Skip to main content
Scanning · Patching · Remediation

BEKOM MANAGEDSchwachstellenmanagement & PatchingScanning, Priorisierung, Remediation

BEKOM übernimmt Schwachstellen-Scanning, Patch-Koordination und Remediation-Tracking – On-Premise, Cloud oder Hybrid, nach definierten SLAs.

Vorgehensweise ansehen
Schwachstellen-Scanning
Koordiniertes Patching
CVSS-Priorisierung
Compliance-Nachweise
Schwachstellenmanagement im UnternehmenScanning, Priorisierung, RemediationBetriebsmodelle und VerantwortlichkeitenPatch-Management nach Kritikalität undHäufige Fragen
Professioneller Betrieb

Schwachstellenmanagement im Unternehmen – warum strukturierter Betrieb entscheidend ist

Jede Software und jede IT-Infrastruktur enthält Sicherheitslücken. Schwachstellenmanagement (Vulnerability Management) bedeutet: Diese Lücken systematisch aufspüren, nach Risiko bewerten und koordiniert beheben. Ergänzt wird dies durch Patch-Management – die gezielte Einspielung von Sicherheitsupdates in festgelegten Zyklen. Zusammen bilden diese beiden Disziplinen die operative Grundlage für einen dauerhaft geschützten IT-Betrieb. Weitere Informationen zum übergeordneten Leistungsbereich finden Sie auf der Seite BEKOM MANAGED Security & Compliance.

Unentdeckte Schwachstellen in geschäftskritischen Systemen können den operativen Betrieb durch Sicherheitsvorfälle unterbrechen und regulatorische Compliance-Anforderungen verletzen. Kontinuierliches Schwachstellenmanagement stellt sicher, dass Geschäftsprozesse ohne Unterbrechung durch vermeidbare Sicherheitslücken ablaufen können.

Warum Schwachstellenmanagement keine einmalige Aufgabe ist

Sicherheitslücken entstehen laufend: durch neue Software-Versionen, geänderte Konfigurationen und neu entdeckte Angriffsvektoren. Ein einzelner Scan pro Quartal reicht nicht aus, um die aktuelle Bedrohungslage abzubilden. Für Unternehmen ohne spezialisiertes Security-Team wird der Schwachstellenbetrieb dadurch zur permanenten Belastung.

Herausforderungen beim Eigenbetrieb:

  • Schwachstellen-Datenbanken aktualisieren sich täglich – ohne laufende Scans bleiben neue Lücken unentdeckt
  • Priorisierung erfordert Fachwissen über CVSS-Scores und den geschäftlichen Kontext jedes betroffenen Systems
  • Patch-Freigabe und -Einspielung kollidieren mit laufendem Geschäftsbetrieb und Wartungsfenstern
  • Remediation-Tracking über mehrere Systeme und Teams hinweg erzeugt erheblichen Koordinationsaufwand
  • Compliance-Anforderungen (ISO 27001, BSI IT-Grundschutz) verlangen nachweisbare Prozesse für Schwachstellenbehandlung

Was BEKOM im Schwachstellenbetrieb übernimmt

BEKOM übernimmt den operativen Schwachstellenbetrieb im Rahmen von BEKOM MANAGED Security. Das interne Team wird von wiederkehrenden Scan-, Patch- und Tracking-Aufgaben entlastet und kann sich auf Fachanwendungen und Geschäftsprozesse konzentrieren.

Leistungsumfang:

  • Regelmäßiges Scanning aller definierten Systeme – Betriebssysteme, Anwendungen, Netzwerkkomponenten
  • Bewertung und Priorisierung erkannter Schwachstellen nach CVSS-Score und Business Impact
  • Koordination der Patch-Einspielung mit dem internen Team oder eigenständige Durchführung
  • Nachverfolgung jeder Schwachstelle bis zur dokumentierten Behebung (Remediation-Tracking)
  • Regelmäßige Berichte mit Schwachstellen-Statistiken, Behebungsquoten und offenen Maßnahmen

BEKOM arbeitet dabei herstellerunabhängig: Statt auf einen einzelnen Scanner festgelegt zu sein, wählt BEKOM die passende Kombination aus Netzwerk-, Host- und Anwendungsscannern für die jeweilige Umgebung.

Planbare Kostenstruktur statt reaktiver Einzelmaßnahmen

Der interne Schwachstellenbetrieb verursacht schwer kalkulierbare Kosten: Lizenzgebühren für Scanner, Personalkapazitäten für Analyse und Koordination sowie Aufwände für außerplanmäßige Patches nach kritischen Veröffentlichungen. Diese Kostentreiber verteilen sich auf verschiedene Budgettöpfe und sind in der Gesamtbetrachtung selten transparent.

Kennzahlen:

  • Personalkapazitäten für Bereitschaft und Patch-Koordination entfallen bei Fully-Managed-Betrieb
  • Tooling-Kosten für Scanning, Monitoring und Reporting sind im Service enthalten
  • Variable Aufwände für Notfall-Patches werden durch planbare Monatspauschale ersetzt
  • Im Assessment erfasst BEKOM die tatsächlichen Betriebskosten und stellt diese den Managed-Service-Konditionen gegenüber

Durch die Übernahme des Schwachstellenbetriebs wandeln sich variable, schwer kalkulierbare Aufwände in eine planbare Kostenstruktur mit definiertem Leistungsumfang.

Kernbereiche

Schwachstellen erkennen, priorisieren und beheben

BEKOM strukturiert den Schwachstellenbetrieb in drei aufeinander aufbauende Bereiche. Für jeden Bereich gelten dokumentierte Prozesse und definierte Service-Level-Vereinbarungen (SLAs).

Scanning – Sicherheitslücken systematisch aufspüren

BEKOM durchsucht die definierten IT-Systeme regelmäßig nach bekannten Sicherheitslücken. Die Scan-Häufigkeit richtet sich nach dem Schutzbedarf des jeweiligen Systems und reicht von wöchentlichen Routine-Scans bis zu täglichen Prüfungen geschäftskritischer Komponenten.

  • Netzwerk- und Host-basierte Scans mit herstellerunabhängigen Tools
  • Inventarisierung aller erkannten Schwachstellen mit CVE-Referenz und Schweregrad
  • Abgleich mit aktuellen Schwachstellen-Datenbanken (NVD, BSI-CERT)
  • Sonderscans nach Bekanntwerden kritischer Schwachstellen (Zero-Day-Szenarien)

Priorisierung – Risikobewertung nach Business Impact

Nicht jede erkannte Schwachstelle erfordert sofortige Reaktion. BEKOM bewertet jede Lücke anhand eines kombinierten Scores aus technischem Schweregrad (CVSS) und geschäftlicher Relevanz des betroffenen Systems.

  • Kritische Schwachstellen (CVSS ≥ 9.0) auf geschäftskritischen Systemen: Sofortige Bewertung und Maßnahmenplanung
  • Hohe Schwachstellen (CVSS 7.0–8.9): Bewertung und Maßnahmenplanung nach definiertem SLA
  • Mittlere und niedrige Schwachstellen: Einordnung in den regulären Patch-Zyklus
  • Ausnahmen und Risikoakzeptanz werden dokumentiert und im Service-Review besprochen

Remediation – koordinierte Behebung und Nachverfolgung

BEKOM koordiniert die Behebung erkannter Schwachstellen und verfolgt den Status jeder Maßnahme bis zum dokumentierten Abschluss. Das Tracking liefert die Datenbasis für Compliance-Berichte.

  • Erstellung von Maßnahmenplänen mit Verantwortlichkeiten und Fristen
  • Koordination der Patch-Einspielung mit Anwendungsteams und Fachbereichen
  • Nachverfolgung offener Maßnahmen über ein zentrales Tracking-System
  • Eskalation bei Überschreitung definierter Behebungsfristen
  • Dokumentation aller Maßnahmen für Compliance-Nachweise und Audits
Betriebsmodelle

Betriebsmodelle und Verantwortlichkeiten

BEKOM bietet zwei Betriebsmodelle für Managed Vulnerability & Patch Management an. Beide Modelle definieren klare Verantwortlichkeiten über dokumentierte Verantwortungsmatrizen und können je nach Systemgruppe unterschiedlich gewählt werden.

Fully Managed – BEKOM verantwortet den gesamten Schwachstellenbetrieb

  • BEKOM übernimmt den vollständigen Schwachstellenbetrieb: Scanning, Priorisierung, Patch-Koordination und Remediation-Tracking
  • Konfiguration und Betrieb der Scanning-Infrastruktur, Bewertung und Priorisierung aller erkannten Schwachstellen
  • Eigenständige Patch-Einspielung nach freigegebenen Wartungsfenstern mit dokumentierten Rollback-Verfahren
  • Remediation-Tracking und Compliance-Reporting mit regelmäßigen Service-Reviews
  • Das Unternehmen erhält regelmäßige Berichte und wird bei kritischen Schwachstellen sofort informiert
  • Eignung: Unternehmen ohne internes Security-Spezialistenteam oder mit IT-Abteilungen, die auf andere Schwerpunkte fokussiert sind

Co-Managed – geteilte Verantwortung mit internem Security-Team

  • Das interne Team behält die fachliche Steuerung: definiert Scan-Scope, Wartungsfenster und gibt Patches für Fachanwendungen frei
  • Das interne Team nutzt BEKOM-Dashboards für eigene Analysen, Berichte und koordiniert Abhängigkeiten
  • BEKOM übernimmt den Scanning-Betrieb, die Schwachstellen-Inventarisierung und Priorisierung
  • BEKOM verantwortet Patch-Koordination für Infrastruktur und Middleware sowie Remediation-Tracking und Eskalation
  • Eignung: Unternehmen mit vorhandener Security-Erfahrung, die den operativen Aufwand gezielt reduzieren möchten

Die Aufgabenteilung wird in einer gemeinsamen Verantwortungsmatrix dokumentiert und in regelmäßigen Abstimmungen überprüft. Beide Modelle können pro Systemgruppe unterschiedlich gewählt werden – BEKOM dokumentiert die Verantwortlichkeiten mit klaren Eskalationswegen.

Kernbereiche

Patch-Management nach Kritikalität und Einsatzmodell

Patch-Management ergänzt das Schwachstellen-Scanning um die operative Ebene: Sicherheitsupdates werden geplant, getestet und in definierten Zyklen eingespielt. BEKOM passt den Patch-Prozess an das jeweilige Einsatzmodell an – unabhängig davon, ob die Systeme in eigener Betriebsstätte, aus deutschen Rechenzentren oder an beiden Standorten betrieben werden.

Patch-Zyklen nach Kritikalität

BEKOM differenziert die Patch-Einspielung nach dem Schweregrad der Schwachstelle und dem Schutzbedarf des betroffenen Systems. Jeder Patch durchläuft eine Testphase in einer Staging-Umgebung, bevor er produktiv eingespielt wird.

Patch-Zyklen:

  • Kritische Sicherheitsupdates: Außerplanmäßige Einspielung nach Bewertung und Freigabe
  • Sicherheitsrelevante Updates (hoch): Einspielung im nächsten regulären Wartungsfenster
  • Reguläre Updates (mittel/niedrig): Gebündelter Rollout nach definiertem Zyklus
  • Dokumentierte Rollback-Verfahren für jeden Patch, falls Kompatibilitätsprobleme auftreten

On-Premise – Patching in eigener Betriebsstätte

BEKOM führt Patch-Management auch für Systeme durch, die in der eigenen Infrastruktur des Unternehmens betrieben werden. Der Zugriff erfolgt über gesicherte Verbindungen mit protokolliertem Zugang. Für besonders schutzbedürftige Umgebungen betreibt BEKOM die Scanning-Infrastruktur direkt vor Ort.

Leistungsumfang:

  • Remote-Patch-Management über VPN-gesicherte Verbindungen
  • Koordination mit dem internen IT-Team für Wartungsfenster und Freigaben
  • Dokumentierte Rollback-Verfahren bei Patch-Problemen
  • Alle Patch-Aktivitäten werden protokolliert und stehen für Compliance-Nachweise bereit

Cloud und Hybrid – standortübergreifendes Patch-Management

Für Cloud-basierte oder hybrid betriebene Systeme koordiniert BEKOM das Patch-Management über Standorte und Umgebungen hinweg. Bei hybriden Umgebungen koordiniert BEKOM die standortübergreifende Priorisierung und Patch-Einspielung, um inkonsistente Patch-Stände zu vermeiden.

Leistungsumfang:

  • Zentrales Patch-Management über alle Betriebsstandorte hinweg
  • Koordinierte Rollouts über On-Premise- und Cloud-Umgebungen
  • Konsistente Patch-Stände über alle Systeme – unabhängig vom Betriebsstandort
  • Zentrale Reporting-Dashboards für den übergreifenden Patch-Status

Verwandte Themen: Schwachstellenmanagement verbindet sich mit Managed SOC für Incident-Korrelation und Managed SIEM für Log-Auswertung der Patch-Aktivitäten; die Open-Source-Sicht dazu liefert Intrusion Detection & Prevention; für regulatorische Schwachstellen-Reporting siehe das Szenario NIS2-Compliance-Programm.

Häufige Fragen zu Schwachstellenmanagement und Patching

Welche Systeme werden beim Schwachstellen-Scanning erfasst?

BEKOM scannt alle im Vertrag definierten Systeme: Server, Netzwerkkomponenten, Betriebssysteme, Middleware und Anwendungen. Der Scan-Scope wird im Assessment gemeinsam festgelegt und kann nachträglich erweitert werden. Sonderscans für neue Systeme oder nach Bekanntwerden kritischer Schwachstellen sind im Service enthalten. Die Ergebnisse werden in einem zentralen Dashboard mit CVE-Referenzen und Schweregrad-Bewertungen dokumentiert und im regelmäßigen Service-Review mit dem internen Team besprochen.

Wie priorisiert BEKOM erkannte Schwachstellen?

BEKOM bewertet jede Schwachstelle anhand des technischen Schweregrads (CVSS-Score) und der geschäftlichen Relevanz des betroffenen Systems. Kritische Schwachstellen auf geschäftskritischen Systemen erhalten die höchste Priorität und werden sofort bewertet. Mittlere und niedrige Schwachstellen werden in den regulären Patch-Zyklus eingeordnet. Die Bewertungskriterien und Priorisierungsregeln werden im gemeinsamen Service-Review abgestimmt und dokumentiert. Risikoakzeptanz-Entscheidungen des Unternehmens werden nachvollziehbar festgehalten.

Was kostet Managed Vulnerability & Patch Management und wie ist die Preisstruktur?

Die Konditionen richten sich nach Anzahl und Art der zu überwachenden Systeme, dem gewählten Betriebsmodell und dem vereinbarten Service-Level. BEKOM bietet eine planbare Monatspauschale statt einzelner Projektabrechnungen. Im Rahmen des Assessments erfasst BEKOM die bestehenden Betriebskosten für Scanner-Lizenzen, Personalaufwände und Patch-Koordination und stellt diese transparent den Managed-Service-Konditionen gegenüber. Tooling-Kosten für Scanning und Reporting sind in der Pauschale enthalten.

Gibt es eine Mindestlaufzeit oder langfristige Vertragsbindung?

BEKOM gestaltet die Vertragslaufzeiten flexibel und bespricht die konkreten Konditionen und Kündigungsfristen im Assessment. Eine schrittweise Übergabe der operativen Verantwortung ist in beide Richtungen möglich – sowohl beim Onboarding als auch bei einem Anbieterwechsel. BEKOM dokumentiert alle Prozesse, Scan-Konfigurationen und Priorisierungsregeln so, dass ein geordneter Übergang an das interne Team oder einen anderen Anbieter jederzeit durchführbar ist.

Kann BEKOM auch Systeme in eigener Infrastruktur patchen?

Ja. BEKOM führt Patch-Management für Systeme durch, die in der eigenen Betriebsstätte des Unternehmens stehen – über gesicherte Remote-Verbindungen mit protokolliertem Zugang. Ebenso für Cloud-basierte oder hybrid betriebene Umgebungen. Das Einsatzmodell wird pro Systemgruppe individuell festgelegt. Für besonders schutzbedürftige Umgebungen, in denen keine Daten das Unternehmen verlassen dürfen, betreibt BEKOM die Scanning-Infrastruktur auch direkt vor Ort.

Wie unterscheidet sich BEKOM von anderen Anbietern im Schwachstellenmanagement?

BEKOM arbeitet herstellerunabhängig und bindet Unternehmen nicht an bestimmte Scanner-Produkte. Die Priorisierung berücksichtigt nicht nur den technischen CVSS-Score, sondern auch den geschäftlichen Kontext des betroffenen Systems. BEKOM verantwortet den Prozess von Scanning über Priorisierung und Patching bis Remediation-Tracking aus einer Verantwortung heraus. Dadurch entfallen Abstimmungsaufwände zwischen verschiedenen Dienstleistern. Alle Ergebnisse und Maßnahmen werden transparent dokumentiert.

Welche Compliance-Nachweise liefert BEKOM für Audits?

BEKOM dokumentiert alle Scan-Ergebnisse, Priorisierungsentscheidungen, Patch-Aktivitäten und Remediation-Maßnahmen in nachvollziehbaren Berichten. Diese eignen sich als Nachweise für ISO-27001-Audits, BSI-IT-Grundschutz-Prüfungen und DSGVO-Dokumentationspflichten. Die Berichte enthalten Schwachstellen-Statistiken, Behebungsquoten, offene Maßnahmen und dokumentierte Risikoakzeptanz-Entscheidungen. Die Berichtsformate werden auf die Anforderungen des jeweiligen Compliance-Frameworks abgestimmt, in regelmäßigen Zyklen aktualisiert und im Service-Review mit dem internen Team besprochen.

Wie wird auf neu entdeckte Zero-Day-Schwachstellen reagiert?

Bei Bekanntwerden kritischer Zero-Day-Schwachstellen aktiviert BEKOM den definierten Incident-Response-Prozess: Bewertung der Betroffenheit, Identifikation exponierter Systeme und Einleitung von Sofortmaßnahmen. Wenn ein Patch verfügbar ist, wird dieser nach Kritikalität priorisiert eingespielt. Wenn kein Patch verfügbar ist, implementiert BEKOM kompensatorische Maßnahmen (Netzwerksegmentierung, Zugriffsbeschränkungen) und informiert das Kundenteam über den Status.

Welche Kosten entstehen für Schwachstellenmanagement im Vergleich zum Eigenbetrieb?

Die Kosten für externes Schwachstellenmanagement setzen sich aus kontinuierlichen Scanning-Lizenzen, Bewertungsarbeit und Remediation-Koordination zusammen. Im Eigenbetrieb entstehen dagegen variable Aufwände durch Security-Spezialistenzeit, Tool-Lizenzen und ungeplante Arbeitsbelastung bei kritischen Schwachstellen. BEKOM kalkuliert Schwachstellenmanagement als planbare Monatspauschale basierend auf der Anzahl überwachter Systeme und gewünschter Scan-Frequenz.

Nächste Schritte

BEKOM begleitet den Einstieg in strukturiertes Schwachstellenmanagement mit einem strukturierten Prozess – ohne Vorab-Verpflichtung.

Das Vulnerability-Assessment liefert eine strukturierte Bestandsaufnahme der aktuellen Schwachstellensituation in der IT-Infrastruktur und zeigt konkrete Remediation-Prioritäten auf. BEKOM erstellt ein Service-Design-Dokument mit Empfehlungen für Scan-Zyklen, Patch-Prozesse und Integration in bestehende Wartungsfenster. Die Analyse umfasst auch eine Bewertung des aktuellen Tool-Stacks und Vorschläge zur Automatisierung wiederkehrender Vulnerability-Management-Aufgaben.

1

Schwachstellenlage und Patch-Prozesse schildern

Beschreiben Sie, welche Systeme Sie heute betreiben, wie Schwachstellen erkannt werden und wie der Patch-Prozess organisiert ist. BEKOM erfasst den Status Quo als Ausgangsbasis für die Analyse.

2

Assessment der bestehenden Scan- und Patch-Landschaft

BEKOM analysiert die bestehenden Prozesse, identifiziert Lücken im Schwachstellen- und Patch-Management und dokumentiert den Handlungsbedarf. Die Ergebnisse werden transparent aufbereitet und mit dem internen Team besprochen.

3

Betriebskonzept mit Verantwortungsmatrix erhalten

Auf Basis des Assessments erstellt BEKOM ein konkretes Betriebskonzept: welches Betriebsmodell (Fully Managed oder Co-Managed), welche Systeme im Scope stehen und wie die Verantwortung zwischen BEKOM und dem internen Team aufgeteilt wird.