A.8.8 — Verwaltung technischer Schwachstellen

Zwischen der Veröffentlichung einer kritischen Schwachstelle und dem ersten Exploit vergehen im Durchschnitt 15 Tage. Zwischen der Veröffentlichung und der Patch-Installation in vielen Organisationen: mehrere Monate. In dieser Lücke bewegen sich Angreifer. A.8.8 verlangt einen systematischen Prozess, der technische Schwachstellen identifiziert, bewertet und innerhalb definierter Fristen behebt.

Die Kontrolle umfasst den gesamten Lebenszyklus: von der Erkennung über die Risikobewertung und Priorisierung bis zur Behebung und Verifizierung.

Was verlangt die Norm?

Asset-Inventar aktuell halten. Schwachstellenmanagement setzt ein aktuelles Inventar aller IT-Systeme und Software voraus — ohne Inventar keine vollständige Erkennung.
Schwachstellen aktiv suchen. Regelmäßige Scans, Überwachung von Schwachstellendatenbanken (CVE, NVD) und Herstellerhinweisen.
Risiko bewerten. Jede Schwachstelle wird hinsichtlich ihres Risikos bewertet — unter Berücksichtigung von CVSS-Score, Angreifbarkeit und Kritikalität des betroffenen Systems.
Patches zeitnah einspielen. Software-Updates und Patches werden nach einem definierten Verfahren getestet und innerhalb festgelegter Fristen eingespielt.
Kompensierende Maßnahmen bei fehlendem Patch. Wenn kein Patch verfügbar ist, werden alternative Schutzmaßnahmen dokumentiert und umgesetzt.

In der Praxis

Schwachstellen-Scanner regelmäßig einsetzen. Automatisierte Scans (z.B. Tenable, Qualys, OpenVAS) mindestens monatlich auf allen Systemen im Geltungsbereich. Für Internet-facing Systeme wöchentlich oder kontinuierlich.

Patch-Management-Prozess definieren. Patches werden klassifiziert (kritisch, hoch, mittel, niedrig), in einer Testumgebung validiert und nach einem definierten Zeitplan ausgerollt. Notfall-Patches für aktiv ausgenutzte Schwachstellen folgen einem verkürzten Verfahren.

Schwachstellenregister führen. Jede erkannte Schwachstelle wird registriert: betroffenes System, CVSS-Score, Entdeckungsdatum, geplante Behebung, Status. Das Register ist der zentrale Nachweis für den Audit.

Pentests als Ergänzung. Mindestens jährlich einen Penetrationstest durch externe Spezialisten durchführen. Pentests decken Schwachstellen auf, die automatisierte Scanner übersehen — insbesondere logische Fehler und Angriffsketten.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.8 typischerweise diese Nachweise:

Schwachstellenregister — vollständige Liste erkannter Schwachstellen mit Status (→ Schwachstellenregister im Starter Kit)
Scan-Berichte — aktuelle Ergebnisse der Schwachstellen-Scans
Patch-Status-Übersicht — welche Patches eingespielt, welche ausstehend
SLA-Einhaltung — Nachweis, dass kritische Schwachstellen fristgerecht behoben wurden
Pentest-Bericht — Ergebnisse und Maßnahmenplan des letzten Penetrationstests (→ Pentest-Bericht im Starter Kit)

KPI

Anteil der kritischen Schwachstellen, die innerhalb des definierten SLA behoben wurden

Gemessen als Prozentsatz: Wie viele kritische Schwachstellen wurden innerhalb der definierten Frist (z.B. 72 Stunden) behoben? Ziel: über 95%.

Ergänzende KPIs:

Mittlere Behebungszeit (MTTR) nach Schweregrad
Anzahl offener Schwachstellen älter als 30 Tage (Ziel: abnehmend)
Anteil der Systeme mit aktuellem Schwachstellen-Scan (Ziel: 100%)

BSI IT-Grundschutz

A.8.8 mappt auf den BSI-Baustein für Patch- und Änderungsmanagement:

OPS.1.1.3 (Patch- und Änderungsmanagement) — der Kernbaustein. Verlangt zeitnahe Patch-Installation, Testverfahren, Dokumentation und Risikobewertung bei verzögerter Installation.
DER.1 (Detektion von sicherheitsrelevanten Ereignissen) — Schwachstellen-Erkennung als Teil der Detektionsstrategie.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.8.8 — Verwaltung technischer Schwachstellen
ISO/IEC 27002:2022 Abschnitt 8.8 — Umsetzungshinweise zur Schwachstellenverwaltung
BSI IT-Grundschutz, OPS.1.1.3 — Patch- und Änderungsmanagement

Häufig gestellte Fragen

Was ist der Unterschied zwischen Schwachstellen-Scanning und Penetrationstest?

Schwachstellen-Scanning ist automatisiert und identifiziert bekannte Schwachstellen (CVEs) in Systemen und Software. Penetrationstests werden von Spezialisten durchgeführt, die aktiv versuchen, Schwachstellen auszunutzen und Angriffsketten zu bilden. Beide ergänzen sich — Scanning für Breite, Pentests für Tiefe.

Wie schnell müssen kritische Schwachstellen behoben werden?

Die Norm nennt keine feste Frist, aber die Praxis hat klare Standards etabliert: Kritische Schwachstellen (CVSS über 9.0) innerhalb von 24–72 Stunden, hohe (CVSS 7.0–8.9) innerhalb von 7 Tagen, mittlere innerhalb von 30 Tagen. Diese SLAs sollten in der Schwachstellen-Richtlinie dokumentiert sein.

Was tun, wenn kein Patch verfügbar ist?

Kompensierende Maßnahmen einsetzen: Netzwerksegmentierung, Zugriffsbeschränkung, erhöhtes Monitoring, Deaktivierung des betroffenen Dienstes. Jede kompensierende Maßnahme wird dokumentiert und regelmäßig überprüft, bis ein Patch verfügbar ist.

Responsible	IT-Sicherheitsbeauftragter
Accountable	ISB
Consulted	Asset-Eigentümer, Abteilungsleitung, HR-Leitung, IT-Leitung, IT-Administrator, Interne Revision, Rechtsabteilung, Risikoeigentümer, Softwareentwickler/Architekt, Lieferantenmanagement
Informed	Alle Beschäftigten, Asset-Eigentümer, IT-Leitung, IT-Administrator, Projektleitung, Lieferantenmanagement