Jede Schwachstelle in Soft- oder Hardware-Produkten ist ein potenzielles Einfallstor für Angreifer, so das BSI (Bundesamt für Sicherheit in der Informationstechnik). Doch wie soll man sämtliche Schwachstellen auf einmal beseitigen? Die Antwort: Muss man gar nicht! Es kommt auf das jeweilige Risiko an. Risikobasiertes Vulnerability Management mit Outscan NX zeigt den Weg.
Risikobasiertes Vulnerability Management mit Outscan NX hilft bei der gezielten Behebung von Schwachstellen.
(Bild: ArtemisDiana / iStock)
Der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland des Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt: Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen in Software-Produkten bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als kritisch wurden 13 Prozent der Schwachstellen bewertet.
Zu ihnen zählte die Schwachstelle in Log4j, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten in der Regel aber nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Ebenso können Security-Verantwortliche nicht so einfach beurteilen, welches Risiko eine bestimmte Schwachstelle für ihre jeweilige IT-Infrastruktur mit sich bringt.
Zero Days, Komplexität und Fachkräftemangel verschärfen das Problem
Gerade bei ganz neuen Schwachstellen, den Zero Days, sind Unternehmen überfordert zu entscheiden, was sie tun sollten. So sagen 91 Prozent, dass sie Zero-Day-Exploits als besondere Bedrohung einstufen, wie eine Umfrage des Digitalverbands Bitkom zum Wirtschaftsschutz ergab.
Aber auch das generelle Patchmanagement wird als eines der wichtigsten Themen der Security 2023 eingestuft, wie die eco IT-Sicherheitsumfrage 2023 zeigt. Dafür gibt es gute Gründe: Bei der Suche, Bewertung und Behebung von Schwachstellen wirkt sich zum einen die hohe Komplexität moderner IT-Landschaften aus, zum anderen der akute Fachkräftemangel in der Security, unter dem laut IDC 60 Prozent der Organisationen in Deutschland leiden.
Das Schwachstellenmanagement muss neu aufgestellt werden
Um die weiter zunehmende Zahl an Schwachstellen besser zu beherrschen, muss das Vulnerability Management optimiert werden. Die Patch-Prozesse sind bislang nicht effizient genug, zudem sind viele Schwachstellen, die sich als gefährlich erweisen, nicht im Fokus, mangels Wissen und Fachkräfte.
Zu den neu hinzukommenden Schwachstellen gesellen sich aber auch bereits bestehende Schwachstellen, die schon wieder vom Radar verschwunden sind. Wie riskant es ist, bereits bekannte Schwachstelle nicht auf ihr Risiko hin zu untersuchen und entsprechend bei der Behebung zu priorisieren, zeigt eine Meldung des BSI: Bei einem weltweit breit gestreuten Ransomware-Angriff wurden tausende ESXi-Server, die unter anderem zur Virtualisierung von IT-Fachverfahren genutzt werden, verschlüsselt. Man geht davon aus, dass die bereits im Februar 2021 gepatchte Schwachstelle CVE-2021-21974 als Angriffsvektor ausgenutzt wurde. Das BSI hatte zu dieser Zeit vor der Ausnutzung von Schwachstellen im entsprechenden Produkt gewarnt.
Dieses Beispiel belegt eindrücklich, dass es mehr als gefährlich ist, eine Schwachstelle zu unterschätzen und trotz Warnung nicht zu beheben. Auch die Datenschutzaufsichtsbehörden sehen dies kritisch. „Mit Sorge blicke ich auf das Thema Informationssicherheit“, so Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein. So hätten immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen, die Datenpannen-Meldungen zeigten, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können.
Schwachstellen müssen aufgedeckt, priorisiert und entsprechend behoben werden
Laut einer Studie des Ponemon Institute sind 60 Prozent der Sicherheitsverletzungen auf bekannte Schwachstellen zurückzuführen, die nicht gepatcht wurden. Darüber hinaus ist mehr als die Hälfte der Befragten (52 Prozent) aufgrund manueller Prozesse nicht in der Lage, auf Schwachstellen zu reagieren. Diese Ergebnisse unterstreichen die Notwendigkeit für Unternehmen, einen risikobasierten Ansatz zum effizienteren Management von Schwachstellen zu verfolgen.
Um das Schwachstellenmanagement zu verbessern, sollten Unternehmen deshalb auf professionelle Lösungen setzen, die Schwachstellen aufspüren und aufzeigen, welche IT-Systeme betroffen und mit mit welchen Risiken dies verbunden ist. Mit einem intelligenten, risikobasierten Vulnerability Management können Unternehmen trotz der Vielzahl an Sicherheitslücken und trotz Fachkräftemangel die für ihre Organisation gefährlichsten Schwachstellen erkennen und gezielt angehen.
Ein Vulnerability Management nach dem „Gießkannen-Prinzip“ darf es nicht mehr geben, sonst bleiben riskante Sicherheitslücken offen und werden ausgenutzt, während sich ein Unternehmen um aktuell unwichtige Schwachstellen bemüht. Das wäre ein „Kampf an der falschen Front“, den man nicht gewinnen kann.
So hilft Risikobasiertes Vulnerability Management (RBVM)
Schwachstellen-Datenbanken wie nvd.nist.gov oder cve.mitre.org geben zwar Risikobewertungen ab, doch diese sind nicht immer auf die aktuelle Situation des jeweiligen Unternehmens und die aktuelle Bedrohungslage zugeschnitten. Das kann dazu führen, dass Unternehmen wertvolle Zeit und Kosten für die Behebung einer Schwachstelle verschwenden, die eigentlich weder akut noch riskant ist. Zeit, die man gerade im Kampf gegen Cyberkriminelle häufig nicht hat, denn hier ist Geschwindigkeit und proaktives und nicht reaktives Handeln gefragt.
Ein Risikobasiertes Vulnerability Management (RBVM) bedient sich dagegen während des
Bewertungsworkflows Informationen aus der Threat Intelligence ("Bedrohungswissen"). Das heißt, es sammelt und analysiert mögliche Schwachstellen in der IT-Infrastruktur und reichert diese dann mit zusätzlichen Informationen aus dem Dark Web, möglichen Kommunikationskanälen potenzieller Angreifer und den individuellen Schwerpunkten des jeweiligen Unternehmens an. Auf diese Weise können die Gegenmaßnahmen entsprechend priorisiert und die knappen Ressourcen effektiver eingesetzt werden.
Outscan NX ermöglicht es Unternehmen, die größten Sicherheitsrisiken mit vorausschauender Threat Intelligence zu identifizieren und zu priorisieren
Outscan NX ist eine fortschrittliche Lösung für das Schwachstellen-Risikomanagement, die Unternehmen einen effizienteren Ansatz zur Sicherung ihrer Netzwerke und Cloud-Umgebungen bietet. Dieses innovative Tool basiert auf evidenzbasierter Threat Intelligence und verwendet aktuelle Verhaltensdaten von Angreifern und interne Modelle zur Risikoeinschätzung, um die Wahrscheinlichkeit zu analysieren und vorherzusagen, dass eine Schwachstelle im Laufe der Zeit ausgenutzt wird. Durch die Bereitstellung leicht verständlicher und lösungsbasierter Risikobewertungen ermöglicht Outscan NX Unternehmen, ihren Cloud- und Netzwerkschwachstellen zusätzlich zum Common Vulnerability Scoring System (CVSS) eine, zur Infrastruktur der Organisation und der aktuelle Bedrohungslage passenden Bewertung zu geben. So können die Sicherheitsexperten die entdeckten Vulnerabilities effizient priorisieren und akute Bedrohungen angehen werden, bevor sie von Angreifern ausgenutzt werden können.
Outscan NX von Outpost24 bietet einen umfassenden Überblick über die Angriffsflächen und die Bedrohungen, die auf ein Unternehmen abzielen, und hilft CISOs und vielbeschäftigten Sicherheitsteams zu verstehen, was gefährlich ist und was in ihrer Umgebung sofort behoben werden muss.
(Bild: Outpost24)
Outscan NX von Outpost24 bietet so einen risikobasierten Überblick über die größten Schwachstellen, denen eine Organisation in ihren Netzwerken, Endpunkten und Cloud-Umgebungen ausgesetzt ist:
Threat Intelligence-basierte Risikobewertung für Sicherheitsteams zur Identifizierung und Priorisierung von Schwachstellen, die das größte Risiko darstellen, wodurch wertvolle Zeit und Ressourcen gespart werden
Agentenbasiertes Scannen zur Überwachung der Endpunkte von Hybrid- und Remote-Mitarbeitern, um das Risiko getrennter Assets für bessere Sicherheitskontrollen zu minimieren
Lösungsbasierte Berichterstattung gibt Sicherheitsverantwortlichen umsetzbare Erkenntnisse, um ihre Entscheidungsfindung in Bezug auf Strategien zur Risikominderung und -behebung zu verbessern.
Hybrid- und multiple Cloud-Sicherheitsscans gewährleisten konsistente Überprüfungen auf Fehlkonfigurationen bei allen großen Cloud-Service-Providern (CSPs), einschließlich AWS, Azure und GCP, in einer einzigen Konsole.
Scanning less Scanning erstellt einen Fingerabdruck des Netzwerks und warnt vor potenziellen neuen Risiken anhand dieses Blueprints. So sind Organisationen ressourcenschonend 24/7 geschützt, selbst wenn im Live-System kein Scanvorgang möglich ist.
Weitere Informationen:
Verbessern Sie Ihr Schwachstellenmanagement mit RBVM und erhalten Sie einen smarteren Blick auf Ihre IT-Infrastruktur. Der risikobasierte Ansatz ermöglicht Ihnen eine neue, verbesserte Ausrichtung Ihrer IT-Sicherheit: Sie agieren ab diesem Zeitpunkt nicht mehr reaktiv, sondern proaktiv, indem Sie die Schwachstellen nach ihrer Ausnutzbarkeit priorisieren und verlagern so die Dynamik Ihrer Sicherheitsstrategie.
Erfahren Sie hier mehr über die Priorisierung von Schwachstellen mit Outscan NV von Outpost24 und testen Sie die nächste Generation des Schwachstellenmanagements für 30 Tage! Vereinbaren Sie jetzt Ihren Demo-Termin!
(ID:49425612)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
:quality(80)/p7i.vogel.de/wcms/13/8a/138a6d1d1e572c351da4a34c512813c2/0122987893v1.jpeg "Strenge Sicherheitsrichtlinien sind für den Schutz von AD-Umgebungen vor Risiken entscheidend. (Bild: Specops Software)")
:quality(80)/p7i.vogel.de/wcms/cc/ac/ccac3de831b323ae9d1af79d50249f70/0125063750v1.jpeg "Den richtigen Schutz für Ihr Unternehmen finden Sie, wenn Ihr Cyber Security-Anbieter die folgenden fünf Fragen souverän beantworten kann. (Bild: Canva / KI-generiert)")