CompliantDesk

A.8 Technologische Maßnahmen

A.8.8

Handhabung technischer Schwachstellen

ISO 27001NIS2TISAXBSI

Informationen über technische Schwachstellen der eingesetzten Systeme müssen beschafft werden, die Gefährdung der Organisation muss bewertet und geeignete Maßnahmen müssen ergriffen werden.

Was fordert dieses Control?

Informationen über technische Schwachstellen der eingesetzten Systeme müssen beschafft werden, die Gefährdung der Organisation muss bewertet und geeignete Maßnahmen müssen ergriffen werden.

Warum ist das wichtig?

Ungepatchte Schwachstellen sind das häufigste Einfallstor für Angriffe. Ein systematisches Schwachstellen- und Patchmanagement schließt diese Lücken zeitnah.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX5.2.6Direkt
BSIOPS.1.1.3Direkt

Was der Auditor erwartet

  1. 1Prozess zur Erkennung und Bewertung von Schwachstellen
  2. 2Risikobasierte, zeitnahe Behebung (Patching)
  3. 3Nachverfolgung offener Schwachstellen

Audit-Checkliste

Dokumente

  • Schwachstellen-/Patchmanagement-Prozess

    Erkennung, Bewertung, Fristen und Verantwortliche

Nachweise

  • Scan-Ergebnisse / Patchstand

    Erkannte Schwachstellen und deren Behebung

Interviews

  • IT-Betrieb

    Wie kritische Patches priorisiert und eingespielt werden

Technisch

  • Vulnerability-Scanner

    Regelmäßige Scans und Abdeckung der Systeme

Praxis-Tipps zur Umsetzung

1

Fristen nach Risiko

Kritische Lücken in Tagen, weniger kritische in definierten Zeitfenstern schließen.

2

Quellen anzapfen

CERT-Warnungen und Hersteller-Advisories systematisch auswerten (A.5.7).

3

Scans automatisieren

Regelmäßige Vulnerability-Scans über die gesamte Landschaft.

Häufige Fehler

Patches verschleppt

Bekannte kritische Lücken bleiben wochenlang offen.

Keine Übersicht

Schwachstellen werden nicht zentral erfasst und nachverfolgt.

Häufig gestellte Fragen

Wie schnell muss man patchen?

Risikobasiert, kritische und aktiv ausgenutzte Schwachstellen so schnell wie möglich, idealerweise binnen weniger Tage.

Brauchen wir einen Schwachstellenscanner?

Für eine systematische Erkennung ja, ergänzt um die Auswertung von Hersteller- und CERT-Meldungen.

Was, wenn ein Patch nicht verfügbar ist?

Kompensierende Maßnahmen ergreifen, etwa Mitigation, Segmentierung oder erhöhte Überwachung.

So hilft CompliantDesk bei A.8.8

Über NinjaOne- und Defender-Integrationen fließen Schwachstellen-Alerts in Vorfälle und Maßnahmen, die im Gap-Tracker mit Frist verfolgt werden.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.7

Bedrohungsinformationen (Threat Intelligence)

A.8.9

Konfigurationsmanagement

A.8.19

Installation von Software auf Produktivsystemen