(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Technische Schwachstellen in Systemen, Anwendungen oder Infrastrukturen können von Angreifern ausgenutzt werden und stellen ein erhebliches Risiko für die Informationssicherheit dar. Werden Schwachstellen nicht rechtzeitig erkannt oder behandelt, kann dies zu Sicherheitsvorfällen, Datenverlust oder Systemausfällen führen. Dieses Control stellt sicher, dass technische Schwachstellen systematisch identifiziert, bewertet und wirksam behandelt werden.

Zweck des Controls

A 8.8 soll gewährleisten, dass technische Schwachstellen kontinuierlich überwacht und angemessen behandelt werden. Ziel ist es, Risiken aus bekannten oder neu entdeckten Schwachstellen zu minimieren und die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen zu schützen.

Anforderungen und Maßnahmen

1. Identifikation technischer Schwachstellen

Organisationen müssen Verfahren zur Identifikation technischer Schwachstellen etablieren, insbesondere:

• Beobachtung von Hersteller- und Sicherheitsmeldungen
• Nutzung von Schwachstellen-Datenbanken
• Durchführung technischer Scans oder Prüfungen
• Einbindung externer Informationsquellen

Die Identifikation muss regelmäßig erfolgen.

2. Bewertung der Schwachstellen

Identifizierte Schwachstellen müssen bewertet werden:

• Einschätzung des Risikos
• Berücksichtigung von Ausnutzbarkeit und Auswirkungen
• Abhängigkeiten zu anderen Systemen
• Priorisierung der Behandlung

So werden Ressourcen gezielt eingesetzt.

3. Festlegung von Behandlungsmaßnahmen

Für Schwachstellen müssen geeignete Maßnahmen definiert werden:

• Installation von Patches oder Updates
• Konfigurationsanpassungen
• temporäre Schutzmaßnahmen
• Akzeptanz oder Vermeidung von Risiken

Die Maßnahmen müssen dokumentiert sein.

4. Zeitnahe Umsetzung von Maßnahmen

Behandlungsmaßnahmen müssen zeitnah umgesetzt werden:

• Festlegung von Reaktionszeiten
• Priorisierung kritischer Schwachstellen
• Überwachung der Umsetzung
• Eskalation bei Verzögerungen

So wird das Risiko reduziert.

5. Test und Verifikation

Umgesetzte Maßnahmen müssen überprüft werden:

• Funktionstests nach Änderungen
• Überprüfung der Wirksamkeit
• Vermeidung negativer Auswirkungen
• Dokumentation der Ergebnisse

Dies stellt die Qualität der Maßnahmen sicher.

6. Umgang mit nicht sofort behebbaren Schwachstellen

Für Schwachstellen ohne sofortige Lösung müssen Alternativen bestehen:

• kompensierende Maßnahmen
• erhöhte Überwachung
• Risikobewertung und -akzeptanz
• zeitnahe Neubewertung

So werden Restrisiken kontrolliert.

7. Integration in Incident- und Change-Management

Schwachstellenmanagement muss in bestehende Prozesse integriert sein:

• Abstimmung mit Incident-Management
• Einbindung in Change-Management
• Berücksichtigung in Risikoanalysen
• Dokumentation von Entscheidungen

Dies gewährleistet Konsistenz.

8. Dokumentation und kontinuierliche Verbesserung

Der Umgang mit Schwachstellen muss dokumentiert und überprüft werden:

• Schwachstellenregister
• Nachweise über Bewertungen und Maßnahmen
• Analyse von Vorfällen
• Anpassung der Prozesse

So bleibt das Schwachstellenmanagement wirksam.

Zusammenfassung

A 8.8 fordert, dass Organisationen technische Schwachstellen systematisch identifizieren, bewerten und behandeln. Durch kontinuierliche Beobachtung, risikoorientierte Priorisierung, zeitnahe Umsetzung geeigneter Maßnahmen sowie Integration in bestehende Sicherheitsprozesse wird sichergestellt, dass technische Schwachstellen nicht zu erheblichen Informationssicherheitsrisiken führen. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.