Was ist risikobasiertes Schwachstellenmanagement?
Risikobasiertes Schwachstellenmanagement (RBVM) ist ein disziplinierter Ansatz, um zu priorisieren, welche Schwachstellen zuerst behoben werden — basierend auf dem tatsächlichen Risiko für Ihr Geschäft, nicht nur auf der reinen technischen Schwere.
Klassische Schwachstellenmanagement-Programme erzeugen Tausende von Funden pro Monat. Wenn alles nach reinen Schweregradwerten wie CVSS sortiert wird, sieht fast alles kritisch aus. Sicherheitsteams werden überfordert, Patch-Müdigkeit setzt ein, und die wirklich gefährlichen Schwachstellen gehen unter.
Centraleyezer geht einen anderen Weg. Statt sich auf generische, internetweite Signale wie CVSS oder EPSS zu verlassen, bewertet es jeden Fund mit DREAD, der geschäftlichen Kritikalität des Assets, der Netzwerkexposition des Assets, der Ausnutzbarkeit, CTI-Signalen und einer Mensch-KI-Feedbackschleife, die lernt, wie schnell der Asset-Owner tatsächlich auf Funde reagiert. Das Ergebnis ist eine sortierte Liste, in der die obersten 10 % der Funde mehr als 80 % Ihres tatsächlichen Risikos ausmachen — bezogen auf Ihre Umgebung, nicht auf den Internet-Durchschnitt.
Klassisches VM vs. risikobasiertes VM
Klassisches VM
- Sortiert nur nach reiner Schwere (z. B. CVSS)
- Tausende „kritischer" Funde
- Kein geschäftlicher oder operativer Kontext berücksichtigt
- Teams ĂĽberfordert, nichts wird behoben
- Compliance-Nachweise manuell und fragmentiert
- Asset-Inventar oft veraltet oder unvollständig
Risikobasiertes VM (RBVM)
- Kontextueller Risiko-Score: DREAD + Asset-Kritikalität + Netzwerkexposition + Ausnutzbarkeit + CTI + Mensch-KI-Feedback
- Die obersten 10 % der Funde verursachen ĂĽber 80 % des Risikos
- Geschäftlicher und operativer Kontext im Scoring eingebaut
- Klare priorisierte Behebungs-Warteschlange
- Automatisierte Erfassung von Compliance-Nachweisen
- Kontinuierliche Asset-Discovery und Kritikalitätsbewertung
So funktioniert das kontextuelle Risiko-Scoring von Centraleyezer
Centraleyezer berechnet fĂĽr jede Schwachstelle einen kontextuellen Risiko-Score, indem es sechs Faktoren kombiniert, die den Fund, das Asset, die Bedrohungslage und die Verantwortlichen fĂĽr die Behebung beschreiben:
Hinweis: CVSS, EPSS und CISA KEV werden bewusst nicht als Scoring-Eingaben verwendet — sie beschreiben internetweite Schwere oder Ausnutzungswahrscheinlichkeit, nicht das tatsächliche Risiko in Ihrer spezifischen Umgebung. CVE/CWE-Daten werden weiterhin zur Nachvollziehbarkeit und Berichterstattung erfasst.
DREAD-Score
Damage, Reproducibility, Exploitability, Affected users, Discoverability — ein strukturierter Threat-Modelling-Score, der die inhärente Schwere des Funds in einer Weise erfasst, die realem Angreiferverhalten entspricht.
Asset-Kritikalität
Geschäftliche Bedeutung des betroffenen Assets — pro Asset festgelegt, von niedrig bis kritisch. Derselbe Fund auf einem Payment-Host wird höher bewertet als auf einer Entwickler-Sandbox.
Netzwerkexposition
Wo das Asset im Netzwerk sitzt — internet-fähig, DMZ, intern oder vollständig isoliert. Ein exponiertes Asset erhöht das Risiko jedes Funds, den es trägt.
Ausnutzbarkeit
Wie praktikabel es für einen Angreifer ist, den Fund tatsächlich zu bewaffnen — angesichts Ihrer Asset-Konfiguration, nicht einer generischen Wahrscheinlichkeit über das gesamte Internet.
CTI-Signale
Cyber-Threat-Intelligence zum Fund und zur Asset-Technologie — relevante aktive Kampagnen, Bedrohungsakteure und Targeting-Kontext aus CTI-Feeds.
Mensch-KI-Reaktionsschleife
Centraleyezer lernt davon, wie der Asset-Owner tatsächlich reagiert: Bestätigungszeit, Behebungszeit und Risikoakzeptanz-Muster. Langsam reagierende Owner erhöhen das operative Risiko ihrer Assets; schnell reagierende senken es.
