Schwachstellenerkennung & CVE-Monitoring

Scanning-Programm

Infrastruktur-Scanning

Methode	Tool-Kategorie	Intervall	Scope
Netzwerk-Scan	Portscanner, Service-Detection	Wöchentlich	Alle erreichbaren IP-Bereiche
Vulnerability-Scan	Trivy, OpenVAS oder vergleichbar	Wöchentlich	Server, Container, Netzwerkgeräte
Compliance-Scan	Konfigurationsprüfung	Monatlich	Härtungsrichtlinien, CIS Benchmarks

Anwendungs-Scanning

Methode	Tool-Kategorie	Intervall	Scope
SAST (Static Analysis)	Code-Analyse im CI/CD	Bei jedem Commit	Eigenentwicklungen
Dependency-Scan	Dependabot, Trivy	Laufend (automatisiert)	Alle Software-Abhängigkeiten
Container-Scan	Trivy	Bei jedem Build	Docker-Images

CVE-Monitoring

Quellen

Quelle	Art	Relevanz
NVD (National Vulnerability Database)	CVE-Datenbank	Alle eingesetzten Produkte
BSI-Warnungen	Advisories, Sicherheitshinweise	Infrastruktur und Standardsoftware
Vendor-Advisories	Herstellerbenachrichtigungen	Eingesetzte Produkte
GitHub Security Advisories	Dependency-Alerts	Open-Source-Abhängigkeiten
CERT-Bund	Warnmeldungen	Kritische Infrastruktur

Bewertungsprozess

CVE veröffentlicht
  → Relevanzprüfung: Ist das betroffene Produkt bei uns im Einsatz?
    → Ja: CVSS-Bewertung + Kontextbewertung
      → Kritisch/Hoch: Sofortige Eskalation an IT-Ops
      → Mittel: Aufnahme in Patch-Zyklus
      → Niedrig: Nächster Release-Zyklus
    → Nein: Archivieren

Schwachstellen-Tracking

Jede identifizierte Schwachstelle wird dokumentiert:

Feld	Beschreibung
ID	CVE-Nummer oder interne ID
Betroffenes System	Hostname, Anwendung, Komponente
CVSS-Score	Originalbewertung
Kontextbewertung	Anpassung an unsere Umgebung (erreichbar? ausnutzbar?)
Status	Offen / In Bearbeitung / Behoben / Akzeptiert
Maßnahme	Patch, Workaround, Konfigurationsänderung
Frist	Gemäß Patch-Management-Fristen
Verantwortlich	Zuständiger Administrator oder Entwickler