Spezialist - Vulnerability Management (Schwachstellenmanagement)

Branche: Gesundheitswesen / MedTech Funktion: Spezialist Vulnerability Management Verantwortungsbereiche: Aufbau eines Schwachstellenmanagements im Bereich Softwareentwicklung / Bereitstellung und IT-Infrastruktur Erstellung von SBOM’s über Cyclonde-DX und Einbindung in die CI /CD Quellcode Analysen mit SonarSource – Abstimmung mit den Entwicklern Linux Infrastruktur Konfigurationsschwachstellen Scans mit Lynis Schwachstellen Analyse mit Dependancy-Track Docker Container Schwachstellenscans mit Trivy Kubernetes Configuration Vulnerability Scans auf Basis von CIS Framework mit kube-Bench Schreiben von Management Reports & Planung von Behebungsstrategien (Mitigation) Dokumentation der Vorgehensweise und Ergebnisse basierend des ermittelten Risikos (Risikoanalyse) sowie unter Verwendung von Indikatoren wie Ausnutzbarkeit und Eintrittswahrscheinlichkeit (angelehnt an CVSS)

IT-Security Analyst - Vulnerability Management (Schwachstellenmanagement)

Branche: Banken / Finanzwesen Funktion: IT-Security Analyst Verantwortungsbereiche: Design, Implementierung und kontinuierliche Verbesserung zugehöriger Prozesse sowie Metriken zur Steuerung des Vulnerability Managements Betrieb und Weiterentwicklung der Vulnerability Scanning Platform Tenable Security Center Planung und Koordination des Nessus Agent Rollouts Planung und Durchführung von Schwachstellenscans im Windows- und Linux-Umfeld (Windows Client/Server, Debian, Red Hat) Analyse und Bewertung von identifizierten Schwachstellen basierend auf der Kritikalität sowie dem Impact auf das Unternehmen Koordination von Maßnahmen zur nachhaltigen Schwachstellenbehebung sowie Optionen zur Risikomitigierung

Projektverantwortlicher - Vulnerability Management gemäß NIST 800-171 R2 & R3

Branche: Industriekonzern Funktion: Projektverantwortlicher Verantwortungsbereiche: Design, Implementierung und kontinuierliche Verbesserung zugehöriger Prozesse sowie Metriken zur Steuerung des Vulnerability Managements Aufbau, Betrieb und Dokumentation der Vulnerability Scanning Platform Tenable Security Center Plus in einem abgeschotteten („air-gapped“) Netzwerk Planung und Installation der Nessus Agents sowie Koordination des erweiterten Rollouts unter Windows und Linux Erstellung und Implementierung an das Ziel angepasster Scanpolicies Planung und Durchführung von Schwachstellenscans (lokal sowie netzwerkbasiert) Analyse und Bewertung von identifizierten Schwachstellen basierend auf der Kritikalität sowie dem Impact auf das Unternehmen Koordination von Maßnahmen zur nachhaltigen Schwachstellenbehebung sowie Optionen zur Risikomitigierung

Projektverantwortlicher - Aufbau & Implementierung Vulnerability Management Programm

Branche: Banken / Finanzwesen Funktion: Projektverantwortlicher Verantwortungsbereiche: Analyse der festgestellten Defizite aus §44 IT-Sonderprüfung BaFin sowie Erstellung von Management Action Plänen und Strategien zur Behandlung der Risiken für den Projekt-Stream Schwachstellenmanagement Entwicklung detaillierter Maßnahmenpläne sowie einer Roadmap zur nachhaltigen Behebung der Defizite Design, Implementierung und kontinuierliche Verbesserung zugehöriger Prozesse sowie Metriken zur Steuerung des Vulnerability Aufbau, Betrieb und Weiterentwicklung der Vulnerability Scanning Platform Tenable Security Center Planung und Koordination des Nessus Agent Rollouts Planung und Durchführung von Schwachstellenscans Analyse und Bewertung von identifizierten Schwachstellen basierend auf der Kritikalität sowie dem Impact auf das Unternehmen Koordination von Maßnahmen zur nachhaltigen Schwachstellenbehebung sowie Optionen zur Risikomitigierung

Projektverantwortlicher - Vulnerability Management Lead

Branche: Banken / Finanzwesen Funktion: Projektverantwortlicher Verantwortungsbereiche: Konzeption, Aufbau, Betrieb, Weiterentwicklung und Globalisierung einer Vulnerability Scanning Plattform tenable.sc / Nessus in einer KRITIS relevanten Umgebung Integration der Vulnerability Scanning Plattform Ergebnisse in eine zentralisierte Vulnerabiltity Management Konsolidierungsplattform (Kenna) Monitoring des Betriebszustands und Troubleshooting der Vulnerability Scanning Plattform Design, Implementierung und kontinuierliche Verbesserung zugehöriger Prozesse sowie Metriken zur Steuerung des Vulnerability Managements Aufbau und kontinuierliche Weiterentwicklung eines Reporting zur Steuerung der Schwachstellenbehebung und Metriken für die Bewertung der Prozessqualität Kommunikation und zeitnahe Nachverfolgung des Behebungsstatus identifizierter Schwachstellen mit verantwortlichen Stakeholdern Analyse und Risikobewertung der aktuellen Sicherheitslage zu veröffentlichten Schwachstellen unter Berücksichtigung von Angriffsszenarien und Gefahren-Aktivität sowie verfügbarem Schadcode Koordination von Maßnahmen zur nachhaltigen Schwachstellenbehebung sowie Beratung hinsichtlich Optionen zur Risikomitigierung unter Einhaltung der Service Level Agreements Steuerung des Providers zur Schwachstellenidentifikation extern erreichbarer Infrastruktur Koordination zwischen internen Teams und des externen Providers hinsichtlich benötigter Ressourcen und Informationen

Berater - Einführung Patch & Vunerability Management

Branche: Banken / Finanzwesen Funktion: Berater Verantwortungsbereiche: Konzeption, Aufbau, und Betrieb einer Vulnerability Scanning Lösung auf Basis von Tenable Nessus in einer KRITIS relevanten Umgebung Monitoring des Betriebszustands und Troubleshooting der Vulnerability Scanning Plattform Design, Implementierung und kontinuierliche Verbesserung zugehöriger Prozesse im Bereich Patch- und Vulnerability Management sowie Metriken zur Steuerung Aufbau und kontinuierliche Weiterentwicklung eines Reporting zur Steuerung der Schwachstellenbehebung und Metriken für die Bewertung der Prozessqualität Kommunikation und zeitnahe Nachverfolgung des Behebungsstatus identifizierter Schwachstellen mit verantwortlichen Stakeholdern Analyse und Risikobewertung der aktuellen Sicherheitslage zu veröffentlichten Schwachstellen unter Berücksichtigung von Angriffsszenarien und Gefahren-Aktivität sowie verfügbarem Schadcode Koordination von Maßnahmen zur nachhaltigen Schwachstellenbehebung sowie Beratung hinsichtlich Optionen zur Risikomitigierung unter Einhaltung der Service Level Agreements

Projektmitarbeiter - Aufbau eines Vulnerability Managements (Schwachstellenmanagement)

Branche: Security Operations Funktion: Projektmitarbeiter Verantwortungsbereiche: Erfassung des Software- & Hardwareinventars Einbindung von Clients in ein zentrales Überwachungssystem Durchführung von automatisierten und bei Bedarf manuellen Vulnerability Scans/ Schwachstellenscans Durchführung von Schwachstellenanalysen Bearbeitung der Ergebnisse aus Schwachstellenanalysen und Feststellung von Schwachstellen Detaillierte Dokumentation der technischen Details

Welche Prozesse umfasst das Vulnerability Management?

Ein effektives Vulnerability Management besteht aus mehreren aufeinander abgestimmten Prozessen, die gemeinsam für eine kontinuierliche Erkennung, Bewertung und Behandlung von Schwachstellen sorgen: 1. Asset- & Inventory Management Grundlage jedes Schwachstellenmanagements ist eine vollständige und gepflegte Inventarisierung: IT-Assets inkl. Netzwerkzonen, Asset-Klasse, Umgebung Integration mit CMDB oder zentralem Inventory Lifecycle-Informationen (z. B. Betrieb, Test, Außerbetriebnahme) 2. Vulnerability Scanning & Assessment Planung & Durchführung von Schwachstellenscans (z. B. nach Intervall, Asset-Klasse, Scantyp) Bewertung nach Kritikalität, z. B. per CVSS oder VPR Identifikation neuer Verwundbarkeiten (z. B. Zero Days) 3. Reconciliation & Reporting Abgleich der Scan-Ergebnisse mit dem Asset-Inventar Eskalationspfade bei fehlenden oder falsch konfigurierten Assets Reporting an IT, CISO & Management 4. Scan Policy Management Pflege & Review der eingesetzten Scan-Policies Regelmäßige Anpassung an neue Bedrohungen oder interne Anforderungen Dokumentation von Ausnahmen (z. B. produktionskritische Systeme) 5. Schnittstelle zu Patch- & Risk Management Enge Verzahnung mit Patch-Prozessen zur Risikomitigation Integration in das übergeordnete Risk Management (z. B. BIA, Risikoakzeptanz, Transfer)

Welche Rollen gibt es im Vulnerability Management?

Ein funktionierendes Schwachstellenmanagement erfordert klare Verantwortlichkeiten. Typischerweise sind folgende Rollen beteiligt: Information Security Officer (ISO): Der ISO trägt die Gesamtverantwortung für das Vulnerability Management. Er definiert die Ziele, steuert den Prozess und stellt sicher, dass alle Maßnahmen dokumentiert und korrekt umgesetzt werden. Bei Abweichungen initiiert er Korrekturmaßnahmen. Vulnerability Management Engineer: Der VM Engineer ist für die technische Umsetzung verantwortlich: - Konfiguration der Scans (z. B. Scantyp, Häufigkeit) - Wartung der Scanner-Infrastruktur - Support bei Problemen während der Durchführung Asset Owner: Der Asset Owner ist für die Systeme verantwortlich, die gescannt werden. Er bewertet die Ergebnisse und entscheidet über: - geeignete Gegenmaßnahmen (z. B. Patch-Einspielung) - Alternativmaßnahmen oder Risikoakzeptanz (in Absprache mit dem ISO) IT System Engineer: Der IT Engineer setzt die Maßnahmen technisch um, z. B. durch: - das Einspielen von Patches - das Implementieren von Mitigationsmaßnahmen Ziel ist es, Risiken effektiv zu senken oder vollständig zu beseitigen.

Wie oft sollte man Schwachstellenscans durchführen?

Die Häufigkeit hängt von der Kritikalität Ihrer Systeme, regulatorischen Anforderungen und der Größe Ihrer IT-Umgebung ab. In der Praxis haben sich folgende Intervalle etabliert: Kritische Systeme / Cloud / Internet-facing → wöchentlich oder täglich Produktivsysteme → monatlich Low-Impact-Systeme / interne Testsysteme → quartalsweise Gemäß ISO 27001 , BSI-Grundschutz und DORA sind regelmäßige Schwachstellenscans verpflichtend. Unser Tipp: Vulnerability Management Scans as a Service Lösungen bieten eine skalierbare Möglichkeit, automatische Scans im gewünschten Turnus umzusetzen.

Wie funktioniert automatisiertes Schwachstellenmanagement?

Bei Vulnerability Scanning as a Service (VSaaS) übernimmt eine cloudbasierte Plattform das kontinuierliche Schwachstellenmanagement: Automatisierte Scans im definierten Turnus Priorisierung nach Risiko und Business Impact Dashboard-Übersicht für CISO, IT und Management Optional: Handlungsempfehlungen & Mitigations-Support VSaaS reduziert manuelle Aufwände, sorgt für Transparenz und erleichtert die Erfüllung regulatorischer Anforderungen.

Welche drei Arten von Schwachstellenscans unterscheidet man?

Die Wahl des richtigen Scantyps ist entscheidend für die Qualität Ihrer Schwachstellenanalyse. Je nach Systemlandschaft, Sicherheitsanforderung und Scan-Ziel kommen unterschiedliche Methoden zum Einsatz. Wir unterstützen Sie gern bei der Auswahl, Konfiguration und Bewertung der passenden Scanverfahren. 1. Netzwerkbasierte Scans Netzwerkbasierte Schwachstellenscans analysieren ein System „von außen“ , ohne sich darauf anzumelden. Dabei wird je nach Konfiguration entweder eine typische Portauswahl oder die gesamte Portrange (1–65535) gescannt. Der Fokus liegt auf öffentlich erreichbaren Ports, Diensten und netzwerkbasierten Schwachstellen . Diese Scanmethode eignet sich besonders für : die Erkennung von exponierten Systemen die Überprüfung von Firewalls und Zugriffskontrollen den Einsatz in DMZs, externen erreichbaren Systemen oder Cloud-Umgebungen Wichtig zu wissen: Da der Scanner keinen Zugriff auf das Betriebssystem hat, bleiben lokale Schwachstellen (z. B. veraltete Bibliotheken, unsichere Konfigurationen, ungepatchte Software) unerkannt . Für tiefere Analysen empfehlen wir ergänzend authentifizierte oder agent-basierte Scans. 2. Authentifizierte Scans Authentifizierte Schwachstellenscans greifen direkt auf das Zielsystem zu. Etwa via SSH (Linux/Unix) oder SMB (Windows) . Dadurch ermöglichen sie eine umfassendere Sicherheitsbewertung , da nicht nur externe Dienste, sondern auch lokale Schwachstellen, veraltete Softwarepakete und fehlerhafte Konfigurationen erkannt werden. Diese Scans sind besonders geeignet für : produktive Server und sicherheitskritische Systeme die Prüfung interner Schwachstellen auf Betriessystem- und Anwendungsebene Umgebungen mit hohen regulatorischen Anforderungen (z.B. ISO 27001 , NIS2 , DORA ) Hinweis: Authentifizierte Scans erfordern privilegierte Benutzerkonten auf allen Zielsystemen, meist mit Root- oder Administratorrechten. Bei Windows-Systemen kann ein zentraler Scan-User für Domänenumgebungen genutzt werden.Die Zugangsdaten müssen besonders geschützt werden, da sie weitreichende Berechtigungen enthalten. 3. Agent-basierte Scans Agent-basierte Schwachstellenscans setzen auf lokale Software-Agents , die direkt auf den Zielsystemen installiert werden. Diese Methode eignet sich besonders für Assets, die nicht dauerhaft erreichbar sind. Etwa Laptops, mobile Geräte oder Homeoffice-Systeme . Die Scans laufen minimal invasiv im Hintergrund und übertragen die Ergebnisse automatisch, sobald eine Netzverbindung besteht. Damit ermöglichen sie eine verlässliche Schwachstellenanalyse auch außerhalb klassischer Netzwerkstrukturen . Typische Einsatzbereiche : Remote-Arbeitsplätze, Außendienstgeräte, mobile Clients Systeme mit eingeschränkter Verfügbarkeit oder getrennter Netzwerkanbindung Ergänzung zu Netzwerk- und authentifizierten Scans für umfassende Abdeckung Wichtig zu beachten: Der Rollout und die Wartung der Agents erfordern technischen Aufwand . Außerdem erkennen Agent-basierte Scans keine netzwerkbasierten Schwachstellen (z. B. offen erreichbare Ports). Daher sollten sie immer Teil einer kombinierten Strategie sein.

Welche Arten von Schwachstellen gibt es?

Schwachstellen lassen sich grob in folgende Kategorien einteilen: Technische Schwachstellen (z. B. veraltete Software, Fehlkonfigurationen, ungeschützte Dienste) Prozessuale Schwachstellen (z. B. fehlende Updates, unklare Zuständigkeiten) Menschliche Schwachstellen (z. B. Phishing, Social Engineering)

Proaktives Schwachstellenmanagement

Pragmatisch | Effektiv | Compliant

Vulnerability Management

Sie suchen erfahrene Experten, die Schwachstellen identifizieren, bewerten und regulatorische Anforderungen in effektive Sicherheitsprozesse übersetzen?
Ob Scans, Analyse oder Maßnahmenplanung: Wir unterstützen Sie pragmatisch und effektiv beim Aufbau eines wirksamen Vulnerability Managements.

Kostenlosen Beratungstermin vereinbaren

Apollon Security Unterstützung beim pragmatischen und effektiven Aufbau eines wirksamen Vulnerability Managements.

Ihre Vorteile im Überblick

Risikobasierte Priorisierung: Automatisierte Scans kombiniert mit hausinterner Threat Intelligence
Rechtssichere Compliance: BSI‑Grundschutz, ISO 27001, DORA, NIS2, DSGVO etc.
Expertenunterstützung: Beratung und Support von der Konfiguration (z.B. Nessus) bis zur Validierung
Flexible Integration: Ad‑hoc oder im regelmäßigen Turnus – individuell anpassbar
Sofort verfügbar und skalierbar: Keine Einarbeitung nötig, direkt startklar
Professionelles Reporting: Verständlich für Vorstand und technisch detailliert für CISOs
Budgetklarheit: Transparente Pakete, keine versteckten Kosten

Einblick in erfolgreich umgesetzte Projekte und Expertise der Apollon Security

Unsere Expertise im Überblick

Um Ihnen einen Einblick in erfolgreich umgesetzte Projekte und unsere Expertise im Bereich Schwachstellenmanagement zu geben, haben wir nachfolgend einige anonymisierte Referenzen für Sie zusammengestellt.

Sie möchten darüber hinaus erfahren, wie wir Unternehmen in weiteren Themenfeldern wie Cyber Security, DORA, NIS2, ISO27001 oder Business Continuity Management (BCM) erfolgreich unterstützen?
Entdecken Sie hier weitere ausgewählte Referenzprojekte aus unterschiedlichen Branchen:

Weitere Referenzen ansehen

Vulnerability Management Referenzprojekte

Branche:
Gesundheitswesen / MedTech

Funktion:
Spezialist Vulnerability Management

Verantwortungsbereiche:

Aufbau eines Schwachstellenmanagements im Bereich Softwareentwicklung / Bereitstellung und IT-Infrastruktur
Erstellung von SBOM’s über Cyclonde-DX und Einbindung in die CI /CD
Quellcode Analysen mit SonarSource – Abstimmung mit den Entwicklern
Linux Infrastruktur Konfigurationsschwachstellen Scans mit Lynis
Schwachstellen Analyse mit Dependancy-Track
Docker Container Schwachstellenscans mit Trivy
Kubernetes Configuration Vulnerability Scans auf Basis von CIS Framework mit kube-Bench
Schreiben von Management Reports & Planung von Behebungsstrategien (Mitigation)
Dokumentation der Vorgehensweise und Ergebnisse basierend des ermittelten Risikos (Risikoanalyse) sowie unter Verwendung von Indikatoren wie Ausnutzbarkeit und Eintrittswahrscheinlichkeit (angelehnt an CVSS)

Branche:
Banken / Finanzwesen

Funktion:
IT-Security Analyst

Verantwortungsbereiche:

Design, Implementierung und kontinuierliche Verbesserung zugehöriger Prozesse sowie Metriken zur Steuerung des Vulnerability Managements
Betrieb und Weiterentwicklung der Vulnerability Scanning Platform Tenable Security Center
Planung und Koordination des Nessus Agent Rollouts
Planung und Durchführung von Schwachstellenscans im Windows- und Linux-Umfeld (Windows Client/Server, Debian, Red Hat)
Analyse und Bewertung von identifizierten Schwachstellen basierend auf der Kritikalität sowie dem Impact auf das Unternehmen
Koordination von Maßnahmen zur nachhaltigen Schwachstellenbehebung sowie Optionen zur Risikomitigierung

Branche:
Industriekonzern

Funktion:
Projektverantwortlicher

Verantwortungsbereiche:

Design, Implementierung und kontinuierliche Verbesserung zugehöriger Prozesse sowie Metriken zur Steuerung des Vulnerability Managements
Aufbau, Betrieb und Dokumentation der Vulnerability Scanning Platform Tenable Security Center Plus in einem abgeschotteten („air-gapped“) Netzwerk
Planung und Installation der Nessus Agents sowie Koordination des erweiterten Rollouts unter Windows und Linux
Erstellung und Implementierung an das Ziel angepasster Scanpolicies
Planung und Durchführung von Schwachstellenscans (lokal sowie netzwerkbasiert)
Analyse und Bewertung von identifizierten Schwachstellen basierend auf der Kritikalität sowie dem Impact auf das Unternehmen
Koordination von Maßnahmen zur nachhaltigen Schwachstellenbehebung sowie Optionen zur Risikomitigierung

Branche:
Banken / Finanzwesen

Funktion:
Projektverantwortlicher

Verantwortungsbereiche:

Analyse der festgestellten Defizite aus §44 IT-Sonderprüfung BaFin sowie Erstellung von Management Action Plänen und Strategien zur Behandlung der Risiken für den Projekt-Stream Schwachstellenmanagement
Entwicklung detaillierter Maßnahmenpläne sowie einer Roadmap zur nachhaltigen Behebung der Defizite
Design, Implementierung und kontinuierliche Verbesserung zugehöriger Prozesse sowie Metriken zur Steuerung des Vulnerability
Aufbau, Betrieb und Weiterentwicklung der Vulnerability Scanning Platform Tenable Security Center
Planung und Koordination des Nessus Agent Rollouts
Planung und Durchführung von Schwachstellenscans
Analyse und Bewertung von identifizierten Schwachstellen basierend auf der Kritikalität sowie dem Impact auf das Unternehmen
Koordination von Maßnahmen zur nachhaltigen Schwachstellenbehebung sowie Optionen zur Risikomitigierung

