Zum Hauptinhalt springen
CENEDRIL HANDBUCH
Zu Cenedril
ISMS-Assistent · Security Operations

Security Operations einrichten

Aktualisiert am 3 Min. Pro-Abo-Stufe In Cenedril öffnen

Ziel Das Security-Operations-Modul des ISMS-Assistenten einrichten: Bedrohungslage beobachten, Schwachstellen und Vorfälle verfolgen, Behördenkontakte pflegen, Eskalation und Vulnerability Disclosure Policy festlegen und die Richtlinie veröffentlichen.

Im ISMS-Assistenten bündelt das Modul Security Operations die operative Sicherheitsarbeit: Sie beobachten die Bedrohungslage, verfolgen Schwachstellen und Vorfälle, pflegen Behördenkontakte und legen Eskalation und Meldewege fest. Sie öffnen den Bereich über Security Operations im ISMS-Assistenten und arbeiten sich durch die Tabs von der Übersicht bis zur veröffentlichten Richtlinie. Am Ende steht ein eingerichtetes Modul, das Bedrohungsbeobachtung, Schwachstellen- und Vorfallsmanagement verzahnt.

Modul öffnen und Lage verschaffen

Security Operations öffnen

Öffnen Sie im ISMS-Assistenten den Bereich Security Operations. Die Seite startet im Tab Dashboard und zeigt den aktuellen Stand: aktive Vorfälle, offene Schwachstellen und die Bedrohungslage. Über die Tab-Leiste erreichen Sie die weiteren Bereiche.

Das Dashboard mit den Bereichen „Bedrohungslage“ und „Operative Prozesse“ sowie der Tab-Leiste darüber.

Die drei Stränge verstehen

Das Modul läuft auf drei verzahnten Strängen: Bedrohungen (Feed, Bedrohungsnews, Bedrohungsregister), Schwachstellen (technische CVE-Treffer gegen die CMDB) und Vorfälle (konkrete Ereignisse mit Eskalation und Dokumentation). Jeder Strang kann Eingang für die anderen sein: eine neue Bedrohung führt zu einem Schwachstellen-Check, eine ausgenutzte Schwachstelle zu einem Vorfall.

Bedrohungen und Schwachstellen beobachten

Schwachstellen-Feed prüfen

Wechseln Sie auf den Tab Schwachstellen-Feed. Die Liste führt CVE-Einträge mit CVSS-Schweregrad, EPSS-Wahrscheinlichkeit und KEV-Kennzeichnung zusammen und wird laufend gegen Ihre CMDB abgeglichen. Mit der Filtermarke Nur meine Assets blenden Sie auf die Treffer ein, die Ihre dokumentierten Systeme betreffen.

Der Schwachstellen-Feed mit Schweregrad-Badges, KEV- und EPSS-Kennzeichnung sowie den Filtern.

Treffer als Schwachstelle übernehmen

Bei einem relevanten Eintrag wählen Sie Melden. Cenedril legt daraus eine Schwachstelle an, die den Patch- oder Ausnahme-Ablauf auslöst. Nicht relevante Einträge können Sie ausblenden, unklare Fälle zur späteren Bewertung markieren.

Bedrohungsregister pflegen

Im Tab Bedrohungsregister erfassen Sie strukturierte Bedrohungen mit Relevanzbewertung und Verknüpfung zu Schwachstellen und Vorfällen. Über Eintrag hinzufügen öffnen Sie das Formular, in dem Sie die Bedrohung, ihre Relevanz und optional die zugehörigen MITRE-ATT&CK-Techniken hinterlegen. Der Tab Bedrohungsnews liefert dazu kuratierte Nachrichten aus NCSC, BSI und CERT-EU.

Kontakte, Eskalation und Meldewege

Behördenregister füllen

Wechseln Sie auf den Tab Behördenregister. Hier pflegen Sie die Kontaktwege zu Meldestellen und Notdiensten: die zuständige NIS-2-Meldestelle, die Datenschutzaufsicht, die Strafverfolgung und branchenspezifische Aufsicht. Pro Eintrag erfassen Sie Organisation, Ansprechperson, Erreichbarkeit und akzeptierte Meldeformate. Im Ernstfall hängt Ihre Meldefähigkeit direkt von diesen Daten ab.

