Brain-Media.de/Compliance-Lexikon/Vulnerability Management
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Grundbegriff

Vulnerability Management

[ˌvʌlnərəˈbɪlɪti ˈmænɪdʒmənt] · auch: Schwachstellenmanagement

Vulnerability Management ist der kontinuierliche Prozess zur Identifikation, Bewertung, Priorisierung und Behebung von Sicherheitsschwachstellen in IT-Systemen, Anwendungen und Infrastruktur – mit definierten SLAs für Patchzeiten und dokumentierter Evidence der Behebung.

Warum Vulnerability Management wichtig ist

Die überwiegende Mehrheit erfolgreicher Angriffe nutzt bekannte, ungepatchte Schwachstellen. Vulnerability Management ist die operative Antwort auf diese Realität – strukturiert, priorisiert und nachweisbar.

Wo Vulnerability Management gefordert wird

FrameworkReferenzAnforderung
ISO 27001:2022A.8.8Verwaltung technischer Schwachstellen: Identifikation, Bewertung und zeitgerechte Behebung von Schwachstellen.
NIS-2 / BSIG§ 30 Abs. 2eSicherheit bei Erwerb und Wartung: Schwachstellenmanagement als Pflichtmaßnahme.
CRAArt. 13Hersteller: Schwachstellen in vernetzten Produkten müssen aktiv gesucht, koordiniert gemeldet und behoben werden.
DORAArt. 9 Abs. 4bIKT-Systeme müssen kontinuierlich auf Schwachstellen überwacht werden.

BAM-Objektreferenz

BAM-Objekt NIS2-PM-01
BeschreibungVulnerability-Management-Objekt mit Scan-Frequenz, Patch-SLAs nach Kritikalität und Evidence-Anforderungen
GitHubBAM Core →

Häufige Audit-Fehler

  • Kein definierter Patch-SLA je Kritikalitätsstufe
  • Scans ohne anschließende Remediation
  • Patch-Stand nicht dokumentiert
  • Ausnahmen (Exceptions) nicht formal genehmigt

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Nächste Ebene

Vulnerability Management aufbauen: Prozess, SLAs und Evidence

Wie der vollständige Prozess von Scan über Priorisierung bis zur nachgewiesenen Behebung strukturiert wird.

Verwandte Begriffe

RemediationSecurity ControlAudit TrailAsset Inventory

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper