Das Schwachstellenregister dokumentiert alle bekannten technischen Schwachstellen in deiner IT-Infrastruktur. Von ungepatchten Betriebssystemen über fehlkonfigurierte Firewalls bis zu veralteten Bibliotheken — jede Schwachstelle wird hier erfasst, bewertet und bis zur Behebung nachverfolgt.
ISO 27001 fordert in Control A.8.8 ein strukturiertes Management technischer Schwachstellen. Informationen über Schwachstellen müssen zeitnah beschafft, bewertet und durch geeignete Maßnahmen behandelt werden. Das Register ist das operative Werkzeug dafür.
Was enthält die Vorlage?
Die CSV-Vorlage deckt den Lebenszyklus einer Schwachstelle von der Entdeckung bis zur Behebung ab:
- Schwachstellen-ID und CVE-Referenz — eindeutige Kennung, ggf. mit Verweis auf die öffentliche CVE-Datenbank
- Beschreibung — was ist die Schwachstelle und wie kann sie ausgenutzt werden?
- Schweregrad — kritisch, hoch, mittel, niedrig (z. B. basierend auf CVSS)
- Betroffene Assets — welche Systeme sind betroffen?
- Verantwortliche Person — wer koordiniert die Behebung?
- Behebungsmaßnahme und Frist — was wird getan, bis wann?
- Status — offen, in Bearbeitung, behoben, akzeptiert (mit Begründung)
So nutzt du das Register
Automatisierte Erkennung als Basis. Schwachstellenscanner (Nessus, OpenVAS, Qualys, oder cloud-native Dienste) liefern den Grundstock. Ihre Ergebnisse fließen regelmäßig ins Register — idealerweise automatisiert. Ergänzend meldest du manuell entdeckte Schwachstellen und Ergebnisse aus Penetrationstests.
Bewertung und Fristsetzung. Jede neue Schwachstelle wird bewertet und einer Behebungsfrist zugeordnet. Definiere vorab klare SLAs: z. B. kritische innerhalb von 72 Stunden, hohe innerhalb von 14 Tagen, mittlere innerhalb von 30 Tagen. Diese SLAs gehören in deine Schwachstellenmanagement-Richtlinie und werden im Register nachverfolgt.
Ausnahmen bewusst behandeln. Manchmal ist ein Patch kurzfristig unmöglich — das Legacy-System hat keinen Hersteller-Support, oder der Patch bricht eine kritische Anwendung. In diesen Fällen dokumentierst du eine kompensierende Maßnahme (Netzwerksegmentierung, zusätzliches Monitoring, Zugriffsbeschränkung) und eine Revisionsfrist.
| ID | CVE | Titel | Produkt | Betroffenes Asset | CVSS v3.1 | EPSS | Schweregrad | Entdeckt | Quelle | Patch verfügbar | Behebungsfrist | Status | Verantwortlich | Anmerkungen |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| VUL-2025-001 | CVE-2025-21293 | Windows Kernel Elevation of Privilege | Microsoft Windows 10/11 Server 2019/2022 | AST-005 AST-004 | 7.8 | 0.08 | Hoch | 2025-01-14 | MS Patch Tuesday | Ja | 2025-02-14 | Geschlossen | IT-Betriebsleitung | Gepatcht via WSUS 2025-01-18 |
| VUL-2025-002 | CVE-2025-29813 | Azure DevOps Privilege Escalation Variable Groups | Azure DevOps Services | AST-013 (GitLab CI aber Azure DevOps für Altprojekt genutzt) | 10.0 | 0.12 | Kritisch | 2025-05-08 | MSRC Advisory | Ja | 2025-05-15 | Geschlossen | Head of Engineering | Microsoft-seitig gepatcht - Tenant verifiziert |
| VUL-2024-210 | CVE-2024-38200 | Microsoft Office NTLM Hash Disclosure | Microsoft Office 2019/2021/365 | AST-003 AST-006 | 7.5 | 0.21 | Hoch | 2024-08-13 | MS Patch Tuesday | Ja | 2024-09-13 | Geschlossen | IT-Betriebsleitung | Flotte via Intune gepatcht |
| VUL-2025-003 | CVE-2025-24989 | Microsoft Power Pages Auth Bypass | Microsoft Power Pages | Kundenportal (Power Pages) | 8.2 | 0.35 | Hoch | 2025-02-19 | MSRC KEV | Ja (anbieterseitig) | N/A | Geschlossen | Head of Engineering | Anbieter hat gepatcht - verifiziert |
| VUL-2025-004 | CVE-2025-22224 | VMware ESXi Heap Overflow | VMware ESXi 7.0/8.0 | AST-004 AST-005 (Hypervisor) | 9.3 | 0.28 | Kritisch | 2025-03-04 | CISA KEV | Ja | 2025-03-18 | Geschlossen | IT-Betriebsleitung | Notfall-Change EC-2025-003 |
| VUL-2025-005 | CVE-2025-30397 | Microsoft Scripting Engine RCE (Edge/Chakra) | Microsoft Edge Legacy | AST-006 | 8.8 | 0.15 | Hoch | 2025-05-13 | MS Patch Tuesday | Ja | 2025-06-13 | Geschlossen | IT-Betriebsleitung | Auto-Update |
| VUL-2025-006 | CVE-2024-7971 | Google Chrome V8 Type Confusion | Google Chrome | AST-006 | 8.8 | 0.88 | Kritisch | 2024-08-21 | Chrome Release | Ja | 2024-08-28 | Geschlossen | IT-Betriebsleitung | Chrome-Auto-Update erzwungen |
| VUL-2025-007 | CVE-2025-20281 | Cisco IOS XE Privilege Escalation | Cisco IOS XE | AST-010 (falls Cisco - Anwendbarkeit prüfen) | 6.7 | 0.03 | Mittel | 2025-06-25 | Cisco PSIRT | Ja | 2025-07-25 | N/A | IT-Betriebsleitung | Nicht anwendbar - Fortinet-Stack |
| VUL-2025-008 | CVE-2025-26633 | Microsoft Management Console Bypass | Microsoft Windows | AST-005 AST-004 AST-006 | 7.0 | 0.42 | Hoch | 2025-03-11 | CISA KEV | Ja | 2025-04-11 | Geschlossen | IT-Betriebsleitung | Via WSUS gepatcht |
| VUL-2025-009 | CVE-2024-3094 | XZ Utils Backdoor (liblzma) | xz-utils 5.6.0-5.6.1 | Interne Linux-Buildserver (2x) | 10.0 | 0.62 | Kritisch | 2024-03-29 | Debian Advisory | Ja (Downgrade) | 2024-03-30 | Geschlossen | IT-Betriebsleitung | Rollback auf 5.4.6 innerhalb Stunden |
| VUL-2025-010 | CVE-2025-32756 | Fortinet FortiOS Stack Overflow | Fortinet FortiOS 7.2/7.4 | AST-010 | 9.8 | 0.71 | Kritisch | 2025-05-13 | CISA KEV | Ja | 2025-05-20 | Geschlossen | IT-Betriebsleitung | Notfall-Change EC-2025-011 |
| VUL-2025-011 | CVE-2025-24201 | Apple WebKit Out-of-Bounds Write | macOS/iOS Safari | AST-006 AST-014 | 8.1 | 0.11 | Hoch | 2025-03-11 | Apple Advisory | Ja | 2025-04-11 | Geschlossen | IT-Betriebsleitung | MDM-erzwungenes Update |
| VUL-2025-012 | CVE-2025-22457 | Ivanti Connect Secure Stack Overflow | Ivanti Connect Secure | AST-011 (falls Ivanti - prüfen) | 9.0 | 0.55 | Kritisch | 2025-04-03 | CISA KEV | Ja | 2025-04-10 | N/A | IT-Betriebsleitung | Nicht anwendbar - Fortinet VPN im Einsatz |
| VUL-2025-013 | CVE-2025-29824 | Windows CLFS Driver Privilege Escalation | Microsoft Windows | AST-005 AST-004 | 7.8 | 0.25 | Hoch | 2025-04-08 | MS Patch Tuesday | Ja | 2025-05-08 | Geschlossen | IT-Betriebsleitung | Via WSUS gepatcht |
| VUL-2025-014 | CVE-2025-3248 | Langflow Missing Authentication Remote Code Execution | Langflow (interner PoC) | Interne PoC-Umgebung | 9.8 | 0.47 | Kritisch | 2025-04-07 | Horizon3 Advisory | Ja | 2025-04-10 | Geschlossen | Head of Engineering | PoC stillgelegt |
| ID | CVE | Title | Product | Affected Asset | CVSS v3.1 | EPSS | Severity | Discovered | Source | Patch Available | Remediation Deadline | Status | Owner | Notes |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| VUL-2025-001 | CVE-2025-21293 | Windows Kernel Elevation of Privilege | Microsoft Windows 10/11 Server 2019/2022 | AST-005 AST-004 | 7.8 | 0.08 | High | 2025-01-14 | MS Patch Tuesday | Yes | 2025-02-14 | Closed | IT Operations Lead | Patched via WSUS 2025-01-18 |
| VUL-2025-002 | CVE-2025-29813 | Azure DevOps privilege escalation variable groups | Azure DevOps Services | AST-013 (GitLab CI but Azure DevOps used for one legacy project) | 10.0 | 0.12 | Critical | 2025-05-08 | MSRC advisory | Yes | 2025-05-15 | Closed | Head of Engineering | Microsoft hosted patched - verified tenant |
| VUL-2024-210 | CVE-2024-38200 | Microsoft Office NTLM hash disclosure | Microsoft Office 2019/2021/365 | AST-003 AST-006 | 7.5 | 0.21 | High | 2024-08-13 | MS Patch Tuesday | Yes | 2024-09-13 | Closed | IT Operations Lead | Patched fleet via Intune |
| VUL-2025-003 | CVE-2025-24989 | Microsoft Power Pages auth bypass | Microsoft Power Pages | Customer portal (Power Pages) | 8.2 | 0.35 | High | 2025-02-19 | MSRC KEV | Yes (vendor side) | N/A | Closed | Head of Engineering | Vendor patched - verified |
| VUL-2025-004 | CVE-2025-22224 | VMware ESXi heap overflow | VMware ESXi 7.0/8.0 | AST-004 AST-005 (hypervisor) | 9.3 | 0.28 | Critical | 2025-03-04 | CISA KEV | Yes | 2025-03-18 | Closed | IT Operations Lead | Emergency change EC-2025-003 |
| VUL-2025-005 | CVE-2025-30397 | Microsoft Scripting Engine RCE (Edge/Chakra) | Microsoft Edge legacy | AST-006 | 8.8 | 0.15 | High | 2025-05-13 | MS Patch Tuesday | Yes | 2025-06-13 | Closed | IT Operations Lead | Auto-update |
| VUL-2025-006 | CVE-2024-7971 | Google Chrome V8 type confusion | Google Chrome | AST-006 | 8.8 | 0.88 | Critical | 2024-08-21 | Chrome release | Yes | 2024-08-28 | Closed | IT Operations Lead | Chrome auto-update enforced |
| VUL-2025-007 | CVE-2025-20281 | Cisco IOS XE privilege escalation | Cisco IOS XE | AST-010 (if Cisco - check applicability) | 6.7 | 0.03 | Medium | 2025-06-25 | Cisco PSIRT | Yes | 2025-07-25 | N/A | IT Operations Lead | Not applicable - Fortinet stack |
| VUL-2025-008 | CVE-2025-26633 | Microsoft Management Console bypass | Microsoft Windows | AST-005 AST-004 AST-006 | 7.0 | 0.42 | High | 2025-03-11 | CISA KEV | Yes | 2025-04-11 | Closed | IT Operations Lead | Patched via WSUS |
| VUL-2025-009 | CVE-2024-3094 | XZ Utils backdoor (liblzma) | xz-utils 5.6.0-5.6.1 | Internal Linux build servers (2x) | 10.0 | 0.62 | Critical | 2024-03-29 | Debian advisory | Yes (downgrade) | 2024-03-30 | Closed | IT Operations Lead | Rolled back to 5.4.6 within hours |
| VUL-2025-010 | CVE-2025-32756 | Fortinet FortiOS stack overflow | Fortinet FortiOS 7.2/7.4 | AST-010 | 9.8 | 0.71 | Critical | 2025-05-13 | CISA KEV | Yes | 2025-05-20 | Closed | IT Operations Lead | Emergency change EC-2025-011 |
| VUL-2025-011 | CVE-2025-24201 | Apple WebKit out-of-bounds write | macOS/iOS Safari | AST-006 AST-014 | 8.1 | 0.11 | High | 2025-03-11 | Apple advisory | Yes | 2025-04-11 | Closed | IT Operations Lead | MDM enforced update |
| VUL-2025-012 | CVE-2025-22457 | Ivanti Connect Secure stack overflow | Ivanti Connect Secure | AST-011 (if Ivanti - check) | 9.0 | 0.55 | Critical | 2025-04-03 | CISA KEV | Yes | 2025-04-10 | N/A | IT Operations Lead | Not applicable - Fortinet VPN used |
| VUL-2025-013 | CVE-2025-29824 | Windows CLFS driver privilege escalation | Microsoft Windows | AST-005 AST-004 | 7.8 | 0.25 | High | 2025-04-08 | MS Patch Tuesday | Yes | 2025-05-08 | Closed | IT Operations Lead | Patched via WSUS |
| VUL-2025-014 | CVE-2025-3248 | Langflow missing authentication remote code execution | Langflow (internal POC) | Internal POC environment | 9.8 | 0.47 | Critical | 2025-04-07 | Horizon3 advisory | Yes | 2025-04-10 | Closed | Head of Engineering | Decommissioned POC |
Quellen
- ISO/IEC 27001:2022, A.8.8 — Management technischer Schwachstellen
- ISO/IEC 27002:2022, Abschnitt 8.8 — Umsetzungshinweise zum Schwachstellenmanagement
- NIST NVD — National Vulnerability Database mit CVSS-Bewertungen