Branche:
Banken / Finanzwesen

Funktion:
Projektverantwortlicher

Verantwortungsbereiche:

Konzeption, Aufbau, Betrieb, Weiterentwicklung und Globalisierung einer Vulnerability Scanning Plattform tenable.sc / Nessus in einer KRITIS relevanten Umgebung
Integration der Vulnerability Scanning Plattform Ergebnisse in eine zentralisierte Vulnerabiltity Management Konsolidierungsplattform (Kenna)
Monitoring des Betriebszustands und Troubleshooting der Vulnerability Scanning Plattform
Design, Implementierung und kontinuierliche Verbesserung zugehöriger Prozesse sowie Metriken zur Steuerung des Vulnerability Managements
Aufbau und kontinuierliche Weiterentwicklung eines Reporting zur Steuerung der Schwachstellenbehebung und Metriken für die Bewertung der Prozessqualität
Kommunikation und zeitnahe Nachverfolgung des Behebungsstatus identifizierter Schwachstellen mit verantwortlichen Stakeholdern
Analyse und Risikobewertung der aktuellen Sicherheitslage zu veröffentlichten Schwachstellen unter Berücksichtigung von Angriffsszenarien und Gefahren-Aktivität sowie verfügbarem Schadcode
Koordination von Maßnahmen zur nachhaltigen Schwachstellenbehebung sowie Beratung hinsichtlich Optionen zur Risikomitigierung unter Einhaltung der Service Level Agreements
Steuerung des Providers zur Schwachstellenidentifikation extern erreichbarer Infrastruktur
Koordination zwischen internen Teams und des externen Providers hinsichtlich benötigter Ressourcen und Informationen

Branche:
Banken / Finanzwesen

Funktion:
Berater

Verantwortungsbereiche:

Konzeption, Aufbau, und Betrieb einer Vulnerability Scanning Lösung auf Basis von Tenable Nessus in einer KRITIS relevanten Umgebung
Monitoring des Betriebszustands und Troubleshooting der Vulnerability Scanning Plattform
Design, Implementierung und kontinuierliche Verbesserung zugehöriger Prozesse im Bereich Patch- und Vulnerability Management sowie Metriken zur Steuerung
Aufbau und kontinuierliche Weiterentwicklung eines Reporting zur Steuerung der Schwachstellenbehebung und Metriken für die Bewertung der Prozessqualität
Kommunikation und zeitnahe Nachverfolgung des Behebungsstatus identifizierter Schwachstellen mit verantwortlichen Stakeholdern
Analyse und Risikobewertung der aktuellen Sicherheitslage zu veröffentlichten Schwachstellen unter Berücksichtigung von Angriffsszenarien und Gefahren-Aktivität sowie verfügbarem Schadcode
Koordination von Maßnahmen zur nachhaltigen Schwachstellenbehebung sowie Beratung hinsichtlich Optionen zur Risikomitigierung unter Einhaltung der Service Level Agreements

Branche:
Security Operations

Funktion:
Projektmitarbeiter

Verantwortungsbereiche:

Erfassung des Software- & Hardwareinventars
Einbindung von Clients in ein zentrales Überwachungssystem
Durchführung von automatisierten und bei Bedarf manuellen Vulnerability Scans/ Schwachstellenscans
Durchführung von Schwachstellenanalysen
Bearbeitung der Ergebnisse aus Schwachstellenanalysen und Feststellung von Schwachstellen
Detaillierte Dokumentation der technischen Details

Wann Ihr Unternehmen handeln sollte

Vulnerability Management

Schwachstellen entstehen täglich – durch neue Software, veränderte Systeme oder aktuelle Bedrohungen. Ein strukturiertes Schwachstellenmanagement ist daher kein „Nice to have“, sondern essenzieller Bestandteil moderner IT-Sicherheit.

Typische Anwendungsfälle:

Bei regulatorischen Anforderungen (z. B. ISO 27001, BSI-Grundschutz, DORA, NIS2)
Vor Sicherheits‑ oder Zertifizierungsaudits
Nach Bekanntwerden kritischer Schwachstellen (z. B. Log4Shell, MOVEit, CitrixBleed)
Beim Betrieb kritischer Infrastrukturen oder cloudbasierter Systeme
Zur Unterstützung Ihres ISMS oder zur Vorbereitung eines Penetrationstests
Bei hohem Schutzbedarf sensibler Daten (z. B. im Gesundheits- oder Finanzwesen)
Zur Erfüllung von Kunden- oder Partneranforderungen an Ihre IT-Sicherheit

Anwendungsfälle beim Schwachstellenmanagement

Die Apollon Security macht Unternehmen compliance-ready

Vulnerability Management mit Apollon Security

Sie möchten Schwachstellenmanagement intern umsetzen oder doch lieber effizient auslagern?
In beiden Fällen bieten wir Ihnen einen strukturierten, praxisbewährten Ansatz, der Ihre IT-Systeme sicherer, Ihre Prozesse nachvollziehbar und Ihre Organisation compliance-ready macht.

Managed Service

Vulnerability Scans as a Service

Werden Ihre Systeme regelmäßig gepatcht?
Behalten Sie jederzeit den Überblick über aktuelle Bedrohungen?
Wir unterstützen Sie mit einer bewährten Kombination aus automatisierter Schwachstellenerkennung, intelligenter Priorisierung und zielgerichteter Mitigation.
Zum Einsatz kommt dabei sowohl eine hauseigene VSaaS-Plattform als auch die langjährige Erfahrung im Schwachstellenmanagement.
So erhalten Sie einen strukturierten, priorisierten Überblick über sicherheitsrelevante Schwachstellen.

Unsere Vulnerability Scanning Pakete

Bronze

Einmaliger automatisierter Scan
Standard Scaneinstellungen bis 5 IPs
Nessus Scanrohdaten
Initiales Setup 89 Euro

Jetzt anfragen

Silber

1 Scan im Monat
Profi-Scaneinstellungen
EU-DSGVO-konformer Scan aus DE
Bis 20 IPs
Professioneller Report
Regulatorische Compliance
Keine Setup-Gebühren
Technischer VM Scan-Support

Inklusive aller Bronze Vorteile

Jetzt anfragen

BEST VALUE

Gold

2 Scans im Monat
Upgrade auf wöchentliche Scans für 999 Euro
Bis zu 100 IPs
Change / Diff Reports
Threat Intelligence
2 AdHoc-Einzelscans
Add-On: Jährliche Penetration Tests

Inklusive aller Bronze + Silber Vorteile

Jetzt anfragen

Platin

4 Scans im Monat
Bis 300 IPs
Manuelles Vetting kritischer Schwachstellen
Monatlicher Workshop mit Senior VM-Experten
Customized Reporting
20 AdHoc-Einzelscans
Add-On: Halbjährliche Penetration Tests

Inklusive aller Bronze + Silber + Gold Vorteile

Jetzt anfragen

Schwachstellenscans unter DORA

Onboarding Prozess einer VSaaS Plattform

Unser Vorgehen

Vulnerability Scans as a Service Modell

Sie möchten Schwachstellenmanagement effizient auslagern?
Mit unserer VSaaS-Plattform bieten wir Ihnen eine schlanke, sofort nutzbare Lösung, inklusive Setup, Betrieb und Reporting. Ideal für Unternehmen, die wenig interne Ressourcen haben, aber volle Sichtbarkeit und regulatorische Sicherheit benötigen.

Der Onboarding-Ablauf:

Initialisierung & Zieldefinition
Onboarding-Workshop, Festlegung des Scopes und der Prüftiefe
Vorbereitung & Konfiguration
Individuelle Scanrichtlinien, Definition von Scanzielen, Zeiträumen und Intervallen
Testscans & Verifikation
Prüfung, ob alle Ziele erreichbar sind und die Konfiguration den Anforderungen entspricht
Regelmäßiger Scanbetrieb
Vollautomatisierte Durchführung der Schwachstellenscans im vereinbarten Turnus
Reporting & Handlungsempfehlungen
Zielgruppengerechte Auswertung, optional mit Expertenreview und konkreten Maßnahmenvorschlägen

Wir lassen Sie nicht hängen

Starker Partner

Wir lassen Sie mit den Ergebnissen aus den Vulnerability Scans nicht einfach hängen.
Unsere Experten unterstützen Sie bei der Validierung identifizierter Schwachstellen, der Bewertung von Mitigationsmöglichkeiten sowie bei allen weiteren sicherheitsrelevanten Fragestellungen, die im Anschluss auftreten können.

Unser Vorgehen

Vulnerability Management Beratung

Sie möchten Schwachstellenmanagement unternehmensweit einführen, reorganisieren oder regulatorisch absichern?
Wir begleiten Sie im Rahmen unserer Beratung mit einem strukturierten Vorgehen – vom Management-Alignment bis zur kontinuierlichen Verbesserung.
Ideal für Unternehmen, die Vulnerability Management nachhaltig und revisionssicher im ISMS verankern möchten.

Unser strategischer Beratungsprozess:

Zielsetzung & Mission Statement
Gemeinsam definieren wir die strategischen Ziele Ihres Schwachstellenmanagements. Dabei berücksichtigen wir regulatorische Anforderungen wie ISO 27001, DORA oder NIS2 und identifizieren besonders schützenswerte Assets.
Gap-Analyse & Reifegradbewertung
Wir analysieren bestehende Prozesse und vergleichen sie mit dem angestrebten Zielbild. So erkennen wir frühzeitig Lücken in Struktur, Zuständigkeiten oder technischen Abläufen.
Abgestimmte Umsetzungsplanung:
Auf Basis der Analyse entwickeln wir konkrete Maßnahmen zur Prozessverbesserung. Diese werden mit relevanten Stakeholdern abgestimmt und in einen realistischen Fahrplan überführt.
Regelmäßige Überprüfung & Optimierung
Nach der Umsetzung begleiten wir die Weiterentwicklung Ihres Schwachstellenmanagements. Neue regulatorische Vorgaben und technische Veränderungen fließen kontinuierlich in den Verbesserungsprozess ein.

FAQs

Die Kosten für ein professionelles Vulnerability Management hängen im Wesentlichen von zwei Faktoren ab: Zum einen von der Anzahl der zu scannenden IP-Adressen, also der Systeme, Endgeräte oder Netzwerkkomponenten, die aktiv auf Schwachstellen geprüft werden sollen. Zum anderen vom Beratungsaufwand, gemessen in Personentagen. Dieser entsteht beispielsweise durch die manuelle Validierung kritischer Schwachstellen, die Erstellung risikobasierter Maßnahmenpläne oder individuelle Reporting-Anforderungen.

