ISO 27001 Schwachstellenmanagement wird Pflicht statt Kür im Jahr 2025
Die zunehmende Komplexität digitaler Infrastrukturen macht Schwachstellenmanagement längst zu einem strukturellen Bestandteil der IT-Sicherheitsstrategie. Wer sich heute nach ISO 27001 zertifizieren oder die bestehende Zertifizierung aufrechterhalten will, muss zeigen, dass Schwachstellen nicht nur erkannt, sondern risikobasiert bewertet und systematisch behandelt werden. Dabei geht es nicht allein um Tools – sondern um Prozesse, Zuständigkeiten und Nachvollziehbarkeit.
Was fordert die ISO 27001 konkret?
Mit der Revision von 2022 wurde die Rolle des ISO 27001 Schwachstellenmanagements im Rahmen der ISO 27001 nochmals geschärft. In Anhang A.12.6 (neu: A.8.8) heißt es explizit, dass Organisationen über Verfahren verfügen müssen, um Informationen zu technischen Schwachstellen zeitnah zu beschaffen, ihre Relevanz für das Unternehmen zu bewerten und geeignete Maßnahmen zur Behandlung einzuleiten.
Im Klartext: Unternehmen müssen belegen können, wie sie Schwachstellen erfassen, priorisieren, behandeln und dokumentieren – und zwar als fortlaufenden, strukturierten Prozess. Einzelmaßnahmen wie ein gelegentlicher Pentest oder manuelles Monitoring reichen nicht mehr aus.
Zwischen Risikomanagement und Realität
In der Praxis zeigt sich jedoch häufig ein anderes Bild. Zwar setzen viele Unternehmen Schwachstellenscanner ein, doch fehlt ein übergreifender Rahmen:
- Wer priorisiert erkannte Schwachstellen risikobasiert?
- Gibt es einen dokumentierten Entscheidungsprozess zur Behebung, Schadensbegrenzung oder Akzeptanz?
- Wie wird sichergestellt, dass erkannte Schwachstellen nicht in nachfolgenden Versionen erneut auftauchen?
Gerade bei mittelständischen Unternehmen ist Schwachstellenmanagement oft nur technisch gedacht – dabei ist es integraler Bestandteil eines funktionierenden ISMS (Information Security Management System).
Kontinuierliche Bewertung als zentrale Anforderung
Ein professionelles Schwachstellenmanagement endet nicht mit der Erstbehebung. Die ISO 27001 verlangt eine kontinuierliche Überwachung und Neubewertung erkannter Risiken. In der Praxis bedeutet das: Nach jedem Patch oder Konfigurations-Change muss überprüft werden, ob die Maßnahme wirksam war – und ob sich dadurch neue Schwachstellen ergeben haben.
Diese Rückkopplungsschleife ist nicht nur technisch notwendig, sondern wird in Audits zunehmend als Qualitätsmerkmal bewertet. Organisationen, die hier strukturiert vorgehen, stärken nicht nur ihre Sicherheitslage, sondern dokumentieren auch ihre Reife im Umgang mit regulatorischen Anforderungen.
Schwachstellenscanner wie OpenVAS
Werkzeuge wie OpenVAS – ein leistungsfähiger, frei verfügbarer Schwachstellenscanner – können Organisationen dabei unterstützen, technische Lücken zu identifizieren und zu bewerten. OpenVAS nutzt sogenannte Network Vulnerability Tests (NVTs), die regelmäßig aktualisiert werden und automatisiert Schwachstellen in IT-Systemen erkennen. Über die zugehörige Managementoberfläche lassen sich Ergebnisse dokumentieren, bewerten und über Berichte bereitstellen – ein wichtiger Bestandteil auditfähiger Schwachstellenprozesse.
Besonders im KMU-Umfeld bietet OpenVAS eine skalierbare Einstiegslösung, die sich in bestehende Managementsysteme integrieren lässt und Transparenz über verwundbare Assets schafft – eine häufige Schwachstelle in ISO-Audits.
Praxisbeispiel: ISO-Audit mit Fokus auf Schwachstellen
Ein Blick in gängige Auditverfahren zeigt, dass das Schwachstellenmanagement szunehmend im Zentrum der Prüfung steht. Insbesondere in rezertifizierenden Lieferantenaudits nach ISO 27001 wird regelmäßig hinterfragt, ob Schwachstellen systematisch erfasst, dokumentiert, priorisiert und nachverfolgt werden. Unternehmen, die zwar technische Scanner nutzen, aber keine nachvollziehbaren Entscheidungsprozesse oder Eskalationspfade vorweisen können, laufen Gefahr, kritische Hinweise mit entsprechenden Auflagen zur Nachbesserung zu erhalten.
Die Erfahrung aus der Branche zeigt, dass es erst durch die Einführung standardisierter Prozesse inklusive Ticketing, CVSS-basierter Bewertung, Patch-Management und strukturiertem Reporting gelingt, ISO 27001 Schwachstellenmanagement auditfähig umzusetzen und nachhaltig im ISMS zu verankern.
Unsere Empfehlung aus der Beratungspraxis
Ein belastbares ISO 27001 Schwachstellenmanagement sollte folgende Merkmale aufweisen:
- Transparenz über Assets und Abhängigkeiten, z. B. durch SBOMs
- Risikobasierte Bewertung, nicht nur nach CVSS, sondern auch unter Einbezug des Nutzungskontexts
- Klare Governance: Wer entscheidet über z.B. Schadensbegrenzung oder Akzeptanz?
- Automatisierte Prozesse, wo sinnvoll – aber eingebettet in ein dokumentiertes Verfahren
Wichtig: Schwachstellenmanagement ist keine rein technische Aufgabe. Es muss strategisch, operativ und regulatorisch mit definierten Verantwortlichkeiten, überprüfbaren KPIs und nachvollziehbarer Dokumentation eingebettet sein.
Gerade in ISO-zertifizierten Organisationen empfiehlt sich zudem die Kopplung an das ISMS (Information Security Management System), um Synergien mit Risikomanagement, Notfallplanung und Compliance zu schaffen.
Weiterführende Informationen finden Sie hier:
BSI-IT-Grundschutz
Disclaimer:
Die von uns verwendeten Links sind am 22.4.2025 gesetzt worden und enthielten zu diesem Zeitpunkt keine rechtswidrigen Inhalte. Sie können nach diesem Datum jedoch zu fremden Inhalten führen, die wir nicht regelmäßig überprüfen können und für die wir keine Verantwortung übernehmen.