Eskalation und Vulnerability Disclosure Policy einrichten

Im Tab Einrichtung legen Sie die Rahmen-Parameter fest. Im Abschnitt Benachrichtigungen & Eskalation bestimmen Sie nach Schweregrad und Zeit, wer wann benachrichtigt wird und ab welchem Schwellwert die Geschäftsführung informiert wird. Der Abschnitt Informationssicherheitsvorfalls-Management steuert die Parameter der Vorfallsbearbeitung. Im Abschnitt Schwachstellenmeldungsportal hinterlegen Sie die Vulnerability Disclosure Policy für externe Sicherheitsforscher.

Die Einrichtung mit den Abschnitten „Benachrichtigungen & Eskalation“, „Informationssicherheitsvorfalls-Management“ und „Schwachstellenmeldungsportal“.

Richtlinie erstellen und veröffentlichen

Richtlinie generieren und prüfen

Öffnen Sie den Tab Richtlinie. Cenedril erstellt einen Entwurf aus dem Organisationskontext, den ausgewählten Annex-A-Kontrollen und den hier gepflegten Daten. Eskalationstabelle und Reaktionszeiten werden aus der Einrichtung übernommen. Prüfen Sie den Text und ergänzen Sie ihn dort, wo er zu generisch bleibt, etwa bei branchenspezifischen Meldepflichten.

Abschließen und veröffentlichen

Nach der inhaltlichen Abnahme markieren Sie die Richtlinie pro Sprache über Abschließen als abgeschlossen und veröffentlichen sie. Mit Entwurf speichern sichern Sie einen Zwischenstand, ohne zu veröffentlichen. Eine jährliche Überprüfung ist empfohlen, insbesondere nach NIS-2-relevanten Vorfällen oder geänderten behördlichen Anforderungen.

Ergebnis: Das Security-Operations-Modul ist eingerichtet: Der Schwachstellen-Feed gleicht gegen Ihre CMDB ab, das Bedrohungs- und Behördenregister ist gepflegt, Eskalationspfade und die Vulnerability Disclosure Policy stehen, und die Security-Operations-Richtlinie ist veröffentlicht.

Häufige Fragen

Was bedeuten CVSS, EPSS und KEV im Schwachstellen-Feed?

CVSS ist der technische Schweregrad (0–10). EPSS schätzt die Wahrscheinlichkeit (0–1), dass eine Schwachstelle binnen 30 Tagen ausgenutzt wird. KEV kennzeichnet Einträge aus CISAs Katalog bekannter ausgenutzter Schwachstellen. Ein CVSS 7 mit EPSS über 0,8 oder KEV-Eintrag ist dringender als ein CVSS 10 ohne Exploit.

Woher kommt der Abgleich mit den eigenen Systemen?

Der Feed gleicht die CPE-Strings der Schwachstellen automatisch gegen die dokumentierten Software- und Firmware-Versionen Ihrer CMDB ab. Treffer erscheinen in der Ansicht „Nur meine Assets“. Je vollständiger die CMDB gepflegt ist, desto präziser die Trefferlage.

Muss ich alle Tabs ausfüllen, damit das Modul nutzbar ist?

Nein. Die Tabs sind unabhängig: Sie können mit Bedrohungsbeobachtung starten und Einrichtung sowie Richtlinie später ergänzen. Für ein auditfähiges Modul gehören Eskalationspfade, das Behördenregister und die veröffentlichte Richtlinie dazu.

Wie hängt das Meldeportal mit diesem Modul zusammen?

Die Vulnerability Disclosure Policy konfigurieren Sie im Tab „Einrichtung“. Eingehende Meldungen externer Sicherheitsforscher erscheinen anschließend als Schwachstellen. Die öffentliche Aktivierung des Portals ist eine eigene Journey.

Woher stammt der Entwurf der Security-Operations-Richtlinie?

Cenedril erstellt den Entwurf aus dem Organisationskontext, den ausgewählten Annex-A-Kontrollen und den hier gepflegten Daten (Eskalationspfade, VDP, Behördenregister). Eskalationstabelle und Reaktionszeiten werden aus der Einrichtung übernommen.

Informationssicherheit-Assistent

RACI, Business Continuity, Lieferantenmanagement

So weisen Sie im ISMS-Assistenten Rollen über die RACI-Matrix zu, planen Business Continuity und führen das Lieferantenregister mit Bewertung und Richtlinie.

Öffentliche Portale

Schwachstellen-Meldeportal (VD) aktivieren

So aktivieren Sie in Cenedril das öffentliche Schwachstellenmeldungsportal, geben die Produktauswahl frei und teilen den Melde-Link mit Sicherheitsforschern.