regierungsbehörden, Finanzinstitute und Einrichtungen des Gesundheitswesens – und legte die Daten von über 93 Millionen Personen offen. Die geschätzten Gesamtkosten beliefen sich auf über 12 Milliarden US-Dollar (Emsisoft 2024).

Der Angriff zeigte die Grenzen von Scan-Programmen auf, die sich auf den Perimeter konzentrieren. Unternehmen, die SaaS-Plattformen von Drittanbietern und Managed-File-Transfer-Dienste nicht in ihren Schwachstellenmanagement-Umfang einbezogen hatten, erhielten erst dann Einblick in die Sicherheitslücke, als die Daten bereits abgezogen worden waren.

Erkenntnis: Software von Drittanbietern und für die Lieferkette muss ebenso gründlich geprüft werden wie intern verwaltete Systeme – SaaS-Plattformen und Managed-File-Transfer-Dienste sind keine Ressourcen, die aus dem Prüfumfang ausgenommen sind.

Ivanti Connect Secure – zero-day staatlich geförderte Akteure über mehr als 1.700 VPN-Geräte in Unternehmen

Im Januar 2024 nutzten staatlich gestützte Angreifer zwei zero-day in Ivanti Connect Secure VPN-Geräten (CVE-2023-46805 und CVE-2024-21887) in einer Kette aus, um vor der Authentifizierung Remote-Codeausführung zu erreichen. Die CISA erließ innerhalb weniger Tage nach Bekanntwerden der Schwachstellen die Notfallanweisung 24-01. Weltweit wurden über 1.700 Geräte kompromittiert, bevor Patches verfügbar waren. Der Angriff wurde der Gruppe UNC5221 zugeschrieben, einer mit China in Verbindung stehenden Bedrohungsgruppe, die es auf Regierungsstellen und Organisationen kritischer Infrastrukturen abgesehen hat.

Die Verkettung der Schwachstellen – eine ermöglichte die Umgehung der Authentifizierung, die andere die Befehlsinjektion – führte zu einer Auswirkung, die weitaus schwerwiegender war als jede der Schwachstellen für sich genommen. Die übliche CVSS-Bewertung einzelner Schwachstellen hätte das kombinierte Ausnutzungsrisiko nicht aufgedeckt, bevor es durch die Aktivitäten der Angreifer zutage trat.

Erkenntnis: Zero-day erfordert Ausgleichsmaßnahmen – Netzwerksegmentierung, verstärkte Überwachung und virtuelles Patching über IPS –, die sofort nach Bekanntwerden der Schwachstelle aktiviert werden müssen, nicht erst nach der Planung eines Patch-Fensters.

Schwachstellenmanagement vs. Penetrationstests

Schwachstellenmanagement und Penetrationstests dienen unterschiedlichen Zwecken und sollten nicht gegenseitig ersetzt werden; sie sind sich ergänzende Disziplinen innerhalb eines ausgereiften Sicherheitsprogramms.

Das Schwachstellenmanagement ist ein kontinuierlicher Prozess: Es identifiziert und verfolgt bekannte Schwachstellen in allen Systemen, priorisiert deren Behebung anhand der Ausnutzbarkeit und des geschäftlichen Kontexts und misst die Programmleistung im Zeitverlauf. Penetrationstests finden in regelmäßigen Abständen statt und sind auf einen bestimmten Umfang beschränkt: Es handelt sich um eine strukturierte Simulation des Verhaltens von Angreifern, mit der überprüft werden soll, ob identifizierte Schwachstellen ausnutzbar sind, logische Fehler aufgedeckt werden, die automatisierten Scannern entgehen, und die Wirksamkeit bestehender Sicherheitsmaßnahmen getestet wird.

Ein ausgereiftes Programm nutzt beides. Das Schwachstellenmanagement erfasst die Angriffsfläche. Penetrationstests überprüfen, ob die Abwehrmaßnahmen gegen einen Angreifer standhalten, der aktiv in diesem Umfeld operiert.

Warum das Schwachstellenmanagement schwieriger ist als je zuvor

Das Bedrohungsumfeld hat sich derart verändert, dass herkömmliche Programme für regelmäßige Scans strukturell unzureichend sind. Drei Faktoren bestimmen die aktuelle Herausforderung.

Die Geschwindigkeit der Ausnutzung hat die Sanierungszyklen überholt.

Der KEV-Katalog der CISA zeigt, dass 23,6 % der bekannten ausgenutzten Schwachstellen bereits vor oder zum Zeitpunkt ihrer öffentlichen Bekanntgabe für Angriffe genutzt werden (CISA KEV 2024), sodass den Verteidigern keine nennenswerte Vorlaufzeit bleibt. Moderne Angriffe verknüpfen zunehmend mehrere Schwachstellen miteinander; eine Konfigurationsfehler mit geringem Schweregrad in Kombination mit einer Schwachstelle zur Rechteausweitung kann dieselben geschäftskritischen Folgen haben wie eine einzelne als kritisch eingestufte Schwachstelle.

Die Angriffsflächen haben sich über die auf dem Perimeter basierenden Scans hinaus ausgeweitet. Durch Kompromittierungen in der Lieferkette entstehen Schwachstellen außerhalb der direkten Kontrolle des Unternehmens. Cloud Workloads, Container und kurzlebige Rechenressourcen stellen weitere Ressourcen dar, die herkömmliche agentenbasierte Scanner häufig übersehen. Durch Cloud ist eine umfassende Bestandsaufnahme der Ressourcen zu einer fortlaufenden betrieblichen Anforderung geworden und nicht mehr nur eine vierteljährliche Maßnahme.

Veraltete Infrastruktur schafft dauerhafte Sicherheitslücken. Mit dem Ende des Supportzyklus für Windows 10 im Oktober 2025 erhielten Systeme keine Sicherheitsupdates mehr, wodurch bekannte Schwachstellen für Unternehmen, die nicht migrieren können, dauerhaft offen blieben. Systeme, die nicht gepatcht werden können, erfordern Ausgleichsmaßnahmen, Netzwerksegmentierung, verstärkte Überwachung und Anwendungskontrolle, um das Ausnutzungspotenzial zu begrenzen. Dies sind jedoch nur Notlösungen und keine dauerhaften Lösungen; sie erfordern ein aktives, kontinuierliches Management.

Was sind die größten Herausforderungen beim Schwachstellenmanagement?

Selbst gut ausgestattete Teams sehen sich mit strukturellen Hindernissen konfrontiert, die sich mit der Zeit verschärfen. Diese Herausforderungen sind systemischer Natur und keine Einzelfälle; sie lassen sich nicht durch den Einsatz weiterer Scanner lösen.

Das hohe Alarmaufkommen und die durch CVSS-Werte ausgelöste falsche Dringlichkeit. Nur etwa 16 % der als „kritisch“ eingestuften CVSS-Schwachstellen werden in der Praxis tatsächlich ausgenutzt. Wenn jeder kritische CVSS-Wert als dringlich behandelt wird, entstehen Rückstände bei der Behebung, wodurch wirklich risikoreiche Schwachstellen übersehen werden und die Kapazitäten der Analysten durch theoretische Bedrohungen erschöpft werden.

Lücken in der Abdeckung moderner Infrastrukturen. Cloud Workloads, containerisierte Anwendungen und kurzlebige Ressourcen bleiben für Scanner, die für statische Umgebungen konzipiert sind, häufig unsichtbar. Hybride Infrastrukturen erfordern hybride Scan-Strategien – agentenbasiert für dynamische Workloads, agentenlos für statische Ressourcen und API-integriert für cloud .

Koordination von Behebungsmaßnahmen in großem Maßstab. Das Schwachstellenmanagement erstreckt sich über Teamgrenzen hinweg: Die Sicherheitsabteilung identifiziert Schwachstellen, die IT-Abteilung installiert Patches, und die Entwickler beheben Fehler auf Code-Ebene. Ohne festgelegte SLAs und eine Integration in die Arbeitsabläufe häufen sich Rückstände an, unabhängig davon, wie gut die Schwachstellen im Vorfeld priorisiert wurden.

Aufwand für manuelle Prozesse. Manuelle Triage, die Erstellung von Tickets und die Berichterstellung beanspruchen die Kapazitäten der Analysten, die sich eigentlich auf die Untersuchung und Behebung von Problemen konzentrieren sollten. Programme, die in großem Umfang auf manuelle Prozesse angewiesen sind, können Sicherheitslücken nicht schließen, bevor Angreifer diese ausnutzen können.

Wie funktioniert die Automatisierung des Schwachstellenmanagements?

Die Automatisierung des Schwachstellenmanagements reduziert den manuellen Aufwand über den gesamten Zyklus von der Erkennung bis zur Behebung. Durch automatisierte Scans werden neue Schwachstellen fortlaufend identifiziert, sobald sich die Bestandslage ändert, ohne dass dafür festgelegte Scan-Zeitfenster erforderlich sind. Anreicherungspipelines korrelieren die Scan-Ergebnisse mit EPSS-Bewertungen, Threat-Intelligence-Feeds und Daten zur Kritikalität der Assets, um priorisierte Behebungswarteschlangen zu erstellen, ohne dass ein Analyst eingreifen muss.

SOAR-Integrationen wandeln priorisierte Befunde in Tickets um, die je nach Zuständigkeit für die Ressourcen und SLA-Schwellenwerten an das richtige Team weitergeleitet werden. Automatisierte erneute Überprüfungen bestätigen die Behebung, ohne dass eine manuelle Planung erforderlich ist. Berichts-Pipelines erstellen in festgelegten Intervallen Compliance-Dokumentationen.

Das Ziel besteht nicht darin, Analysten aus dem Prozess zu entfernen. Vielmehr soll das analytische Urteilsvermögen auf Entscheidungen konzentriert werden, die menschliches Fachwissen erfordern: die Bewertung von Ausgleichskontrollen für Systeme, die nicht gepatcht werden können, die Untersuchung von Erkennungssignalen, die auf eine aktive Ausnutzung hindeuten, sowie die Eskalation von Befunden, die organisatorische Risikogrenzen überschreiten.

Regulatorische und Compliance-Anforderungen

Das Schwachstellenmanagement unterstützt die Einhaltung der wichtigsten regulatorischen Rahmenwerke, die jeweils spezifische Anforderungen und Dokumentationspflichten vorsehen. Unternehmen müssen diese Anforderungen kennen, um Strafen zu vermeiden und ihre Zertifizierungen aufrechtzuerhalten.

ISO 27001 (A.12.6) schreibt Prozesse zum Management technischer Schwachstellen mit festgelegten Rollen, regelmäßigen Bewertungen und zeitnahen Abhilfemaßnahmen vor. Organisationen müssen Verfahren zum Umgang mit Schwachstellen dokumentieren, Zeitpläne für Abhilfemaßnahmen einhalten und eine kontinuierliche Verbesserung anhand risikobasierter Ansätze nachweisen, die auf die Geschäftsziele abgestimmt sind.

Die technischen Sicherheitsvorkehrungen des HIPAA schreiben ein Schwachstellenmanagement zum Schutz elektronischer geschützter Gesundheitsdaten (ePHI) vor. Betroffene Einrichtungen müssen regelmäßig Schwachstellenanalysen durchführen, Patches unverzüglich installieren und alle Abhilfemaßnahmen dokumentieren. Die Sicherheitsvorschrift verlangt eine fortlaufende Bewertung der Wirksamkeit technischer Kontrollmaßnahmen.

Anforderung 6 des PCI DSS befasst sich ausdrücklich mit dem Schwachstellenmanagement für Organisationen, die Zahlungskartendaten verarbeiten. Vierteljährliche interne und externe Schwachstellenscans durch zugelassene Scan-Anbieter (ASVs) sind obligatorisch. Hochriskante Schwachstellen müssen innerhalb eines Monats behoben werden, wobei ein erneuter Scan zur Überprüfung der Korrekturen erforderlich ist.

Das NIST CSF integriert das Schwachstellenmanagement funktionsübergreifend. Die Funktion „Identifizieren“ (ID.RA) umfasst die Erkennung von Schwachstellen, während die Funktion „Schützen“ (PR.IP) Maßnahmen zur Behebung dieser Schwachstellen umfasst. Organisationen, die die NIST-Richtlinien anwenden, setzen in der Regel automatisierte Scans, kontinuierliche Überwachung und metrikbasierte Verbesserungsprogramme ein.

Schwachstellen aufspüren und verhindern

Eine wirksame Erkennung erfordert die Kombination aus kontinuierlichem Scannen und Verhaltensüberwachung – Scanner identifizieren bekannte Schwachstellen, während Signale zur aktiven Erkennung aufzeigen, welche Schwachstellen derzeit von Angreifern ausgenutzt werden. Das nachstehende siebenstufige Rahmenkonzept deckt beide Dimensionen eines umfassenden Erkennungs- und Präventionsprogramms ab.

1. Sorgen Sie für eine lückenlose Transparenz Ihrer Ressourcen – Führen Sie ein Echtzeit-Bestandsverzeichnis, das cloud, Hybrid- und temporäre Infrastrukturen erfasst. Integrieren Sie CMDBs, cloud und Identitätssysteme. Ein Scanner kann nicht bewerten, was er nicht sieht. Unentdeckte Ressourcen stellen systematische blinde Flecken dar und sind keine akzeptablen Lücken im Programm.
   
2. Führen Sie authentifizierte Scans für alle Asset-Klassen durch – Authentifizierte Scans decken Schwachstellen deutlich umfassender ab als nicht authentifizierte Scans aus der Netzwerkperspektive. Konfigurieren Sie Scan-Anmeldedaten für Server, Workstations, Netzwerkgeräte und cloud . Ergänzen Sie dies durch agentenbasierte Scans für Assets, die zwischen den geplanten Scan-Zyklen für Netzwerkscanner nicht erreichbar sind.
   
3. Integrieren Sie Bedrohungsinformationen und CISA-KEV-Feeds – Automatisieren Sie die Übernahme von CISA-KEV-Updates und Bedrohungsinformations-Feeds in Ihre Priorisierungs-Pipeline. Wenn ein KEV-Eintrag zu einer in Ihrer Umgebung vorhandenen Schwachstelle veröffentlicht wird, sollte dieser Befund automatisch auf die höchste SLA-Stufe eskaliert werden – unabhängig vom CVSS-Score. Zero-Click-Exploits erfordern eine Eskalation ohne Verzögerung.
   
4. Anwendung einer EPSS-basierten Risikopriorisierung – Ersetzen oder ergänzen Sie die ausschließlich auf CVSS basierende Triage durch EPSS-Werte, die nach der Kritikalität der Ressourcen und dem Umgebungskontext gefiltert werden. Eine CVSS 7.0-Schwachstelle mit einem EPSS-Wert von 0,85 erfordert dringlichere Maßnahmen als eine CVSS 9.5-Schwachstelle mit einem EPSS-Wert von 0,001. Viele Programme legen 0,10 als Mindestschwelle für eine verstärkte Reaktion fest, abgestimmt auf das Risikoprofil der Ressourcen.
   
5. Automatisieren Sie Behebungsabläufe und die Durchsetzung von SLAs – Verknüpfen Sie priorisierte Schwachstellenbefunde über SOAR oder direkte API-Integration mit Ticket-Systemen. Leiten Sie Tickets basierend auf der Zuständigkeit für die jeweiligen Assets weiter, nicht aufgrund manueller Triage. Definieren und setzen Sie SLAs nach Schweregrad durch: kritische und aktiv ausgenutzte Schwachstellen innerhalb von 24–72 Stunden, Schwachstellen mit hohem Schweregrad innerhalb von 7 Tagen, Schwachstellen mit mittlerem Schweregrad innerhalb von 30 Tagen. Verfolgen Sie die Einhaltung der SLAs als primäre Programmkennzahl.
   
6. Führen Sie Ausgleichsmaßnahmen für Systeme ein, die nicht gepatcht werden können – Für Systeme, die nicht sofort gepatcht werden können, sollten Sie Netzwerksegmentierung, WAF-Regeln und virtuelles IPS-Patching implementieren. Dokumentieren Sie jede Entscheidung bezüglich einer Ausgleichsmaßnahme formell zu Compliance-Zwecken. Behandeln Sie diese als vorübergehende Maßnahmen mit festgelegten Überprüfungszyklen und nicht als dauerhafte Lösungen.
   
7. Überwachen Sie Anzeichen für aktive Angriffe – Integrieren Sie Daten aus dem Schwachstellenmanagement in Erkennungs- und Reaktionswerkzeuge, um festzustellen, welche Schwachstellen in Ihrer Umgebung aktiv ausgenutzt werden. Ungewöhnliche Netzwerkverbindungen zu anfälligen Diensten, Versuche der Rechteausweitung nach Erkundungsphasen sowie laterale Bewegungen von CVE-betroffenen Systemen deuten allesamt auf aktives Interesse von Angreifern hin – und sollten dazu führen, dass die Prioritäten in den Behebungswarteschlangen in Echtzeit neu gesetzt werden.
   

MITRE ATT&CK für die Ausnutzung von Sicherheitslücken

Die Ausnutzung von Sicherheitslücken lässt sich direkt mehreren MITRE ATT&CK zuordnen. Das Verständnis dafür, welche Techniken Angreifer zur Ausnutzung bestimmter Kategorien von Sicherheitslücken einsetzen, hilft Teams dabei, die Erfassungsreichweite ihrer Erkennungsmaßnahmen zu konfigurieren und sicherzustellen, dass Scan-Programme die Angriffsflächen mit dem höchsten Risiko abdecken. Die folgende Tabelle ordnet gängige Techniken zur Ausnutzung von Sicherheitslücken ihren ATT&CK-Kennungen sowie empfohlenen Erkennungsansätzen zu.

Wie Sicherheitsteams feststellen, welche Schwachstellen aktiv ausgenutzt werden

Das herkömmliche Schwachstellenmanagement ermittelt, was ausgenutzt werden könnte. Die verhaltensbasierte Erkennung deckt hingegen auf, worauf Angreifer in Ihrer Umgebung gerade aktiv abzielen – und dieser Unterschied bestimmt, worauf sich die Abhilfemaßnahmen konzentrieren sollten.

Vectra AI „Attack Signal Intelligence™“Vectra AI deckt in Echtzeit Ausnutzungsmuster in Netzwerk-, cloud, Identitäts- und SaaS-Umgebungen auf und korreliert Signale über die gesamte Angriffsfläche hinweg, um aufzudecken, welche Schwachstellen in Ihrer spezifischen Umgebung derzeit im Fokus von Angreifern stehen. Laut IDC Vectra AI Unternehmen, die Vectra AI einsetzen, 52 % mehr potenzielle Bedrohungen und reduzieren den Zeitaufwand für die Untersuchung von Warnmeldungen um 50 %.

Erfahren Sie, wie die Erkennung von Verhaltensmustern Ihr Schwachstellenmanagement ergänzt → Entdecken Sie die Vectra AI

Risikobasierte Prioritätensetzung und EPSS

Die herkömmliche, auf dem CVSS basierende Priorisierung führt häufig zu einer erdrückenden Alarmflut. Viele als kritisch eingestufte Schwachstellen werden in der Praxis nie ausgenutzt, was dazu führt, dass Sicherheitsteams Ressourcen für die Behebung von Schwachstellen aufwenden, die nur ein begrenztes operatives Risiko darstellen. Das risikobasierte Schwachstellenmanagement berücksichtigt Bedrohungsinformationen, den geschäftlichen Kontext und die Ausnutzungswahrscheinlichkeit, um die Schwachstellen zu priorisieren, die am wichtigsten sind.

Die EPSS-Methodik prognostiziert die Ausnutzungswahrscheinlichkeit mithilfe von Modellen des maschinellen Lernens, die die Verfügbarkeit von Exploits, die Merkmale von Sicherheitslücken und Herstellerinformationen analysieren. EPSS wird täglich aktualisiert und liefert aktuelle Ausnutzungsprognosen mit einer Wahrscheinlichkeit zwischen 0 und 100 Prozent. Im Gegensatz zu CVSS spiegeln die EPSS-Werte das beobachtete Verhalten von Angreifern und prognostizierte Ausnutzungsmuster wider und nicht theoretische Schweregradbewertungen.

