Schwachstellenmanagement als Prozess: Vom Scan zur Behebung

Written by ExposIQ | März 9, 2026

Viele KMU starten mit einem Schwachstellenscan und glauben, damit sei das Thema erledigt. Der Bericht wird gespeichert, vielleicht werden die kritischsten Findings behoben – und dann passiert monatelang nichts. Doch ein einzelner Scan ist wie ein Schnappschuss: Er zeigt den Zustand eines Moments, nicht die Realität eines sich ständig verändernden Netzwerks.

Schwachstellenmanagement ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Wer diesen Prozess versteht und umsetzt, reduziert sein Risiko nachhaltig. Wer nach dem ersten Scan aufhört, wiegt sich in falscher Sicherheit.

Der Lebenszyklus des Schwachstellenmanagements

Professionelles Schwachstellenmanagement folgt einem klar definierten Kreislauf mit fünf Phasen. Jede Phase baut auf der vorherigen auf, und nach der letzten beginnt der Zyklus von vorne.

Phase 1: Entdecken (Discovery)

Bevor Sie Schwachstellen finden können, müssen Sie wissen, was in Ihrem Netzwerk existiert. Viele KMU haben keinen vollständigen Überblick über ihre IT-Infrastruktur. Vergessene Testserver, alte Netzwerkdrucker mit Webinterface, IoT-Geräte oder Schatten-IT – all diese Assets stellen potenzielle Angriffspunkte dar.

Die Discovery-Phase umfasst:

  • Netzwerk-Scanning zur Identifikation aller aktiven Geräte und Dienste
  • DNS-Enumeration zur Erkennung aller öffentlich erreichbaren Subdomains
  • Port-Scanning zur Identifikation laufender Dienste und deren Versionen
  • SSL/TLS-Zertifikatsprüfung aller externen Endpunkte

Ein häufiger Fehler: Nur die bekannten Systeme werden gescannt. Was nicht im Asset-Inventar steht, wird übersehen – und ist oft am verwundbarsten.

Phase 2: Bewerten (Assessment)

Nachdem alle Assets identifiziert sind, folgt die eigentliche Schwachstellenanalyse. Hier werden die Systeme systematisch auf bekannte Sicherheitslücken geprüft. Moderne Scanner nutzen dafür umfangreiche Datenbanken mit über 64’000 CVEs und Tausenden von Prüfvorlagen.

Die Bewertungsphase geht über einfaches Port-Scanning hinaus:

  • Versions-Erkennung installierter Software und Betriebssysteme
  • Prüfung auf bekannte Schwachstellen (CVE-Matching)
  • Konfigurationsanalyse (Default-Passwörter, unsichere Einstellungen)
  • Erkennung von End-of-Life-Software ohne Sicherheitsupdates
  • DNS- und E-Mail-Konfigurationsprüfung (SPF, DKIM, DMARC)

Wichtig ist die Unterscheidung zwischen authentifizierten und nicht-authentifizierten Scans. Authentifizierte Scans, etwa mit einem Agent auf den Systemen, erkennen deutlich mehr Schwachstellen, da sie auch installierte Software-Versionen und lokale Konfigurationen prüfen können.

Phase 3: Priorisieren (Prioritization)

Ein typischer Schwachstellenscan eines mittelgrossen KMU-Netzwerks ergibt leicht 200 bis 500 Findings. Nicht alle davon sind gleich kritisch, und kein IT-Team kann alles gleichzeitig beheben. Deshalb ist die Priorisierung entscheidend.

Die reine Bewertung nach CVSS-Score reicht dabei nicht aus. Ein CVSS-9.8-Finding auf einem isolierten Testsystem hat weniger Priorität als ein CVSS-7.0-Finding auf dem öffentlich erreichbaren Mailserver. Moderne Priorisierung berücksichtigt mehrere Faktoren:

  • CVSS-Score: Technische Schwere der Schwachstelle
  • EPSS (Exploit Prediction Scoring System): Wahrscheinlichkeit einer aktiven Ausnutzung
  • CISA KEV: Bestätigte, aktiv ausgenutzte Schwachstellen
  • Asset-Kritikalität: Wie wichtig ist das betroffene System für den Geschäftsbetrieb?
  • Erreichbarkeit: Ist das System aus dem Internet erreichbar oder nur intern?

Wer diese Faktoren kombiniert, kann seine begrenzten Ressourcen gezielt dort einsetzen, wo die Risikoreduktion am grössten ist.

Phase 4: Beheben (Remediation)

Die Behebung ist der Schritt, an dem viele KMU scheitern. Schwachstellen zu finden ist relativ einfach – sie zu beheben erfordert Planung, Ressourcen und oft Koordination zwischen verschiedenen Teams oder externen Dienstleistern.

Erfolgreiche Behebungsstrategien umfassen:

  • Patching: Installation verfügbarer Sicherheitsupdates
  • Konfigurationsänderungen: Härtung von Diensten und Systemen
  • Kompensationsmassnahmen: Firewall-Regeln oder Segmentierung, wenn Patching nicht sofort möglich ist
  • Dekommissionierung: Abschalten nicht mehr benötigter oder nicht mehr wartbarer Systeme
  • Akzeptanz: Dokumentierte Risikoakzeptanz für Schwachstellen, die nicht behoben werden können

Entscheidend ist die Dokumentation. Jede Entscheidung – ob Behebung, Kompensation oder Akzeptanz – sollte nachvollziehbar festgehalten werden. Das ist nicht nur für die interne Qualitätssicherung wichtig, sondern auch für Compliance-Anforderungen wie das neue Datenschutzgesetz (nDSG).

