Schwachstellenmanagement
RECHTSGRUNDLAGE
§30 Abs. 2 Nr. 5 BSIG – Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen
Schwachstellenerkennung
| Methode | Beschreibung | Intervall |
|---|---|---|
| Automatisiertes Scanning | Infrastruktur- und Anwendungsscans | Wöchentlich |
| CVE-Monitoring | Überwachung relevanter CVE-Feeds und Advisories | Laufend |
| Dependency-Monitoring | Automatisierte Prüfung von Software-Abhängigkeiten (Dependabot, Trivy) | Laufend |
| Penetrationstests | Externe und interne Tests durch qualifizierte Tester | Jährlich |
Patch Management
| Schweregrad | Frist | Beispiel |
|---|---|---|
| Kritisch (CVSS ≥ 9.0) | 48 Stunden | Remote Code Execution, aktiv ausgenutzt |
| Hoch (CVSS 7.0–8.9) | 7 Tage | Privilege Escalation, Datenleck |
| Mittel (CVSS 4.0–6.9) | 30 Tage | Denial of Service, Information Disclosure |
| Niedrig (CVSS < 4.0) | Nächster Release-Zyklus | Kosmetische Fehler, geringe Auswirkung |
Secure Development
Für Eigenentwicklungen gelten:
- Security by Design – Sicherheitsanforderungen ab Entwurfsphase
- Code-Review – Vier-Augen-Prinzip für sicherheitsrelevante Änderungen
- Automatisierte Tests – Lint, Build, Security-Scan in CI/CD-Pipeline
- Dependency-Pinning – Versionierte und geprüfte Abhängigkeiten
Coordinated Vulnerability Disclosure
Die BAUER GROUP unterstützt die koordinierte Offenlegung von Schwachstellen:
- Meldewege für externe Sicherheitsforscher dokumentiert
- Bearbeitungsfristen für gemeldete Schwachstellen definiert
- Abstimmung mit Entdeckern vor Veröffentlichung
CRA-Synergie
Das produktbezogene Schwachstellenmanagement (SBOM-basiertes CVE-Monitoring, CycloneDX, Trivy-Scanning) ist in der CRA Vulnerability-Management-Dokumentation beschrieben. NIS2 ergänzt dies um infrastruktur- und betriebsbezogenes Schwachstellenmanagement.