Umgebungsfaktoren haben einen erheblichen Einfluss auf das tatsächliche Risiko. Eine Schwachstelle in einem isolierten Entwicklungssystem birgt ein geringeres Betriebsrisiko als dieselbe Schwachstelle auf einem Produktionsserver mit Internetanbindung. Die Kritikalität der Ressourcen, die Sensibilität der Daten und kompensierende Kontrollmaßnahmen beeinflussen alle Entscheidungen zur Priorisierung. Das MITRE ATT&CK hilft dabei , Schwachstellen den Techniken von Angreifern zuzuordnen, um eine bedrohungsorientierte Priorisierung zu ermöglichen.

‍

Zero-day erfordert einen separaten Arbeitsablauf. Da noch kein Patch verfügbar ist, müssen Unternehmen alternative Schutzmaßnahmen ergreifen: Eine Netzwerksegmentierung begrenzt mögliche Auswirkungen, eine verstärkte Überwachung erkennt Ausnutzungsversuche, und virtuelles Patching über IPS- oder WAF-Regeln blockiert bekannte Angriffsmuster.

Die folgende Tabelle veranschaulicht die Verbesserung der Präzision in jeder Phase der Priorisierungsreife. Diese Genauigkeitswerte spiegeln Durchschnittswerte aus umfangreichen Schwachstellenbeständen wider und variieren je nach Umgebung, Asset-Mix und Bedrohungsprofil. Verwenden Sie sie als Kalibrierungsrichtwerte und nicht als feste Schwellenwerte.

Einführung von EPSS in Ihr VM-Programm

Die Implementierung von EPSS beginnt mit der Datenintegration. Verbinden Sie Schwachstellenscanner mit den EPSS-API-Endpunkten, um eine automatisierte Bewertung zu ermöglichen. Ordnen Sie vorhandene Schwachstellen CVE-Kennungen zu, damit sie von EPSS abgefragt werden können. Legen Sie Schwellenwerte fest, die auf der Risikotoleranz Ihres Unternehmens basieren. Viele Programme priorisieren Schwachstellen mit EPSS-Werten über 10 %, doch die Kalibrierung der Schwellenwerte sollte die Kritikalität der Ressourcen und das Risikoprofil der Branche widerspiegeln.

Konfigurieren Sie Scan-Tools so, dass sie neben dem CVSS-Wert auch EPSS-Werte in Berichte einbeziehen. Passen Sie die Workflows zur Behebung von Sicherheitslücken an, um die EPSS-Wahrscheinlichkeit bei der Festlegung von SLAs zu berücksichtigen. Analysten sollten sich bewusst sein, dass ein EPSS-Wert von 0,85 eine Wahrscheinlichkeit von 85 % bedeutet, dass die Schwachstelle innerhalb von 30 Tagen ausgenutzt wird – was sich grundlegend von einer CVSS-Bewertung von 9,0 für eine Schwachstelle ohne öffentlichen Exploit unterscheidet. Dokumentieren Sie die Methodik zur Priorisierung für Compliance- und Audit-Zwecke.

Überwachen Sie die Wirksamkeit des EPSS mithilfe von Kennzahlen. Vergleichen Sie die Falsch-Positiv-Raten und die durchschnittliche Zeit bis zur Behebung vor und nach der Einführung des EPSS. Passen Sie die Schwellenwerte auf der Grundlage der in Ihrer spezifischen Umgebung beobachteten Genauigkeit an.

Tools und Technologien für das Schwachstellenmanagement

Moderne Plattformen für das Schwachstellenmanagement vereinen zahlreiche Funktionen, um eine umfassende Abdeckung zu gewährleisten. Die Bewertung der verschiedenen Tool-Kategorien hilft Unternehmen dabei, Lösungen auszuwählen, die auf ihre Umgebung und den Reifegrad ihres Programms abgestimmt sind.

Die Architektur von Scannern hat erheblichen Einfluss auf die Bereitstellung und die Wirksamkeit. Agentenbasierte Scanner bieten kontinuierliche Transparenz und eignen sich gut für dynamische Umgebungen. Agentenlose Lösungen verringern die Komplexität der Bereitstellung, können jedoch vorübergehend vorhandene Ressourcen übersehen. Die meisten Unternehmen setzen hybride Ansätze ein, die beide Methoden kombinieren. Netzwerkbasierte Scanner identifizieren Schwachstellen, die aus der Perspektive eines externen Angreifers sichtbar sind.

Anwendungssicherheit erfordert spezielle Testansätze. SAST analysiert den Quellcode während der Entwicklung auf Schwachstellen. DAST testet laufende Anwendungen auf Sicherheitslücken. IAST kombiniert beide Ansätze für eine umfassende Abdeckung. SCA identifiziert anfällige Komponenten in Bibliotheken von Drittanbietern – eine entscheidende Funktion, da Open-Source-Abhängigkeitsketten in modernen Anwendungsstacks erheblich an Bedeutung gewonnen haben.

