Einführung eines normenkonformen Betriebskonzepts für technische Schwachstellen

Master Studiengang Information Security

Dipl.-Ing. Ivonne Emminger, BSc

Betreuer: FH-Prof. Dipl.-Ing. Herfried Geyer 

Ausgangslage

Schwachstellen können in Unternehmen jeder Größe und Branche massive Schäden verursachen. Durch den ständigen Wandel der IT-Landschaften, verbunden mit der zunehmenden Komplexität der Angriffe auf die IT-Systeme ist es für Unternehmen notwendig in ihrer Verteidigung agil zu sein. Ein modernes Unternehmen muss daher heute nicht nur über die Fähigkeit verfügen, Schwachstellen zuverlässig zu erkennen, sondern auch Maßnahmen zur Behebung dieser treffen können. Um Schwachstellen rechtzeitig ermitteln zu können und den Schaden gering zu halten, ist ein entsprechendes und funktionsfähiges Management von Schwachstellen und deren Maßnahmen für jedes Unternehmen erforderlich.

Viele Unternehmen unterschätzen die Bedeutung dieses Themas jedoch oder stoßen angesichts seiner großen Komplexität schnell an die Grenzen ihrer Kompetenz. Das Schwachstellen-Management ist daher eines der wichtigsten, zugleich aber auch am stärksten vernachlässigten Gebiete der Informationssicherheit.

Ziel

Das Ziel dieser Arbeit ist es Transparenz für den Umgang mit einem Schwachstellen-Managements zu schaffen. Die Arbeit beleuchtet die erforderlichen Voraussetzungen, über die herkömmliche klein- bzw. mittelständischen Unternehmen (KMUs) verfügen sollten, um die Aufgaben eines Schwachstellen-Managements zu bewältigen. Um eine effiziente und effektive Handhabung von Schwachstellen zu ermöglichen soll diese Arbeit eine Informationssammlung für Unternehmen sein, die ein Schwachstellen-Management betreiben wollen bzw. verbessern möchten.

Ergebnis

Der Fokus dieser Arbeit liegt auf der Beschreibung eines allgemeinen Konzepts für ein internes Schwachstellen-Managements für KMUs, welches die erforderlichen Methoden, Prozesse und Werkzeuge vor- und bereitstellt, um eine effiziente und effektive Handhabung von Schwachstellen zu ermöglichen. Basierend auf international anerkannten Standards und bewährten Praktiken deckt das Konzept wichtige Aspekte für die Umsetzung wie beispielsweise die Identifizierung und Verwaltung von Schwachstellen ab.

Um zusätzlich einen besseren praktischen Einblick in das Thema zu geben und auch weitere Einsatzmöglichkeiten eines Schwachstellen-Managements aufzuzeigen wurden drei Interviews mit unterschiedlichen Klein- und Mittelunternehmen dargestellt und miteinander verglichen. Des Weiteren wurden verschiedene Kriterien für den Kauf von Schwachstellen-Management-Werkzeugen identifiziert sowie eine Analyse von drei gängigen Tools durchgeführt.