Richtlinie zum Schwachstellenmanagement und Patch-Management

Die Richtlinie zum Schwachstellenmanagement und Patch- und Firmware-Management (P19) definiert den strukturierten Ansatz für die Identifizierung, Klassifizierung, Behebung und Überwachung technischer Schwachstellen und Softwarefehler in allen Assets, die durch das Informationssicherheits-Managementsystem (ISMS) der Organisation gesteuert werden. Primäres Ziel ist es, die Risikoexposition durch nicht adressierte Schwächen zu reduzieren, indem ein koordinierter Prozess für Schwachstellenanalyse, Priorisierung, Abhilfemaßnahmen und Compliance-Nachverfolgung sichergestellt wird, zugeschnitten auf die operativen Prioritäten und die für die Organisation relevante regulatorische Landschaft. Die Richtlinie gilt unternehmensweit für alle Informationssysteme, Anwendungen, IT-Infrastruktur, Firmware, Cloud-Ressourcen, Programmierschnittstellen, Endpunkte, Server, virtuelle Infrastruktur und Drittparteien-Plattformen – unabhängig von der Hosting-Umgebung. Sie ist sowohl für interne Teams als auch für externe Drittdienstleister verbindlich und schreibt einen vollständigen Lebenszyklusansatz vor: von regelmäßigen Schwachstellenscans und Discovery über Risiko-Scoring und Patch-Beschaffung bis hin zu fristgerechter Bereitstellung, Ausnahmebehandlung, Überwachung und Berichterstattung. Besonderer Schwerpunkt liegt auf authentifizierten, risikoadjustierten Scans in definierten Intervallen, insbesondere für Assets mit externer Angriffsfläche oder hohem Wert, einschließlich zugehöriger Verfahren für das Onboarding neuer Systeme und die Aufrechterhaltung der Compliance über den gesamten Lebenszyklus. Rollen und Verantwortlichkeiten sind präzise festgelegt, um Rechenschaftspflicht zu fördern. Der Chief Information Security Officer (CISO) verantwortet die Richtlinienintegration und Risikoausrichtung; die Leitung des Schwachstellenmanagements überwacht die operative Umsetzung; System- und Anwendungsverantwortliche sind für die Umsetzung von Abhilfemaßnahmen und die Validierung der Systemstabilität zuständig; IT-Betriebsteams führen Änderungen innerhalb festgelegter Zeitfenster aus; und Sicherheitsanalysten stellen durch kontinuierliche Überwachung und Bedrohungserkennung sowie aktualisierte Risikobeurteilungen die erforderliche Wachsamkeit sicher. Für Drittanbieter bestehen formale Anforderungen, damit externe Systeme dieselben Service-Level-Agreements (SLAs) für Patches einhalten, einschließlich regelmäßiger Audits und Kontrollen ihrer Patch- und Firmware-Management-Prozesse. Ein Governance-Modell, einschließlich eines zentral gepflegten Schwachstellenmanagement-Registers und risikobasierter Service-Level-Agreements (SLAs), bildet die Grundlage der Richtlinie. Das System erzwingt Patch-Dringlichkeit nach Schweregrad (gemäß CVSS-Scoring), Asset-Kritikalität und Exposition und integriert sich in die Änderungsmanagement-Richtlinie zur Sicherstellung von Nachvollziehbarkeit und Stabilität. Detaillierte Protokolle für Ausnahmen legen Anforderungen an formale Genehmigung, kompensierende Kontrollen, Überprüfungsrhythmus, Zeitbegrenzungen für kritische Risiken sowie die verpflichtende Nachverfolgung in festgelegten ISMS-Registern fest. Die Durchsetzung der Richtlinie stützt sich auf kontinuierliche Überwachung der Einhaltung, Statusverfolgung und strukturierte Eskalation. Die Richtlinie schreibt außerdem Audits, retrospektive Untersuchungen nach Sicherheitsvorfällen sowie ein robustes Überprüfungs- und Aktualisierungsprotokoll vor, um die fortlaufende Ausrichtung an sich entwickelnden regulatorischen Verpflichtungen, technologischen Änderungen und relevanter Threat Intelligence sicherzustellen. Sie ist direkt mit grundlegenden Richtlinien verknüpft, darunter Informationssicherheitspolitik, Änderungsmanagement, Risikomanagement, Asset-Management, Protokollierungs- und Überwachungsrichtlinie sowie Incident Response, um eine durchgängige Abdeckung sicherzustellen.