TISAX® Kapitel 5.2.5
Inwieweit werden Schwachstellen erkannt und behandelt?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Schwachstellen erhöhen das Risiko von IT-Systemen, Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität nicht erfüllen zu können. Zu den Möglichkeiten für Angreifer, sich Zugiff zum IT-System zu verschaffen oder dessen Betriebsstabilität zu gefährden, gehört die Ausnutzung von Schwachstellen.
Anforderungen
- Muss
- Informationen über technische Schwachstellen zu den genutzten IT-Systemen werden gesammelt (z.B. Information vom Hersteller, System-Audits, CVS-Datenbank) und beurteilt (z.B. Allgemeines Bewertungssystem für Schwachstellen, en: Common Vulnerability Scoring System, CVSS)
- Muss
- Potenziell betroffene IT-Systeme und Software werden identifiziert, bewertet und Schwachstellen behandelt.
- Sollte
- Ein angemessenes Patch-Management ist definiert und umgesetzt (z.B. Prüfung und Installation von Patches).
- Sollte
- Maßnahmen zur Verringerung von Risiken auf ein Mindestmaß sind, soweit notwendig, umgesetzt.
- Sollte
- Die erfolgreiche Installation von Patches ist in geeigneter Weise verifiziert.
Umsetzung
Erkennung und Behandlung von Schwachstellen
Um den Anforderungen des Kapitels 5.2.5 'Inwieweit werden Schwachstellen erkannt und behandelt?' des TISAX-Standards gerecht zu werden, sollten Unternehmen einen proaktiven Ansatz zur Identifikation und Bewertung von Schwachstellen anwenden. Zunächst ist es essentiell, eine kontinuierliche Überwachung und Sammlung von Informationen über technische Schwachstellen der verwendeten IT-Systeme durchzuführen. Dies kann beispielsweise durch regelmäßige System-Audits, die Nutzung von Informationen direkt von den Herstellern oder durch den Zugriff auf spezialisierte Datenbanken wie CVS erfolgen.
Für eine effektive Bewertung der Schwachstellen sollte das Common Vulnerability Scoring System (CVSS) als Standardbewertungstool genutzt werden. CVSS hilft dabei, die Schwere der Sicherheitslücken objektiv zu bestimmen und Prioritäten für deren Behebung zu setzen. Nach der Identifikation und Bewertung der Schwachstellen ist es notwendig, schnell zu handeln, indem die betroffenen IT-Systeme und Software identifiziert und die Schwachstellen umgehend behandelt werden.
Patch-Management und Risikoreduzierung
Ein weiterer kritischer Aspekt ist die Implementierung eines robusten Patch-Management-Systems. Unternehmen sollten dabei nicht nur Patches regelmäßig prüfen und installieren, sondern auch sicherstellen, dass diese Patches erfolgreich angewendet werden. Die Verifikation der Patch-Installation kann durch automatisierte Tools erfolgen, die nicht nur die Installation, sondern auch die Wirksamkeit der Patches bestätigen.
Neben dem Patch-Management sollten Unternehmen auch generelle Maßnahmen zur Risikominimierung implementieren. Dazu gehört es, Sicherheitsrichtlinien zu definieren und regelmäßig zu aktualisieren, um auf neue Bedrohungen reagieren zu können. Risikoreduzierende Maßnahmen sollten stets dahingehend überprüft werden, ob sie noch dem aktuellsten Stand der Technik entsprechen und ob sie in der Lage sind, die Risiken auf ein akzeptables Maß zu reduzieren.
Durch die strikte Befolgung dieser Maßnahmen können Unternehmen sowohl den Muss-Anforderungen als auch den Sollte-Anforderungen von TISAX im Bereich der Schwachstellenerkennung und -behandlung effektiv nachkommen.
