Schwachstellenmanagement ist der systematische Prozess, Sicherheitslücken in IT-Systemen, Anwendungen und Komponenten zu erfassen, zu bewerten, zu priorisieren und wirksam zu beheben. Für NIS2-betroffene Unternehmen bedeutet Schwachstellenmanagement, dass Sicherheitslücken nicht nur technisch entdeckt, sondern mit klaren Fristen, Verantwortlichkeiten und Entscheidungen bearbeitet werden müssen.
Was ist Schwachstellenmanagement?
Schwachstellenmanagement umfasst den gesamten Ablauf von der Erkennung bis zur Nachverfolgung einer Sicherheitslücke. Typische Quellen sind Schwachstellenscanner, Herstellerhinweise, Penetrationstests und öffentliche Datenbanken wie CVE oder die europäische Vulnerability Database von ENISA. Ziel ist nicht, jede Lücke sofort zu schließen, sondern Risiken nachvollziehbar zu priorisieren und wirksam zu reduzieren.
In der Praxis besteht der Prozess aus fünf Schritten: Asset- und Software-Inventar aufbauen, Schwachstellen identifizieren, Risiken bewerten, Maßnahmen umsetzen und den Erfolg kontrollieren. Für die Bewertung wird häufig der Common Vulnerability Scoring System Standard, kurz CVSS, genutzt. Ein hoher CVSS-Wert allein genügt aber nicht. Entscheidend ist auch, ob ein betroffenes System geschäftskritisch ist und ob die Lücke bereits aktiv ausgenutzt wird.
Wichtig ist die Abgrenzung zu Patch Management. Patch Management ist ein Teilbereich des Schwachstellenmanagements und beschreibt vor allem das Einspielen von Updates. Schwachstellenmanagement beginnt früher und endet später: Es umfasst auch Scanning, Triage, Risikobewertung, Ausnahmeregeln, Workarounds, Kommunikation und Nachtests. Ergänzend sind Penetrationstests und ein belastbarer Bezug zum BSI sinnvoll.
Relevanz für NIS2
Schwachstellenmanagement ist für NIS2 relevant, weil Art. 21 Abs. 2 lit. e der Richtlinie (EU) 2022/2555 Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen einschließlich Vulnerability Handling und Disclosure verlangt. Unternehmen dürfen Sicherheitslücken damit nicht reaktiv und zufällig behandeln, sondern müssen sie als festen Bestandteil ihres Risikomanagements steuern.
Zusätzlich ist Art. 12 NIS2 wichtig. Dort verlangt die Richtlinie koordinierte Schwachstellenoffenlegung und verpflichtet die Mitgliedstaaten, entsprechende Prozesse, Kontaktstellen und Rahmenbedingungen zu fördern. Für Unternehmen bedeutet das: Wer Schwachstellen meldet oder gemeldet bekommt, braucht geordnete Abläufe für Triage, Rückmeldung, Behebung und dokumentierte Offenlegung.
In Deutschland spiegelt sich das in § 30 Abs. 2 Nr. 5 BSIG wider. Die Vorschrift nennt ausdrücklich Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen einschließlich Management und Offenlegung von Schwachstellen. Wer die NIS2-Richtlinie in Deutschland umsetzt, sollte Schwachstellenmanagement deshalb mit Inventarisierung, Scan-Frequenzen, Verantwortlichkeiten, Eskalationswegen und Berichtslogik verbindlich festlegen.
Praxisbeispiel für ein deutsches Unternehmen
Ein deutscher Maschinenbauer mit 280 Beschäftigten betreibt ein ERP-System, mehrere VPN-Gateways und vernetzte Produktionsarbeitsplätze. Ein externer Scanner meldet eine bekannte Schwachstelle in einem VPN-Produkt; parallel erscheint ein CVE-Eintrag mit CVSS-Score. Das Unternehmen prüft sofort, welche Standorte betroffen sind, ob bereits Exploit-Code verfügbar ist und ob die Systeme aus dem Internet erreichbar sind.
Weil der Fernzugang für Service und Produktion geschäftskritisch ist, stuft das IT-Team die Lücke intern als hochkritisch ein. Es testet den Hersteller-Patch noch am selben Tag in einer Staging-Umgebung, plant das Wartungsfenster für die Nacht und dokumentiert die Entscheidung im Ticket-System. Zusätzlich begrenzt das Unternehmen bis zum Rollout den Zugriff per Firewall-Regel. Am nächsten Morgen wird der Patch verifiziert und der offene Punkt im Risikoregister geschlossen.
Genau daran zeigt sich gutes Schwachstellenmanagement: nicht nur ein Scanner-Bericht, sondern ein belastbarer Prozess. Besonders bei Abhängigkeiten zu Dienstleistern und Softwarelieferanten spielt außerdem Supply Chain Security eine Rolle, weil verwundbare Drittkomponenten häufig der schnellste Weg in kritische Umgebungen sind.
Häufige Fehler in der Umsetzung
Typische Schwächen sind unvollständige Inventare, fehlende Priorisierung und keine klare Entscheidung, wer bei kritischen Funden handeln darf. Problematisch ist es auch, CVSS-Werte ohne Geschäftskontext zu übernehmen oder Scanner-Ergebnisse wochenlang unbearbeitet zu lassen. Schwachstellenmanagement ist nur dann wirksam, wenn technische Erkenntnisse in verbindliche Prozesse übersetzt werden.
Ein praxistauglicher Mindeststandard umfasst daher regelmäßige Scans, definierte Schweregrade, feste Reaktionszeiten, dokumentierte Ausnahmen, Nachtests und eine Managementsicht auf offene Hochrisiko-Funde. Wenn Sie NIS2-Anforderungen strukturiert in Rollen, Prozesse und Schulungsnachweise übersetzen wollen, ist unsere NIS2-Schulung der passende nächste Schritt.