Vulnerability Assessment

Was ist ein Vulnerability Assessment?

Ein Vulnerability Assessment (Schwachstellenbewertung) ist ein strukturierter Prozess zur Identifikation, Bewertung und Priorisierung von Sicherheitslücken in IT-Systemen, Anwendungen, Netzwerken und Konfigurationen. Es bildet die Grundlage für proaktive Risikominimierung und gezielte Härtungsmaßnahmen.

Ablauf eines Assessments

• 1. Erkennung von Schwachstellen:
  Automatisierte Tools wie Nessus, OpenVAS, Qualys, Rapid7 Nexpose scannen Betriebssysteme, Anwendungen, Netzwerkinfrastrukturen und Cloud-Assets auf bekannte Schwachstellen (CVE-Datenbank).

• 2. Bewertung:
  Die gefundenen Schwachstellen werden mithilfe des Common Vulnerability Scoring System (CVSS) bewertet. Dies berücksichtigt Faktoren wie Ausnutzbarkeit, Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sowie Angriffsvektor.

• 3. Priorisierung:
  Kritische Schwachstellen (CVSS > 8.0) werden zuerst behandelt. Für niedrigere Scores werden Zeitpläne und Workarounds definiert.

• 4. Maßnahmenplanung:
  – Patch Management
  – Sichere Konfiguration
  – Compensating Controls bei Legacy-Systemen

• 5. Reporting:
  Ergebnisse werden in Management-taugliche Berichte (Heatmaps, Risikoklassen, Empfehlungen) überführt. Reports dienen auch als Nachweis für Compliance-Anforderungen (z. B. ISO 27001, PCI DSS, BSI-Grundschutz).

Anwendung in der Praxis

Bei einem quartalsweisen Vulnerability Assessment eines Industrieunternehmens wurden mehrere hochriskante Schwachstellen in veralteter Middleware (Apache Struts, Tomcat) identifiziert. Diese wurden mit CVSS 9.8 eingestuft. Durch koordinierte Patch-Rollouts und Segmentierung des betroffenen Systems konnte die Angriffsexposition deutlich reduziert werden. Die Assessment-Ergebnisse flossen direkt in das ISMS-Risikoregister ein.

Verwandte Begriffe

• Vulnerability

• Security Scan

• Patch Management

• Configuration Review

• Penetration Test

• SIEM

• CVSS

• Risk Assessment Value (RAV)

• Incident Response