RBVM ist jetzt eine regulatorische Anforderung
Europäische Vorschriften haben strukturiertes Schwachstellenmanagement für viele Organisationen verpflichtend gemacht. Das fordert jeder Rahmen:
Artikel 21 schreibt „Vulnerability Handling und Disclosure" als eine der 10 Mindestsicherheitsmaßnahmen vor. Organisationen müssen einen dokumentierten, risikobasierten Prozess haben.
Artikel 9 fordert „IKT-Risikomanagement" einschließlich Schwachstellen-Scanning, Risikobewertung und dokumentierter Behebungsprozesse mit SLAs für Finanzunternehmen.
Anhang-A-Kontrolle A.8.8 (Management technischer Schwachstellen) verlangt einen systematischen Ansatz zur Identifizierung und Behebung von Schwächen.
Anforderung 6 schreibt zeitnahes Patchen von Schwachstellen vor, mit spezifischen SLAs fĂĽr kritische (1 Monat) und hohe (3 Monate) Schwere.
Häufig gestellte Fragen
Was ist risikobasiertes Schwachstellenmanagement (RBVM)?
RBVM ist ein Ansatz für Schwachstellenmanagement, der Behebungsmaßnahmen nach dem tatsächlichen Geschäftsrisiko jeder Schwachstelle priorisiert — statt jede CVE mit gleicher Dringlichkeit zu behandeln. Centraleyezer kombiniert DREAD-Scoring, Asset-Kritikalität, Netzwerkexposition, Ausnutzbarkeit, CTI-Signale und eine Mensch-KI-Feedbackschleife, die das Risiko an die Reaktionszeit des Asset-Owners anpasst — pro Fund ein kontextueller Risiko-Score.
Wie unterscheidet sich RBVM vom klassischen Schwachstellenmanagement?
Klassisches VM sortiert Schwachstellen nach reiner Schwere (typischerweise CVSS), was zu Tausenden „kritischer" Funde führt, die Sicherheitsteams überfordern. RBVM fügt geschäftlichen und operativen Kontext hinzu: Wie kritisch ist dieses Asset? Ist es internet-fähig oder isoliert? Hat der Owner historisch schnell oder langsam auf ähnliche Funde reagiert? Das engt die Liste auf die Schwachstellen ein, die Ihr Geschäft tatsächlich bedrohen.
Verwendet Centraleyezer CVSS, EPSS oder CISA KEV im Risiko-Scoring?
Nein. Der kontextuelle Risiko-Score von Centraleyezer basiert auf DREAD, Asset-Kritikalität, Netzwerkexposition, Ausnutzbarkeit, CTI-Signalen und einer Mensch-KI-Feedbackschleife. CVSS, EPSS und Active-Exploitation-Feeds (wie CISA KEV) werden bewusst nicht als Scoring-Eingaben verwendet — sie spiegeln generische technische Schwere oder Ausnutzungswahrscheinlichkeit über das gesamte Internet wider, nicht das tatsächliche Risiko in Ihrer Umgebung. CVE/CWE-Daten werden weiterhin zur Nachvollziehbarkeit erfasst, aber die Priorisierung kommt aus dem kontextuellen Modell.
Hilft RBVM bei der NIS2-Compliance?
Ja. NIS2 Artikel 21 verlangt ausdrücklich, dass Organisationen „Vulnerability Handling und Disclosure" als technische Sicherheitsmaßnahme umsetzen. Ein risikobasierter Ansatz zeigt, dass Sie einen strukturierten, dokumentierten Prozess zur Identifizierung, Priorisierung und Behebung von Schwachstellen haben — genau das, wonach NIS2-Auditoren suchen.
Was ist die „Mensch-KI"-Komponente im Centraleyezer-Scoring?
Risiko-Scores sind nicht statisch. Centraleyezer lernt davon, wie jeder Asset-Owner tatsächlich reagiert: wie schnell Funde auf seinen Assets bestätigt, behoben oder akzeptiert werden. Ein Asset eines langsam reagierenden Teams wird als höheres operatives Risiko behandelt als dasselbe Asset eines schnell reagierenden Teams — auch wenn die zugrunde liegende Schwachstelle identisch ist. Das gibt Sicherheitsverantwortlichen ein realistischeres Bild davon, wo das Risiko in der Organisation tatsächlich liegt.
Wie schnell können wir RBVM einführen?
Mit Centraleyezer können Sie Ihre vorhandenen Schwachstellen-Scanner anbinden, Ihr Asset-Inventar importieren und innerhalb von Stunden risiko-priorisierte Funde sehen. Kein Rip-and-Replace Ihrer vorhandenen Tools nötig.
Ist RBVM fĂĽr kleine Sicherheitsteams geeignet?
Besonders. Kleine Teams können nicht jede Schwachstelle bearbeiten — RBVM zeigt ihnen genau, welche 5–10 % der Funde über 80 % ihres tatsächlichen Risikos ausmachen, und macht begrenzte Ressourcen dramatisch effektiver.