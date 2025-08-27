Sicherheitsverantwortliche sehen sich mit einer rasant steigenden Zahl potenziell gefährlicher Schwachstellen konfrontiert – und tun sich zunehmend schwer damit, diese Flut fundiert zu priorisieren. Unternehmen stellen mit einem risikobasierten Schwachstellen-Management die Weichen für eine an den Geschäftsprozessen ausgerichtete Cybersecurity – und reduzieren so ihre Ausfall- und Verlustrisiken nachhaltig.

Wenn große Unternehmen ihre IT- und OT-Umgebungen zum ersten Mal mit einer modernen Vulnerability-Management-Plattform scannen, identifizieren diese häufig eine drei-, wenn nicht gar vierstellige Zahl potenzieller Schwachstellen. Sobald es – nach dem ersten Schreck – mit viel Elan an die Behebung geht, macht sich allerdings oft Ratlosigkeit breit: Wo soll man bei der Menge an Schwachpunkten ansetzen? Und wie lässt sich die Flut an Risiken fundiert priorisieren? Die Antwort ist bei näherer Betrachtung ganz einfach: Unternehmen müssen sich auf die Lücken -konzentrieren, die das größte Risiko für ihr Business darstellen.

Dieser risikobasierte Ansatz – der im Übrigen auch bei vielen regulatorischen Vorgaben wie NIS2 oder DORA im Fokus steht – beschränkt sich dabei nicht nur darauf, potenzielle Schwachstellen zu identifizieren, sondern analysiert anschließend auch deren Kontext sowie die Geschäftsprozesse, auf die die betroffenen Systeme ausstrahlen. Auf der Basis dieser Analyse lassen sich die Sicherheitslücken dann akkurat bewerten und priorisieren.

Während ein solcher risikobasierter Ansatz in manchen Branchen – etwa im Finanz- und Versicherungswesen – bereits weit verbreitet ist, haben andere Segmente noch erheblichen Nachholbedarf: Im produzierenden Gewerbe, in der Energiewirtschaft und im Gesundheitswesen etwa hat sich eine risikobasierte Herangehensweise zwar in einigen Teilbereichen, etwa bei der Lieferantenbewertung, durchgesetzt. Meist gelingt es aber nicht, dieses Denken im Gesamtkontext des Unternehmens zusammenzuführen – in der Regel, weil es schlichtweg niemanden gibt, der von sich aus federführend die Verantwortung für das Projekt übernimmt.

Cybersicherheit ist Chefsache. Um akkurat abwägen zu können, welche Schwachstellen die kritischen Geschäftsprozesse – und damit letztlich die Umsatzgenerierung im Unternehmen – gefährden, braucht es in erster Linie ein klares Verständnis für die Geschäftsabläufe. Neben den Cybersecurity-Verantwortlichen gilt es daher auch das Management des Unternehmens von Anfang an einzubinden – denn in der Regel haben nur die C-Level-Entscheider den ganzheitlichen Überblick über alle geschäftskritischen Abläufe.

Nachdem die Entscheider die Geschäftsprozesse skizziert haben, gilt es im nächsten Schritt, sämtliche Assets zu erfassen, die für die reibungslose Umsetzung dieser Prozesse erforderlich sind. Bei diesem Business Process Modeling (BPM) sollten im Idealfall Vertreter aller Abteilungen eingebunden werden, da nur so ein vollständiges Bild entsteht. Neben den IT-Systemen müssen dabei unbedingt auch personelle Ressourcen, OT-Anlagen, Gebäudetechnik und organisatorische Voraussetzungen erfasst werden, deren Beeinträchtigung auf die Wertschöpfungskette ausstrahlen könnte. So entsteht eine detaillierte Map, in der für jedes Asset im Unternehmen hinterlegt ist, auf welche Geschäftsprozesse es ausstrahlt und welche Kritikalität es damit besitzt.

Neue Bewertungskriterien für Schwachstellen. Diese robuste Datenbasis schafft die Voraussetzungen, um Schwachstellen granular und individuell zu bewerten und ihre Behebung fundiert zu priorisieren. Wir bei Tenable empfehlen, dabei drei zentrale Faktoren zu berücksichtigen:

Der erste Faktor wäre das Common Vulnerability Scoring System (kurz: CVSS) – ein weltweit etabliertes Rating, das Schwachstellen anhand ihres technischen Risikopotenzials mit einem Wert von 0 bis 9 bewertet. Der CVSS-Score ist ein sehr guter erster Indikator für die Gefahr, die von einer Schwachstelle ausgeht, sollte aber nicht das Maß aller Dinge sein. Denn die rein technische Bewertung greift mitunter zu kurz: Denn eine Schwachstelle mit CVSS 9 oder 10 in einem gut segmentierten und abgeschotteten Netzwerk stellt in der Praxis oft ein kleineres Risiko dar als eine CVSS 5 in einem öffentlich zugänglichen System.

Vulnerability Priority Rating und Asset Criticality Rating. Daher haben wir mit dem Vulnerability Priority Rating, kurz VPR, noch eine zweite Priorisierungsstufe entwickelt: Beim VPR verknüpfen wir das CVSS-Rating zusätzlich mit aktueller Cyber Threat Intelligence zu den jeweiligen Schwachstellen – sehen uns also an, ob die Vulnerability in der Praxis tatsächlich schon von kriminellen Akteuren ausgenutzt wird. Wenn bereits Exploits oder konkrete Angriffe bekannt sind, erhält die Schwachstelle einen höheren VPR-Wert und wird bei der Behebung automatisch höher priorisiert.

Als dritte und letzte Bewertungsstufe empfehlen wir unseren Kunden schließlich, auch noch die oben angesprochene Kritikalität der betroffenen Assets zu berücksichtigen – und einzubeziehen, welche der von einer Schwachstelle betroffenen Systeme tatsächlich umsatzrelevant sind. Wir bezeichnen dies als das Asset Criticality Rating, kurz ACR, das natürlich besonders hoch priorisiert wird.

Die Kombination aus VPR und ACR ermöglicht Unternehmen eine äußerst aussagekräftige Bewertung von Schwachstellen. So erhalten Security-Verantwortliche eine fundierte Priorisierung und können die kritischsten Schwachstellen zügig und gezielt beheben. Einmal implementiert, lässt sich das Bewertungsschema im nächsten Schritt auch sehr leicht auf weitere Use Cases ausweiten, etwa auf die Validierung und Priorisierung von Fehlkonfigurationen in Cloud-Plattformen.

Fazit: Eine lohnende Investition. Die Integration eines risikobasierten Schwachstellenmanagements geht zu Beginn mit einem nicht unerheblichen Aufwand einher – finanziell und organisatorisch. Aber dieses anfängliche Investment macht sich in der Praxis schnell bezahlt, wenn es dadurch gelingt, Lücken schneller zu identifizieren und die echten, geschäftskritischen Risiken rascher zu beheben. Denn auf diese Weise minimieren Unternehmen nicht nur das Verlust- und Ausfallrisiko, sondern müssen auch weniger Rückstellungen bilden, und haben gute Chancen, mit einer Cyberversicherung auch die Restrisiken zu minimieren – eine Option, die viele Versicherer bislang aufgrund des nicht bezifferbaren Verlustrisikos gar nicht erst bieten. Die Priorisierung von Schwachstellen nach ihrer Kritikalität für die Geschäftsprozesse wird damit immer mehr zum Königsweg zu moderner Cybersecurity.

Max Rahner,

Senior Business Development Manager

bei Tenable