Die SicherheitCloud und Containern ist ein eigenständiger Bereich. CNAPP-Plattformen vereinen cloud , einschließlich Schwachstellenmanagement. CSPM überwacht cloud kontinuierlich auf Sicherheitsrisiken. CWPP schützt Workloads in hybriden Umgebungen. Beim Container-Scanning werden Schwachstellen in Container-Images und -Registern vor der Bereitstellung identifiziert.

Die Integration in das Ökosystem steigert die Wirksamkeit der Programme. SIEM-Plattformen führen Schwachstellendaten mit anderen Sicherheitsereignissen zusammen, um Korrelationen zu ermitteln. SOAR-Plattformen automatisieren Korrekturmaßnahmen auf der Grundlage der Schwachstellenbefunde. ITSM-Tools koordinieren die Patch-Installation mit den Änderungsmanagementprozessen teamübergreifend.

Auswahl der richtigen VM-Plattform

Die Entscheidungskriterien variieren je nach Unternehmensgröße, Komplexität der Infrastruktur und Reifegrad der Sicherheitsmaßnahmen. Kleine Unternehmen beginnen häufig mit einem integrierten Schwachstellenmanagement innerhalb von endpoint . Mittelständische Unternehmen benötigen in der Regel dedizierte Schwachstellenmanagement-Plattformen mit Automatisierungsfunktionen. Großunternehmen benötigen umfassende Plattformen, die vielfältige Umgebungen und Compliance-Anforderungen unterstützen.

Die folgende Tabelle vergleicht gängige Scanner-Architekturen nach Anwendungsfällen. Die meisten ausgereiften Programme setzen auf hybride Lösungen, anstatt sich auf einen einzigen Scan-Ansatz festzulegen.

Metriken und KPIs für das Schwachstellenmanagement

Eine effektive Messung fördert die kontinuierliche Verbesserung. Die folgenden vier Kernkennzahlen geben Aufschluss über die Wirksamkeit des Programms und bilden die Grundlage, um der Unternehmensleitung und den Prüfern die erzielten Fortschritte aufzuzeigen.

Die „Mean Time to Detect“ (MTTD) misst die durchschnittliche Zeit zwischen der Offenlegung einer Sicherheitslücke und deren Erkennung in Ihrer Umgebung. Führende Programme erreichen durch kontinuierliches Scannen und die Integration von Bedrohungsinformationen eine MTTD von unter 24 Stunden für kritische Ressourcen. Die MTTD berechnet sich, indem die Summe der Erkennungszeiten durch die Anzahl der erkannten Sicherheitslücken geteilt wird.

Die „Mean Time to Remediate“ (MTTR) erfasst die durchschnittliche Zeit vom Erkennen einer Sicherheitslücke bis zu ihrer erfolgreichen Behebung. Die Branchen-Benchmarks variieren erheblich: Der Tenable Exposure Management Index (2025) gab für kleine Unternehmen, die Automatisierung einsetzen, eine MTTR von 14 Tagen an, während Großunternehmen im Durchschnitt 30 Tage benötigen. Die MTTR berechnet sich, indem man die Gesamtzeit für die Behebung durch die Anzahl der behobenen Sicherheitslücken dividiert.

Die Abdeckungsrate gewährleistet einen umfassenden Schutz der gesamten Infrastruktur. Führende Programme erreichen durch automatisierte Erkennung und kontinuierliche Überprüfung eine Abdeckung von über 95 % der Ressourcen.

Die Senkung des Risikowerts verdeutlicht den Einfluss des Programms auf die allgemeine Sicherheitslage. Verfolgen Sie die aggregierten Risikowerte im Zeitverlauf und messen Sie die prozentuale Senkung vierteljährlich. Wirksame Programme erzielen eine vierteljährliche Risikosenkung von 20 % oder mehr gegenüber ihrem Ausgangswert.

Bewertung des Reifegrads Ihres VM-Programms

Reifegradmodelle für das Schwachstellenmanagement helfen Unternehmen dabei, ihre aktuellen Fähigkeiten zu bewerten und Roadmaps für Verbesserungen zu erstellen. Das unten dargestellte fünfstufige Modell zeigt klare Entwicklungswege von reaktiven hin zu optimierten Programmen auf, wobei die MTTR als wichtigste Messgröße dient.

Stufe 1 – Einstieg: Die Programme arbeiten reaktiv, mit manuellen Prozessen und uneinheitlicher Abdeckung. Scans finden nur sporadisch statt, oft lediglich zur Einhaltung von Vorschriften. Es gibt keinen formellen Prozess für das Schwachstellenmanagement. Die MTTR liegt bei den meisten Schwachstellen bei über 90 Tagen.

Stufe 2 – In der Entwicklung: Grundlegende Automatisierung und regelmäßige Scan-Zeitpläne sind eingerichtet. Es gibt ein Bestandsverzeichnis der Ressourcen, das jedoch möglicherweise unvollständig ist. Die Priorisierung erfolgt anhand von CVSS-Werten. Die MTTR liegt zwischen 60 und 90 Tagen. Es sind einige Dokumentationen und Verfahren vorhanden.

Stufe 3 – Definiert: Es sind umfassende Prozesse und eine konsistente Umsetzung etabliert. Vollständiges Bestandsverzeichnis der Anlagen mit Klassifizierung. Bei der Priorisierung wird der geschäftliche Kontext berücksichtigt. MTTR von 30–60 Tagen. Die Integration in Change-Management-Prozesse ist gewährleistet.

Stufe 4 – Verwaltet: Kennzahlen und Automatisierung treiben die Optimierung im gesamten Programm voran. Kontinuierliche Überprüfung aller Assets. Erweiterte Priorisierung mithilfe von EPSS und Bedrohungsinformationen. MTTR unter 30 Tagen für kritische Schwachstellen. Vorausschauende Analysen erkennen aufkommende Trends.

Stufe 5 – Optimiert: Vollautomatisierte, sich selbst optimierende Programme mit Schwachstellenerkennung in Echtzeit und automatisierter Behebung. KI-gesteuerte Priorisierung und Reaktion. Durchschnittliche MTTR von unter 14 Tagen. Kontinuierliche Verbesserung auf Basis von Kennzahlen und Veränderungen in der Bedrohungslandschaft.

Branchen-Benchmarks für VM-Programme

Branchenspezifische Benchmarks liefern einen Kontext für die Programmleistung. Finanzdienstleister erreichen aufgrund regulatorischer Auflagen und der verfügbaren Ressourcen in der Regel eine MTTR von 15 Tagen. Im Gesundheitswesen liegt der Durchschnitt bei 25 Tagen, wobei ein Gleichgewicht zwischen Sicherheitsanforderungen und Anforderungen an die Systemverfügbarkeit angestrebt wird. Im Einzelhandel liegt der Durchschnitt bei 30 bis 35 Tagen, wobei saisonale Schwankungen die Zeitpläne für die Fehlerbehebung beeinflussen.

Geografische Unterschiede wirken sich ebenfalls auf die Vergleichswerte aus. Europäische Unternehmen weisen aufgrund der DSGVO-Anforderungen häufig eine schnellere Behebung von Sicherheitslücken auf. Nordamerikanische Unternehmen sind bei der Einführung von EPSS führend, unterscheiden sich jedoch stark in der Geschwindigkeit der Behebung, was auf Unterschiede in der Programmreife und den Investitionen in Tools zurückzuführen ist.

Moderne Ansätze für das Schwachstellenmanagement

Das traditionelle Schwachstellenmanagement entwickelt sich hin zu einer umfassenden Risikominderung durch CTEM-Frameworks (Continuous Threat Exposure Management). Die CTEM-Studie von Gartner prognostiziert für Unternehmen, die bis 2026 umfassende CTEM-Programme implementieren, einen deutlichen Rückgang der Sicherheitsvorfälle.

CTEM geht über herkömmliche Schwachstellen-Scans hinaus und deckt alle Arten von Sicherheitsrisiken ab: Management der externen Angriffsfläche, Schutz vor digitalen Risiken sowie Simulation von Sicherheitsverletzungen und Angriffen. Das Rahmenwerk legt den Schwerpunkt auf eine kontinuierliche Validierung durch „Assumed-Breach“-Übungen und Purple-Teaming. Unternehmen, die CTEM implementieren, verzeichnen eine Behebungsquote von 89 % innerhalb von 30 Tagen und übertreffen damit herkömmliche periodische Ansätze deutlich.

Vulnerability Management as a Service (VMaaS) löst Ressourcenengpässe durch verwaltete Sicherheitsdienste. VMaaS-Anbieter bieten eine Überwachung rund um die Uhr, fachkundige Analysen und die koordinierte Umsetzung von Korrekturmaßnahmen. Kleine und mittelständische Unternehmen profitieren von Funktionen auf Unternehmensniveau, ohne eigene Teams aufbauen zu müssen. Die Kostenmodelle reichen von einer Abrechnung pro Asset bis hin zu umfassenden Managed Services.

KI und maschinelles Lernen verbessern die Genauigkeit der Priorisierung durch die Analyse historischer Ausnutzungsmuster. Mithilfe der Verarbeitung natürlicher Sprache werden aus Schwachstellenbeschreibungen und Bedrohungsberichten verwertbare Erkenntnisse gewonnen. Die automatisierte Koordination von Abhilfemaßnahmen verkürzt die MTTR und minimiert gleichzeitig menschliche Fehler im Workflow von der Triage bis zur Ticketerstellung.

Cloud Architekturen erfordern Ansätze zum Schwachstellenmanagement, die über herkömmliche Betriebssystem-Patches hinausgehen. Durch das Scannen von Container-Images werden Schwachstellen vor der Bereitstellung erkannt. Der Laufzeitschutz überwacht das Verhalten von Containern auf Ausnutzungsversuche. Kubernetes-Zulassungssteuerungen setzen Sicherheitsrichtlinien während der Bereitstellung durch. Das Cloud Posture Management bewertet kontinuierlich cloud incloud .

Wie Vectra AI das Schwachstellenmanagement Vectra AI

Das herkömmliche Schwachstellenmanagement ermittelt, was ausgenutzt werden könnte. Vectra AI , was tatsächlich ausgenutzt wird – ein Unterschied, der ausschlaggebend dafür ist, worauf sich die Abhilfemaßnahmen konzentrieren sollten.

