Schwachstellen in der IT-Infrastruktur können viele Ursachen haben: Durch Fehler im Softwaredesign, falsche Konfigurationen sowie ungepatchte oder unautorisierte Systeme entstehen Sicherheitslücken. Aber auch fehlgerichtete Security-Richtlinien oder mangelndes Sicherheitsbewusstsein der Mitarbeiter erhöhen die Anfälligkeit einer Organisation für Angriffe von innen wie außen. Schwachstellen können demnach nicht nur auf technischer, sondern auch auf prozessualer wie organisatorischer Ebene auftreten und es Übeltätern ermöglichen, großen Schaden anzurichten. So beziffert die amerikanische Bundespolizei FBI die durch Cyber-Attacken verursachten Kosten allein für US-Unternehmen auf rund 67 Milliarden Dollar pro Jahr.

VM erfordert Risikoanalyse

Um den Bedrohungen schon vorbeugend entgegenwirken zu können, müssen Unternehmen einen Gesamtüberblick über die Verwundbarkeiten der eigenen IT-Infrastruktur haben. Vor rund fünf Jahren, als sich der Umgang mit Schwachstellen primär auf Sicherheitslücken in Server-Applikationen beschränkte, war das im Fachjargon als "Vulnerability-Management" (VM) bezeichnete Aufgabenpaket noch halbwegs übersichtlich: "Im Wesentlichen ging es darum, die Systeme im Netz sowie die darin befindlichen Lecks zu identifizieren und dann zu stopfen", erinnert Gerhard Eschelbeck, CTO und Senior Vice President of Engineering bei Webroot Software, an die Frühphase des VM.

Seither hat sich das VM stark in Richtung Risiko-Management entwickelt: "Es gibt mittlerweile zu viele Sicherheitsprobleme, um alle zu beheben", erklärt der Experte. Aus zeitlichen wie wirtschaftlichen Gründen sei heute eine Risikoanalyse notwendig, um die Systeme und die darin ermittelten Schwachstellen nach ihrem Wert für das Business beziehungsweise ihren Auswirkungen auf wesentliche Geschäftsprozesse ordnen zu können.