Compliance-Lexikon · Praxis
Vulnerability Assessment – Praxis
Ein Vulnerability Assessment ist in NIS-2-Audits eines der am häufigsten geprüften technischen Themen. Die Frage ist nicht, ob ein VA-Tool vorhanden ist, sondern ob der Prozess dahinter strukturiert, zyklisch und nachvollziehbar ist.
Was Auditoren konkret prüfen
Der Auditor fragt: Wann wurde das letzte VA durchgeführt? Welche Systeme waren im Scope? Wie werden die Ergebnisse priorisiert? Wie werden kritische Schwachstellen nachverfolgt bis zur Behebung?
Häufige Fehler
- VA-Ergebnisse existieren, aber kein Tracking der Behebung
- Nur externe Systeme geprüft, interne Systeme ausgelassen
- Kritische Schwachstellen über SLA-Fristen hinaus offen
Praxis-Tipp
Die häufigste Schwachstelle im Audit ist nicht das VA selbst, sondern das fehlende Remediation-Tracking: Schwachstellen werden identifiziert, aber nicht nachverfolgt. Ein einfaches Ticket-System mit SLA-Fristen (kritisch: 72h, hoch: 7 Tage, mittel: 30 Tage) und Eskalationsprozess genügt als Nachweis.
VA-Prozess: Mindeststruktur
Quartalsweiser VA-Scan aller kritischen Systeme mit einem anerkannten Tool (Nessus, Qualys, OpenVAS). Automatische Klassifizierung nach CVSS und Systemkritikalität. Kritische und hohe Schwachstellen in Ticket-System überführen mit Verantwortlichem und Frist. Monatliches Review des offenen Schwachstellenregisters. Jährlicher Bericht für Management und Auditoren.
Evidence-Anforderungen im Audit
Vorzulegen sind: VA-Berichte der letzten 12 Monate mit Datum und Scope, Schwachstellenregister mit Behebungsstatus, SLA-Vorgaben für Schwachstellenbehebung und Nachweis der Eskalationsprozesse für überfällige Schwachstellen. Das BAM-Objekt RISK-VA-01 strukturiert diese Anforderungen.
Nächster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – VA als kontinuierliches Sicherheitsinstrument – findet sich auf Ebene 3.