In der Praxis zeigt sich, dass sich rund 53 Prozent unserer Kundenprojekte im Kostenrahmen zwischen 399,00 Euro und 1.999,00 Euro bewegen. Das gilt vor allem bei standardisierten Schwachstellenscans mit einem klar definierten Umfang. Bei höheren regulatorischen Anforderungen wie DORA, ISO 27001 oder NIS2 oder bei komplexeren IT-Infrastrukturen steigt der Aufwand entsprechend. Das betrifft insbesondere individuelle Scanrichtlinien, die Integration in ein bestehendes ISMS oder ergänzende Workshops.

Für eine realistische Aufwandseinschätzung genügt in der Regel ein kurzes Scoping-Gespräch. Danach wissen Sie genau, womit Sie rechnen können.

Ein effektives Vulnerability Management besteht aus mehreren aufeinander abgestimmten Prozessen, die gemeinsam für eine kontinuierliche Erkennung, Bewertung und Behandlung von Schwachstellen sorgen:

1. Asset- & Inventory Management
Grundlage jedes Schwachstellenmanagements ist eine vollständige und gepflegte Inventarisierung:

IT-Assets inkl. Netzwerkzonen, Asset-Klasse, Umgebung
Integration mit CMDB oder zentralem Inventory
Lifecycle-Informationen (z. B. Betrieb, Test, Außerbetriebnahme)

2. Vulnerability Scanning & Assessment

Planung & Durchführung von Schwachstellenscans (z. B. nach Intervall, Asset-Klasse, Scantyp)
Bewertung nach Kritikalität, z. B. per CVSS oder VPR
Identifikation neuer Verwundbarkeiten (z. B. Zero Days)

3. Reconciliation & Reporting

Abgleich der Scan-Ergebnisse mit dem Asset-Inventar
Eskalationspfade bei fehlenden oder falsch konfigurierten Assets
Reporting an IT, CISO & Management

4. Scan Policy Management

Pflege & Review der eingesetzten Scan-Policies
Regelmäßige Anpassung an neue Bedrohungen oder interne Anforderungen
Dokumentation von Ausnahmen (z. B. produktionskritische Systeme)

5. Schnittstelle zu Patch- & Risk Management

Enge Verzahnung mit Patch-Prozessen zur Risikomitigation
Integration in das übergeordnete Risk Management (z. B. BIA, Risikoakzeptanz, Transfer)

Ein funktionierendes Schwachstellenmanagement erfordert klare Verantwortlichkeiten.
Typischerweise sind folgende Rollen beteiligt:

Information Security Officer (ISO):
Der ISO trägt die Gesamtverantwortung für das Vulnerability Management. Er definiert die Ziele, steuert den Prozess und stellt sicher, dass alle Maßnahmen dokumentiert und korrekt umgesetzt werden. Bei Abweichungen initiiert er Korrekturmaßnahmen.
Vulnerability Management Engineer:
Der VM Engineer ist für die technische Umsetzung verantwortlich:
- Konfiguration der Scans (z. B. Scantyp, Häufigkeit)
- Wartung der Scanner-Infrastruktur
- Support bei Problemen während der Durchführung
Asset Owner:
Der Asset Owner ist für die Systeme verantwortlich, die gescannt werden. Er bewertet die Ergebnisse und entscheidet über:
- geeignete Gegenmaßnahmen (z. B. Patch-Einspielung)
- Alternativmaßnahmen oder Risikoakzeptanz (in Absprache mit dem ISO)
IT System Engineer:
Der IT Engineer setzt die Maßnahmen technisch um, z. B. durch:
- das Einspielen von Patches
- das Implementieren von Mitigationsmaßnahmen
Ziel ist es, Risiken effektiv zu senken oder vollständig zu beseitigen.

Die Häufigkeit hängt von der Kritikalität Ihrer Systeme, regulatorischen Anforderungen und der Größe Ihrer IT-Umgebung ab. In der Praxis haben sich folgende Intervalle etabliert:

Kritische Systeme / Cloud / Internet-facing → wöchentlich oder täglich
Produktivsysteme → monatlich
Low-Impact-Systeme / interne Testsysteme → quartalsweise

Gemäß ISO 27001, BSI-Grundschutz und DORA sind regelmäßige Schwachstellenscans verpflichtend.

Unser Tipp: Vulnerability Management Scans as a Service Lösungen bieten eine skalierbare Möglichkeit, automatische Scans im gewünschten Turnus umzusetzen.

Zu den gängigen Tools im Schwachstellenmanagement gehören:

Tenable Nessus / Tenable.io / Tenable.sc
Qualys VMDR
Rapid7 Nexpose / InsightVM
OpenVAS (Greenbone)

Zusätzlich setzen viele Unternehmen auf ergänzende Systeme zur Integration, z. B. Jira, ServiceNow, Excel-Ausleitungen, CMDB-Systeme und Asset-Management-Plattformen.

Wir unterstützen Sie gern bei der Auswahl, Integration und Konfiguration, inkl. Compliance-konformer Scan-Policies.

Bei Vulnerability Scanning as a Service (VSaaS) übernimmt eine cloudbasierte Plattform das kontinuierliche Schwachstellenmanagement:

Automatisierte Scans im definierten Turnus
Priorisierung nach Risiko und Business Impact
Dashboard-Übersicht für CISO, IT und Management
Optional: Handlungsempfehlungen & Mitigations-Support

VSaaS reduziert manuelle Aufwände, sorgt für Transparenz und erleichtert die Erfüllung regulatorischer Anforderungen.

Die Wahl des richtigen Scantyps ist entscheidend für die Qualität Ihrer Schwachstellenanalyse. Je nach Systemlandschaft, Sicherheitsanforderung und Scan-Ziel kommen unterschiedliche Methoden zum Einsatz. Wir unterstützen Sie gern bei der Auswahl, Konfiguration und Bewertung der passenden Scanverfahren.

1. Netzwerkbasierte Scans
Netzwerkbasierte Schwachstellenscans analysieren ein System „von außen“, ohne sich darauf anzumelden. Dabei wird je nach Konfiguration entweder eine typische Portauswahl oder die gesamte Portrange (1–65535) gescannt. Der Fokus liegt auf öffentlich erreichbaren Ports, Diensten und netzwerkbasierten Schwachstellen.

Diese Scanmethode eignet sich besonders für:

die Erkennung von exponierten Systemen
die Überprüfung von Firewalls und Zugriffskontrollen
den Einsatz in DMZs, externen erreichbaren Systemen oder Cloud-Umgebungen

Wichtig zu wissen:
Da der Scanner keinen Zugriff auf das Betriebssystem hat, bleiben lokale Schwachstellen (z. B. veraltete Bibliotheken, unsichere Konfigurationen, ungepatchte Software) unerkannt. Für tiefere Analysen empfehlen wir ergänzend authentifizierte oder agent-basierte Scans.

2. Authentifizierte Scans
Authentifizierte Schwachstellenscans greifen direkt auf das Zielsystem zu. Etwa via SSH (Linux/Unix) oder SMB (Windows). Dadurch ermöglichen sie eine umfassendere Sicherheitsbewertung, da nicht nur externe Dienste, sondern auch lokale Schwachstellen, veraltete Softwarepakete und fehlerhafte Konfigurationen erkannt werden.

Diese Scans sind besonders geeignet für:

produktive Server und sicherheitskritische Systeme
die Prüfung interner Schwachstellen auf Betriessystem- und Anwendungsebene
Umgebungen mit hohen regulatorischen Anforderungen (z.B. ISO 27001, NIS2, DORA)

Hinweis:
Authentifizierte Scans erfordern privilegierte Benutzerkonten auf allen Zielsystemen, meist mit Root- oder Administratorrechten. Bei Windows-Systemen kann ein zentraler Scan-User für Domänenumgebungen genutzt werden.Die Zugangsdaten müssen besonders geschützt werden, da sie weitreichende Berechtigungen enthalten.

3. Agent-basierte Scans
Agent-basierte Schwachstellenscans setzen auf lokale Software-Agents, die direkt auf den Zielsystemen installiert werden. Diese Methode eignet sich besonders für Assets, die nicht dauerhaft erreichbar sind. Etwa Laptops, mobile Geräte oder Homeoffice-Systeme. Die Scans laufen minimal invasiv im Hintergrund und übertragen die Ergebnisse automatisch, sobald eine Netzverbindung besteht. Damit ermöglichen sie eine verlässliche Schwachstellenanalyse auch außerhalb klassischer Netzwerkstrukturen.

Typische Einsatzbereiche:

Remote-Arbeitsplätze, Außendienstgeräte, mobile Clients
Systeme mit eingeschränkter Verfügbarkeit oder getrennter Netzwerkanbindung
Ergänzung zu Netzwerk- und authentifizierten Scans für umfassende Abdeckung

Wichtig zu beachten:
Der Rollout und die Wartung der Agents erfordern technischen Aufwand. Außerdem erkennen Agent-basierte Scans keine netzwerkbasierten Schwachstellen (z. B. offen erreichbare Ports). Daher sollten sie immer Teil einer kombinierten Strategie sein.

Schwachstellen lassen sich grob in folgende Kategorien einteilen:

Technische Schwachstellen (z. B. veraltete Software, Fehlkonfigurationen, ungeschützte Dienste)
Prozessuale Schwachstellen (z. B. fehlende Updates, unklare Zuständigkeiten)
Menschliche Schwachstellen (z. B. Phishing, Social Engineering)

Tenable Vulnerability Management ist eine Plattformlösung für automatisierte Schwachstellenerkennung und -bewertung. Sie basiert auf dem bekannten Tool Nessus und wird weltweit in Unternehmen eingesetzt.
Tenable erkennt Schwachstellen, bewertet Risiken (z. B. via CVSS) und liefert Handlungsempfehlungen.
Gerne unterstützen wir Sie auch bei der Integration und Konfiguration von Tenable-Instanzen.

Ein Schwachstellenscan ist eine automatisierte Analyse zur Identifikation potenzieller Schwachstellen in Systemen, Anwendungen und Netzwerken. Ziel ist es, bekannte Sicherheitslücken schnell und flächendeckend zu erkennen.

Ein Penetrationstest (Pentest) hingegen simuliert einen gezielten Angriff. Meist manuell durchgeführt, um reale Ausnutzungsszenarien zu prüfen.

Kurz gesagt:

Schwachstellenscan = breit, automatisiert, regelmäßig
Penetrationstest = gezielt, manuell, tiefgehend

Beide Maßnahmen ergänzen sich. In der Regel baut ein Pentest auf einem vorgelagerten Schwachstellenscan auf.