Grundlagen des Schwachstellenmanagements für geschäftskritische Anwendungen

Von:

5. August 2021

Das Schwachstellenmanagement ist ein unverzichtbares Instrument, um die Sicherheit und Funktionsfähigkeit Ihrer geschäftskritischen Anwendungen zu gewährleisten und so den Geschäftsbetrieb zu unterstützen. Das Schwachstellenmanagement umfasst jedoch viele verschiedene Aspekte, und manche dieser Begriffe werden oft synonym verwendet und scheinen austauschbar zu sein. Das Verständnis dieser Grundlagen ist entscheidend, um zu begreifen, wie die neuesten Tools und Technologien für das Schwachstellenmanagement funktionieren und die Sicherheit Ihres Unternehmens gewährleisten.

Was ist eine Sicherheitslücke?

Es ist nahezu unmöglich, fehlerfreie Software oder Hardware zu entwickeln, und bei komplexen Systemen gilt dies umso mehr. Eine Sicherheitslücke ist ein Fehler, eine Schwachstelle oder ein Mangel, den ein Angreifer ausnutzen kann, um sich unbefugten Zugriff auf ein Netzwerk zu verschaffen. Es gibt viele Arten von Sicherheitslücken, doch zu den häufigsten, die geschäftskritische Anwendungen betreffen, gehören: 

  • Fehlende Patches: Anbieter veröffentlichen regelmäßig Patches, um festgestellte Sicherheitsprobleme in ihrer Software zu beheben. Wenn Sie den Patch nicht installieren, bleiben Sie für dieses Problem anfällig, und ein Angreifer könnte diese Schwachstelle ausnutzen. 
  • Fehlerhafte Konfigurationen: Hierbei handelt es sich um Probleme im Zusammenhang mit den Einstellungen Ihres Systems. Zu den häufigsten Problemen in diesem Bereich zählen fehlende Verschlüsselung und Administratorkonten mit Standardpasswörtern.  
  • Probleme mit Berechtigungen: Berechtigungen legen fest, welche Aktionen ein Benutzer ausführen und auf welche Daten er zugreifen darf, und sollten grundsätzlich nach dem Prinzip der geringsten Berechtigungen vergeben werden. Häufige Schwachstellen sind hier Benutzer mit übermäßigen Berechtigungen sowie Benutzer, denen unbeabsichtigt Profile mit „uneingeschränktem Zugriff“ zugewiesen wurden.

Nicht alle Sicherheitslücken sind gleich: Ein Überblick über Schweregrad und CVSS

Ein wesentlicher Bestandteil des Schwachstellenmanagements ist die Fähigkeit, Prioritäten zu setzen. Es reicht nicht aus, Schwachstellen lediglich aufzudecken und am Ende eine lange Liste von Problemen zu haben. Sie benötigen Kontext und Einblicke in den Schweregrad sowie die potenziellen geschäftlichen Auswirkungen jedes einzelnen Problems, damit Sie eine fundierte Entscheidung darüber treffen können, wie Sie darauf reagieren sollen. Sollte das Problem sofort behoben werden? Kann es auf später verschoben werden? Oder ist es vielleicht nicht schwerwiegend genug, sodass Sie das damit verbundene Risiko akzeptieren können? 

Der bekannteste Standard zur Bewertung der Schwere von Sicherheitslücken ist das Common Vulnerability Scoring System (CVSS), das vom Forum of Incident Response and Security Teams (FIRST) gepflegt wird. CVSS liefert einen Wert zwischen 0,0 (kein Problem) und 10,0 (höchste Schwere). Weitere Informationen zum CVSS-Score und dazu, wie die Onapsis Platform diesen Score Platform , um Kunden assess Priorisierung von Schwachstellen in ihren geschäftskritischen Anwendungen zu unterstützen, finden Sie in diesem Blogbeitrag.

Was ist Schwachstellenmanagement?

Nun, da wir wissen, was eine Sicherheitslücke ist, was können wir dagegen tun? Nicht alle Sicherheitslücken sind gleich, und es werden ständig neue entdeckt. Daher ist es unerlässlich, über ein Tool zu verfügen, mit dem man den Überblick über alle Sicherheitslücken behalten kann. Das Schwachstellenmanagement ist der kontinuierliche Prozess der Identifizierung, Klassifizierung, Priorisierung, Behebung und Risikominderung von Software-Sicherheitslücken. 