Vectra AI das Schwachstellenmanagement die Technologie „Attack Signal Intelligence™“, die Ausnutzungsversuche in Netzwerk-, cloud, Identitäts- und SaaS-Umgebungen in Echtzeit erkennt. Wenn Angreifer nach Zugriffsmöglichkeiten suchen, Berechtigungen erweitern oder sich lateral bewegen, erzeugen diese Aktivitäten erkennbare Signale. Vectra AI diese Signale im gesamten modernen Netzwerk, um aufzudecken, welche Schwachstellen derzeit aktiv von Angreifern ausgenutzt werden.

Die Integration mit bestehenden Tools zum Schwachstellenmanagement erweitert diese Möglichkeiten noch weiter. Durch die Verknüpfung von Scan-Ergebnissen mit erkanntem Angreiferverhalten können Sicherheitsteams ihre Maßnahmen gezielt auf Schwachstellen konzentrieren, die gerade aktiv ausgenutzt werden – das bedeutet weniger verschwendete Patches, eine schnellere Eindämmung und eine kürzere durchschnittliche Behebungszeit für die Schwachstellen, die wirklich von Bedeutung sind.

Vectra AI im Bereich „Umsetzungsfähigkeit“ die Spitzenposition Vectra AI und Vectra AI im Bereich „Visionsvollständigkeit“ am weitesten vorne. Das Unternehmen ist der einzige Anbieter in dem Bericht, der im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als „Leader“ ausgezeichnet wurde, und hält 35 Patente im Bereich Cybersicherheits-KI. Laut IDC Vectra AI Unternehmen, die Vectra AI einsetzen, 52 % mehr potenzielle Bedrohungen und verkürzen die Zeit für die Untersuchung von Warnmeldungen um 50 %.

Um zu erfahren, wie die Erkennung von verdächtigem Verhalten Ihr Schwachstellenmanagement ergänzt, entdecken Sie die Vectra AI oder vereinbaren Sie eine Vorführung.

Schlussfolgerung

Das Schwachstellenmanagement hat sich von einer reinen Compliance-Aufgabe zu einer operativen Notwendigkeit entwickelt. Angesichts von 40.289 im Jahr 2024 veröffentlichten CVEs und einer Verkürzung der Ausnutzungszeiträume auf wenige Stunden in den schwerwiegendsten Fällen sind Programme, die auf regelmäßigen Scans und einer ausschließlichen Priorisierung nach CVSS basieren, strukturell nicht in der Lage, mit der Bedrohungslage Schritt zu halten.

Ausgereifte Programme weisen drei gemeinsame Merkmale auf: durchgängige Transparenz über alle Asset-Klassen hinweg, einschließlich cloud, Identitätsmanagement und Drittanbietersoftware; eine risikobasierte Priorisierung, bei der die Ausnutzungswahrscheinlichkeit und der geschäftliche Kontext gegenüber theoretischen Schweregraden Vorrang haben; sowie eine Messdisziplin, die MTTD, MTTR, Abdeckung und Risikominderung anhand von Branchen-Benchmarks erfasst. Die in diesem Leitfaden vorgestellten Fallbeispiele aus der Praxis – Log4Shell, MOVEit, Ivanti – haben jeweils in mindestens einem dieser Bereiche versagt.

Die Entwicklung hin zu CTEM und KI-gestützter Erkennung bietet bedeutende Leistungssteigerungen, doch die Grundlagen bleiben unverändert: Man kann nicht schützen, was man nicht sieht, man kann ohne Kontext keine Prioritäten setzen, und man kann ohne Messungen keine Verbesserungen erzielen. Der Aufbau eines robusten Schwachstellenmanagement-Programms erfordert Engagement in allen drei Bereichen gleichzeitig.

Sicherheitsteams, die Daten aus Schwachstellenscans mit Signalen aus der Verhaltenserkennung verknüpfen – und so nicht nur erkennen, welche Schwachstellen vorhanden sind, sondern auch, welche aktiv angegriffen werden –, treffen wesentlich fundiertere Entscheidungen zur Behebung dieser Schwachstellen. In dieser Verknüpfung treffen traditionelles Schwachstellenmanagement und moderne Bedrohungserkennung aufeinander.

Quellen und Methodik

Die in diesem Leitfaden genannten Statistiken und Beispiele stammen aus Branchenstudien, Untersuchungen zu Sicherheitsverletzungen und öffentlichen Datensätzen zur Cybersicherheit.

• VulnCheck KEV-Katalog (2024)
• Fortinet-Bericht zur globalen Bedrohungslage (2025)
• IBM Data Breach zu den Kosten von Data Breach (2024)
• CISA-Katalog bekannter ausgenutzter Sicherheitslücken (KEV)
• NVD – Nationale Schwachstellendatenbank (2024)
• Tenable Research (2024)
• Mandiant M-Trends-Bericht (2024)
• Emsisoft-Bedrohungsbericht (2024)
• CISA-Notfallanweisung 22-02
• CISA-Notfallanweisung 24-01
• IDC White Paper zum Thema Geschäftsnutzen, gesponsert von Vectra AI 2024)
• Gartner Magic Quadrant für Netzwerküberwachung und -reaktion (2025)