Arbeitskreis "Schwachstellenmanagement"

Dr. Gunther Schlöffel, pen.sec

Der TeleTrusT-Arbeitskreis "Schwachstellenmanagement" wurde 2022 als Untergremium der TeleTrusT-AG "Recht" initiiert.

Identifizierte (technische) Schwachstellen können hinsichtlich ihrer Schwere zum Beispiel mittels des international bekannten Common Vulnerablity Scoring Systems (CVSS) bewertet werden. Bei der Bewertung gibt es allerdings Raum zur Interpretation, so dass verschiedene Personen manchmal zu ziemlich unterschiedlichen Ergebnissen kommen. Darüber hinaus sollte eine (zum Beispiel mit Hilfe eines Penetrationstests) erkannte Schwachstelle neben dem CVSS-Wert um eine weitere Beschreibung ergänzt werden, um angemessene Maßnahmen zur wirksamen Behandlung der Schwachstelle ableiten, priorisieren, umsetzen und überprüfen zu können. Ein Standardschema würde die Grundlage dafür legen, dass Beschreibungen von Schwachstellen vergleichbar werden. Diese Vergleichbarkeit könnte sich schließlich auch in die Bereiche und Prozesse fortsetzen, wo mit dem Ergebnis von Schwachstellenbewertungen gearbeitet wird (z.B. Risikobewertungen, KPIs).

Mögliches Ziel des neuen AK kann dementsprechend ein Prüfschema zur einheitlichen Protokollierung/Berichterstattung von Schwachstellen sein, das auch als Vorbereitung zur Risikobewertung nutzbar wäre.