NIS2 angewandt: Wenn eine Schwachstelle offen bleibt
Ein Patch kann nicht sofort eingespielt werden. Vielleicht fehlt das Wartungsfenster. Vielleicht ist ein OT-System betroffen. Vielleicht wartet das Team auf Herstellerfreigabe oder Test. Aus dem Vorgang entsteht ein Arbeitsstand: Schwachstelle, betroffenes System, Kritikalität, Gegenmaßnahme, Owner, Frist und Wiedervorlage.
Eine offene Schwachstelle ist zunächst ein Sachverhalt. Problematisch wird der Sachverhalt, wenn Bewertung, Gegenmaßnahme, Owner, Frist und Wiedervorlage fehlen.
Viele Unternehmen haben offene Schwachstellen, weil Wartungsfenster, Herstellerfreigaben, Betriebsrisiken oder Tests eine sofortige Umsetzung verhindern. Im Geschäfts- und Supportprozess wird daraus eine betriebliche Sicherheitsentscheidung: Bleibt die Schwachstelle offen? Welche Gegenmaßnahme gilt? Wer ist Owner? Wann wird erneut geprüft? Genau dieser Arbeitsstand wird später zur Nachweisgrundlage.
Ein Auditor will keine theoretischen Absichtserklärungen sehen. Er will Arbeitsstände sehen: Schwachstelle, System, Entscheidung, Gegenmaßnahme, Owner, Frist und Wiedervorlage.
Ausgangspunkt
Wenn ein Patch nicht sofort eingespielt wird
Im Betrieb passiert das regelmäßig: Eine Schwachstelle ist bekannt, aber der Patch geht nicht sofort live. Tests sind offen. Das Wartungsfenster fehlt. Ein OT- oder Legacy-System ist betroffen. Oder ein ungeprüfter Rollout würde die Betriebsfähigkeit gefährden. Genau dort beginnt der Arbeitsstand: Bewertung, Gegenmaßnahme, Owner, Frist und Wiedervorlage.
01
Welche Schwachstelle ist kritisch?
Schweregrad, bekannte Ausnutzung, betroffene Systeme — und ob die Exposition im eigenen Netzwerk, über das Internet oder über Lieferanten besteht.
02
Was kann sofort geschlossen werden?
Systeme ohne Abhängigkeiten, Testanforderungen oder Wartungsfenster lassen sich direkt behandeln. Das sind in der Praxis oft weniger als erhofft.
03
Was braucht Test, Freigabe oder Wartungsfenster?
Produktive Systeme, OT-nahe Anwendungen, ERP und kritische Dienste brauchen Planung, Herstellerfreigabe, Tests, Kommunikation und Wiederanlaufvorbereitung.
04
Was bleibt vorerst offen — und wird als Ausnahme geführt?
Eine offene Schwachstelle ist nicht automatisch ein Steuerungsproblem. Problematisch wird sie, wenn Ursache, Risiko, Gegenmaßnahme, Owner, Frist und Wiedervorlage fehlen.
Arbeitsstand
Welche Daten aus einer offenen Schwachstelle entstehen
Wenn ein Patch offen bleibt, entstehen sofort prüfbare Informationen: betroffenes System, Kritikalität, Exposition, Patchstatus, Grund der Verzögerung, Gegenmaßnahme, Owner und Wiedervorlage. Genau dort berührt der Vorgang §30 BSIG: Das Unternehmen muss Risiko, Behandlung, Gegenmaßnahme, Verantwortlichkeit und Wiedervorlage nachvollziehbar führen.
01
Asset kennen
Welche Systeme — welche davon kritisch
02
Schwachstelle erfassen
CVE, Scannerfund, Herstellerhinweis
03
Kritikalität bewerten
CVSS, EPSS, Exposition, OT-Nähe
04
Patchstatus dokumentieren
Verfügbar, in Test, Wartungsfenster
05
Ausnahme begründen
Grund der Verzögerung, Betriebsrisiko
06
Kompensation setzen
Segmentierung, Monitoring, WAF, IPS
07
Owner & Wiedervorlage
Verantwortung, Frist, Review-Termin
NIS2-Bezug
Geeignete Sicherheitsmaßnahmen bedeuten hier nicht, dass jede Schwachstelle sofort geschlossen ist. Sie bedeuten, dass Risiko, Gegenmaßnahme, Verantwortlichkeit, Frist und Wiedervorlage nachvollziehbar geführt werden.
Arbeitsstand · Patch-Ausnahme
Mindestinhalt eines Patch-Ausnahme-Arbeitsstands
Wenn ein Patch nicht sofort eingespielt werden kann, sollte die Entscheidung nicht in E-Mail, Ticket oder Erinnerung liegen. Der Prozess erzeugt einen Arbeitsstand: welches System betroffen ist, warum die Schwachstelle offen bleibt, welche Gegenmaßnahme gilt, wer Owner ist und wann erneut entschieden wird.
VULN-01 hält die Entscheidung fest, warum eine Schwachstelle offen bleibt, welche Gegenmaßnahme gilt, wer verantwortlich ist und wann erneut geprüft wird.
Dieses Arbeitsdokument ist ein Einstieg. Bei höherer Kritikalität, komplexer OT, aktiver Ausnutzung oder Kundenwirkung sollte der Arbeitsstand mit Incident- und Meldebewertung verbunden werden.
Aus einer Schwachstelle kann eine Meldeprüfung werden
Eine offene Schwachstelle kann relevant werden, wenn sie ausgenutzt wird oder Betriebswirkung entsteht. Dann reicht die reine Information „Patch offen“ nicht mehr. Benötigt werden Asset-Übersicht, Zuständigkeiten, Meldewege, Lieferantenkommunikation und bisherige Entscheidungen. Diese Informationen lassen sich im Prüfmoment deutlich besser nutzen, wenn sie vorher als Arbeitsstand geführt wurden. Genau dort berührt der Vorgang §32 BSIG.
→
Schwachstelle bekannt: CVE veröffentlicht, betroffene Systeme identifiziert, Patch noch nicht verfügbar oder nicht sofort einsetzbar.
→
Ausnahme dokumentiert: Arbeitsstand mit Asset, Grund, Kompensation, Owner und Wiedervorlage. Entscheidung nachvollziehbar geführt.
→
Schwachstelle wird ausgenutzt: Betriebswirkung, betroffene Systeme, erster Zeitstempel der Kenntniserlangung.
→
Meldeprüfung beginnt: Ist der Vorfall erheblich nach §32 BSIG? Bisheriger Arbeitsstand wird zur Entscheidungsgrundlage.
→
Meldefähigkeit: 24h-Erstmeldung erfordert Lagebild, betroffene Systeme, Ansprechpartner und die dokumentierte Kenntnisnahme der Geschäftsführung.
Meldefähigkeit beginnt vor dem Vorfall: bei Asset-Übersicht, Schwachstellenstand, Lieferantenbezug, Zuständigkeiten und einem nachvollziehbar geführten Arbeitsstand.
Prüflogik
Welche Pflichtbereiche eine offene Schwachstelle berührt
§30 BSIG
Geeignete Sicherheitsmaßnahmen
Wenn eine Schwachstelle offen bleibt, muss das Unternehmen Bewertung, Priorisierung, Gegenmaßnahme und Wiedervorlage nachvollziehbar führen. Offene Schwachstellen ohne Review sind ein Steuerungsproblem, kein automatisches Versäumnis.
Sind Schwachstellen bewertet, priorisiert und mit Wiedervorlage geführt?
§32 BSIG
Rekonstruktion im Vorfall
Wenn Ausnutzung und Betriebswirkung hinzukommen, beginnt die Meldebewertung. Der Patch-Ausnahme-Arbeitsstand wird dann zur Grundlage für Lagebild, Zeitstempel, Meldebewertung und ggf. die Kenntnisnahme der Geschäftsführung.
Kann das Unternehmen den Patch-Entscheidungsstand im Vorfall erklären?
§38 BSIG
Geschäftsführung bei Restrisiken einbinden
Kritische offene Schwachstellen, privilegierte Systeme ohne Patch und OT-Risiken können eine Vorlage an die Geschäftsführung auslösen. Freigabe, Owner und Wiedervorlage müssen dokumentiert sein. Kenntnisnahme der Geschäftsführung und §38 BSIG einordnen →
Welche Patch-Ausnahmen erfordern Kenntnisnahme und Wiedervorlage auf Führungsebene?
OT und Legacy-Systeme
Warum OT- und Legacy-Systeme besondere Arbeitsstände brauchen
Bei OT-nahen Systemen treffen Sicherheitsupdates auf eine andere Realität: Produktionsfenster, Herstellerfreigaben, Integratoren, Fernwartung, Anlagenverfügbarkeit, Validierung und Wiederanlaufplanung. Ein Update, das in der IT routinemäßig ausgerollt wird, kann in der OT einen Produktionsstopp bedeuten.
Bei OT- und Legacy-Systemen lässt sich nicht jede Schwachstelle sofort schließen. Entscheidend ist, dass offene Schwachstellen bewertet, kompensierende Maßnahmen festgelegt, Herstellerfreigaben eingeholt und Review-Termine geführt werden — mit Wiederanlauf als Teil der Planung.