Phase 5: Verifizieren (Verification)

Nach der Behebung folgt der Schritt, den die meisten überspringen: die Überprüfung. Wurde der Patch tatsächlich installiert? Hat die Konfigurationsänderung die Schwachstelle geschlossen? Wurden keine neuen Probleme eingeführt?

Verifizierung bedeutet einen erneuten Scan der betroffenen Systeme mit anschliessendem Vergleich der Ergebnisse. Scan-Vergleiche zeigen auf einen Blick, welche Schwachstellen behoben wurden, welche noch bestehen und ob neue hinzugekommen sind.

Ohne Verifizierung bleibt die Frage offen, ob die investierte Arbeit tatsächlich die gewünschte Wirkung erzielt hat.

Warum KMU nach dem ersten Scan aufhören

Die Gründe sind nachvollziehbar, aber gefährlich:

  1. Überforderung durch die Ergebnisse: Hunderte Findings wirken einschüchternd. Ohne klare Priorisierung weiss niemand, wo anfangen.
  2. Fehlende Ressourcen: KMU haben oft kein dediziertes Security-Team. Die IT-Abteilung ist mit dem Tagesgeschäft ausgelastet.
  3. Falsches Sicherheitsgefühl: «Wir haben gescannt und die kritischen Sachen gefixt» – bis neue Schwachstellen publiziert werden oder sich die Infrastruktur ändert.
  4. Kosten: Regelmässige Scans durch externe Dienstleister sind teuer. Ein einzelner Penetrationstest kostet schnell CHF 10’000 bis 30’000.
  5. Mangelnde Verbindlichkeit: Ohne definierten Prozess und Verantwortlichkeiten versandet das Thema nach der initialen Motivation.

Einen nachhaltigen Prozess aufbauen

Der Schlüssel zu nachhaltigem Schwachstellenmanagement liegt in der Regelmässigkeit und Automatisierung. Folgende Empfehlungen helfen beim Aufbau eines funktionierenden Prozesses:

Definieren Sie einen Scan-Rhythmus: Externe Scans sollten mindestens monatlich, interne Scans wöchentlich durchgeführt werden. Bei kritischen Systemen oder nach grösseren Änderungen auch häufiger.

Legen Sie SLAs für die Behebung fest: Kritische Schwachstellen (CVSS 9.0+) innerhalb von 48 Stunden, hohe (CVSS 7.0-8.9) innerhalb von 7 Tagen, mittlere innerhalb von 30 Tagen. Diese Fristen müssen realistisch und verbindlich sein.

Automatisieren Sie, wo möglich: Geplante Scans, automatische Benachrichtigungen bei neuen kritischen Findings und Trend-Berichte reduzieren den manuellen Aufwand erheblich.

Berichten Sie regelmässig: Ein monatlicher Bericht an die Geschäftsleitung – mit Trends, behobenen Schwachstellen und offenen Risiken – schafft Verbindlichkeit und Ressourcen-Bewusstsein.

Nutzen Sie Scan-Vergleiche: Der Vergleich zwischen aufeinanderfolgenden Scans zeigt den Fortschritt und macht den Wert der investierten Arbeit sichtbar.

Die Rolle von Schwachstellenmanagement-Plattformen

Manuelle Prozesse mit Excel-Listen und PDF-Berichten funktionieren bei zehn Findings. Bei 500 Findings über Dutzende Systeme braucht es eine Plattform, die den gesamten Lebenszyklus unterstützt: von der automatisierten Entdeckung über die intelligente Priorisierung bis zur Verifizierung nach der Behebung.

Solche Plattformen bieten typischerweise:

  • Geplante, automatisierte Scans
  • Kombinierte Bewertung aus mehreren Scoring-Systemen (CVSS, EPSS, KEV)
  • Trend-Analysen und historische Vergleiche
  • Nachverfolgung des Behebungsstatus
  • Berichte für verschiedene Zielgruppen (technisch und Management)

Fazit

Schwachstellenmanagement ist keine einmalige Aktion, sondern ein Prozess, der nur funktioniert, wenn er kontinuierlich gelebt wird. Der erste Scan ist der Anfang – nicht das Ende. KMU, die einen strukturierten, regelmässigen Prozess etablieren, reduzieren ihre Angriffsfläche systematisch und nachhaltig.

ExposIQ unterstützt KMU bei genau diesem Prozess: Mit über 35 Scan-Engines, intelligenter Priorisierung durch EPSS, CVSS und CISA KEV, automatisierten Scan-Plänen und Vergleichsberichten bildet die Plattform den gesamten Schwachstellenmanagement-Lebenszyklus ab. Gehostet in der Schweiz, nDSG-konform und ab CHF 99 pro Monat verfügbar. Erfahren Sie mehr unter exposiq.ch.

ExposIQ ist die Schweizer Plattform für automatisiertes Vulnerability Management. Wir helfen KMU und IT-Dienstleistern, Schwachstellen zu erkennen und zu beheben – sicher, verständlich und nDSG-konform.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Firma

Über uns Kontakt Blog
 Datenschutzerklärung Nutzungsbedingungen

Newsletter

Copyright © ExposIQ Schweiz 2026. Alle Rechte vorbehalten.