Vulnerability Management & Patch-Prozess
Ein auditfähiger Prozess: Scans, Priorisierung, SLAs, Ausnahmen, Retest – inklusive Reporting.
Pipeline: Scan → Triage → Fix → Verify
- Asset Inventory (CMDB light): was existiert, wer ist Owner, wie kritisch?
- Regelmäßige Scans (intern/extern) + Agent/EDR Signale
- Triage: Exploitability, Exposure, Business Impact
- Fix: Patch/Config/Workaround
- Verify: Retest + Evidence (Ticket, Scan-Report, Change)
Pragmatische SLAs (Beispiel)
| Kritikalität | SLA | Beispiel |
|---|---|---|
| Kritisch | 7 Tage | RCE im Internet-exponierten Service |
| Hoch | 30 Tage | Privilege Escalation auf Servern |
| Mittel | 90 Tage | Info Leak ohne Exploit-Kette |
Ausnahmen sauber handhaben
Ausnahmen sind ok – wenn sie dokumentiert sind: Risiko, Kompensation, Ablaufdatum, Owner-Freigabe.
- Risk acceptance mit Begründung & Ablaufdatum
- Kompensationskontrollen (WAF, IPS, Segmentierung, Monitoring)
- Re-Assessment beim Ablauf
Reporting, das Management versteht
- Trend: offene Findings nach Kritikalität (30/60/90 Tage)
- SLA-Compliance (Prozent) + Top-Offender Systeme
- Mean Time to Remediate (MTTR) nach Kategorie
- „Risk burn-down“ pro Projektphase