OT-Prüfpunkt
Ungepatchte Systeme sind in der OT oft unvermeidbar. Was vermeidbar ist: fehlende Bewertung, fehlende Kompensation und fehlende Wiedervorlage. NIS2 und OT-Sicherheit vertiefen →
Lieferkette · §30 Abs. 2 Nr. 4 BSIG
Wenn Dienstleister an Patch-Ausnahmen beteiligt sind
Cloud-Anbieter, SaaS-Dienste, MSPs und Integratoren beeinflussen den Sicherheitsstand direkt. Wenn Dritte Patchinformationen, Betrieb oder Sofortmaßnahmen übernehmen, bleibt das Unternehmen auf einen nachvollziehbaren Arbeitsstand angewiesen.
Wer liefert Patchinformationen? Wer setzt Sofortmaßnahmen um? Welcher Meldeweg gilt? Welche Nachweise werden bereitgestellt?
Wenn Dienstleister für Patchinformationen, Fernwartung oder Sofortmaßnahmen relevant sind, sollte der Zugriff selbst als Arbeitsstand geführt werden: Zweck, Zugriffspfad, Authentifizierung, Laufzeit, Meldeweg und Wiedervorlage. Lieferantenzugriff und §30 BSIG einordnen →
Pragmatischer Start
Offene Schwachstellen als Arbeitsstand führen
Für die Nachweisgrundlage zählt nicht nur der aktuelle Patchstand. Entscheidend ist ein nachvollziehbar geführter Arbeitsstand: kritische Systeme bekannt, offene Schwachstellen bewertet, Ausnahmen begründet, Gegenmaßnahmen festgelegt und Wiedervorlagen gesetzt.
1
Asset- und Systemübersicht erstellen
Welche Systeme existieren — und welche davon sind für den Betrieb kritisch?
2
Schwachstellenstand und Patchstatus erfassen
Welche bekannten Schwachstellen existieren, welche sind behoben, welche offen?
3
Kritikalität und Lieferantenbezug prüfen
Welche Systeme werden von Dritten betrieben, gewartet oder beeinflusst?
4
Geplante Maßnahmen und Wartungsfenster dokumentieren
Was ist geplant, wann, durch wen — mit welcher Abhängigkeit?
5
Ausnahmen begründen und Owner setzen
Welche Schwachstellen bleiben bewusst offen — mit wessen Entscheidung, welcher Kompensation und bis wann?
6
Wiedervorlagen setzen und regelmäßig prüfen
Wann werden offene Punkte erneut bewertet? Wer eskaliert bei Überfälligkeit?
Ziel
Das Ziel ist nicht, jede Schwachstelle ohne Rücksicht auf Betriebsbedingungen sofort zu schließen. Das Ziel ist ein erster belastbarer Arbeitsstand: Welche Schwachstellen bestehen, warum bleiben sie offen, welche Gegenmaßnahme gilt, wer ist Owner und wann wird erneut geprüft?
Häufige Fragen
NIS2 bzw. §30 BSIG nennt keine pauschale Patchfrist für alle Schwachstellen. Entscheidend ist eine risikobasierte Behandlung: Kritikalität, Exposition, betroffene Systeme, Betriebswirkung, verfügbare Maßnahmen und Wiedervorlage müssen nachvollziehbar geführt werden.
Nein. Eine Schwachstelle kann aus technischen, betrieblichen oder lieferantenbezogenen Gründen offen bleiben. Problematisch wird sie, wenn Bewertung, Gegenmaßnahme, Owner, Frist und Wiedervorlage fehlen.
Asset, Schwachstelle, Kritikalität, Exposition, Patchstatus, Grund der Verzögerung, Gegenmaßnahme / kompensierende Maßnahme, Owner, Wiedervorlage, Entscheidung der Geschäftsführung bei kritischem Restrisiko und Abschluss.
OT- und Legacy-Systeme benötigen häufig Herstellerfreigaben, Tests, Wartungsfenster, Produktionsabstimmung und Wiederanlaufplanung. Ein Patch kann Sicherheit erhöhen, aber gleichzeitig Anlagenverfügbarkeit oder Produktionsabläufe berühren.
Wenn eine Schwachstelle ausgenutzt wird und Auswirkungen auf Betrieb, Dienste, Daten, Lieferkette oder Dritte entstehen, muss geprüft werden, ob ein erheblicher Sicherheitsvorfall nach §32 BSIG vorliegt.
Nicht jede Schwachstelle muss zur Geschäftsführung. Eine Vorlage an die Geschäftsführung wird bei kritischen Systemen, Internet-Exposition, aktiver Ausnutzung, fehlender Gegenmaßnahme, OT- oder Produktionswirkung, wiederholter Verzögerung oder §32-Meldebewertung relevant.
Führen Sie den bestehenden Vorgang als Arbeitsstand: System, Schwachstelle, Gegenmaßnahme, Owner, Frist und Wiedervorlage. Genau diese Informationen müssen später erklärbar bleiben.