Unabhängig von der Branche oder der Größe Ihres Unternehmens sind auch Sie davon betroffen. Jedes Unternehmen benötigt ein Tool zum Schwachstellenmanagement, um Schwachstellen zu verwalten. Ein effektives Schwachstellenmanagement-Programm überprüft regelmäßig auf Schwachstellen, liefert Kontextinformationen wie Schweregrad und geschäftliche Auswirkungen und unterstützt die Behebung von Schwachstellen durch die Abstimmung zwischen Sicherheits-, IT- und DevOps-Teams.

Die Rolle von Patches im Schwachstellenmanagement 

Keine Software ist wirklich fehlerfrei. Patches sind Updates, Fehlerbehebungen oder Verbesserungen, die von Softwareanbietern veröffentlicht werden. Auch wenn nicht alle Sicherheitslücken durch Patches behoben werden (z. B. die oben erwähnten Probleme mit der Konfiguration und den Benutzerrechten), ist die regelmäßige Installation von Patches ein wesentlicher Bestandteil des Schwachstellenmanagements. Wenn Sie einen Patch nicht installieren, bleibt Ihr System, Ihre Anwendung oder Ihre Software dem Risiko ausgesetzt, dass die betreffende Sicherheitslücke ausgenutzt wird. 

Auch wenn die Anzahl der in jeder Version enthaltenen Patches und die Komplexität der Installation das Patch-Management erschweren können, ist es wichtig, Patches umgehend zu installieren, da auch Angreifer die Veröffentlichung von Patches genau im Auge behalten. Jüngste Untersuchungen von Onapsis und SAP haben ergeben, dass kritische SAP-Sicherheitslücken bereits weniger als 72 Stunden nach Veröffentlichung des Patches ausgenutzt wurden.  

Hier kann eine speziell auf SAP ausgerichtete Lösung für das Schwachstellenmanagement Abhilfe schaffen. Ein einfacher Überblick über die Dringlichkeit der einzelnen Patches und die Ermittlung der Systeme, auf denen diese installiert werden müssen, können die Priorisierung erheblich erleichtern und das Patch-Management vereinfachen.   

Schwachstellenmanagement für geschäftskritische Anwendungen

Herkömmliche Tools für das Schwachstellenmanagement decken in der Regel die wichtigsten Ressourcen eines Unternehmens nicht ausreichend ab – nämlich die geschäftskritischen Anwendungen in den Bereichen Finanzen, Personalwesen, Vertrieb, Lieferkette, Kundenmanagement und ERP, wie beispielsweise die von SAP, Oracle und Salesforce. Eine umfassende Lösung für das Schwachstellenmanagement dieser Anwendungen ermöglicht es Sicherheits- und IT-Teams, Schwachstellen früher zu erkennen und den Zeitaufwand für die Untersuchung und Meldung von Fehlalarmen zu reduzieren, ohne dass Ihr Geschäft darunter leidet. 

Onapsis Assess bietet die wesentlichen Komponenten für ein effektives Schwachstellenmanagement auf Anwendungsebene – es überprüft Ressourcen auf Systemschwachstellen und liefert zu jeder einzelnen detaillierte Erläuterungen, einschließlich der Auswirkungen auf den Geschäftsbetrieb und einer technischen Lösung. Onapsis aktualisiert Assess automatisch Assess den neuesten threat intelligence weiteren Sicherheitsempfehlungen aus den Onapsis Research Labs. Dadurch erhalten unsere Kunden frühzeitig Benachrichtigungen zu kritischen Problemen, eine umfassende Abdeckung, verbesserte Konfigurationen und Schutz vor der Veröffentlichung von Patches, noch bevor die Hersteller ihre Updates bereitstellen.

Sind Sie bereit, mit dem Schwachstellenmanagement zu beginnen? Erfahren Sie mehr über OnapsisAssess oder wenden Sie sich noch heute an einen Experten.

Weitere Informationen

Stichwörter, ,
Über den Autor
Porträtfoto von Julie Anderson

Julie Anderson

Julie Anderson ist eine erfahrene Marketingexpertin und Vordenkerin bei Onapsis. Sie entwickelt strategische Inhalte, die Führungskräfte aus den Bereichen Sicherheit und IT über die Notwendigkeit des Schutzes von SAP- und geschäftskritischen Anwendungen aufklären. Julies Arbeit verdeutlicht, wie die platform marktführende Funktionen in den Bereichen Schwachstellenmanagement, spezialisierte Bedrohungserkennung und kontinuierliche Compliance platform . Ihr Schwerpunkt liegt darauf, den Mehrwert der Einbindung fundierter Erkenntnisse zur Anwendungssicherheit in bestehende Sicherheitsworkflows von Unternehmen zu vermitteln, um eine bessere Risikominderung und Governance zu erreichen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen