Compliance-Lexikon · Risiko
Vulnerability Assessment
[ˌvʌlnərəˈbɪlɪti əˈsɛsmənt] · auch: Schwachstellenbewertung, VA
Ein Vulnerability Assessment ist die systematische Identifikation, Klassifizierung und Priorisierung von Schwachstellen in IT-Systemen, Netzwerken und Anwendungen – mit dem Ziel, Risiken zu quantifizieren und Behandlungsprioritäten zu setzen, ohne dabei aktiv in Systeme einzudringen.
Warum Vulnerability Assessment unverzichtbar ist
Unbekannte Schwachstellen sind das größte Angriffsziel. NIS-2 hat Schwachstellenmanagement explizit als Pflichtmaßnahme verankert. Ein Vulnerability Assessment ist der systematische Prozess, Schwachstellen zu kennen, bevor Angreifer sie ausnutzen.
Wo Vulnerability Assessment gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.8.8 | Schwachstellen in genutzten Technologien müssen zeitnah identifiziert, bewertet und behandelt werden. |
| NIS-2 / BSIG | § 30 Abs. 2i | Schwachstellenmanagement als explizite Pflichtmaßnahme für wesentliche und wichtige Einrichtungen. |
| DORA | Art. 10 | IKT-Systeme müssen regelmäßig auf Schwachstellen geprüft werden, kritische Systeme mindestens jährlich. |
| CRA | Art. 13 | Hersteller vernetzter Produkte müssen Schwachstellen aktiv identifizieren und koordiniert offenlegen. |
BAM-Objektreferenz
Häufige Audit-Fehler
- VA nur einmalig oder unregelmäßig durchgeführt
- Ergebnisse nicht priorisiert oder nachverfolgt
- Keine Trennung zwischen VA und Penetration Testing
- Scope deckt nicht alle kritischen Systeme ab
VA vs. Penetration Testing
Ein Vulnerability Assessment identifiziert und klassifiziert Schwachstellen automatisiert – ohne sie aktiv auszunutzen. Ein Penetration Test geht weiter: Er versucht, identifizierte Schwachstellen tatsächlich auszunutzen, um die reale Ausnutzbarkeit zu prüfen. VA ist breiter und regelmäßiger (quartalsweise bis monatlich); Penetration Testing ist tiefer und seltener (jährlich oder bei wesentlichen Änderungen). Beide ergänzen sich.
CVSS: Schwachstellen priorisieren
Das Common Vulnerability Scoring System (CVSS) liefert standardisierte Schweregrade (0 bis 10) für bekannte Schwachstellen. CVSS allein ist nicht ausreichend für die Priorisierung – entscheidend ist die Kombination aus CVSS-Score, Ausnutzbarkeit in der realen Bedrohungslandschaft und Kritikalität des betroffenen Systems. Systeme mit niedrigem CVSS-Score können kritischer sein als solche mit hohem Score, wenn sie zentrale Compliance-Prozesse unterstützen.
Nächste Ebene
Vulnerability Assessment durchführen: Tools, Zyklus und Priorisierung
Wie ein NIS-2-konformes Schwachstellenmanagement-Programm aufgebaut wird – von der Tool-Auswahl bis zur Audit-Evidence.