Schwachstellen- und Bedrohungsmanagement-Richtlinie Marketing Lama GmbH
Version 1.2
Datum: 23.02.2026
Dokumentenverantwortlich: Technische Leitung
Freigabe durch: Geschäftsführung1. ZielZiel dieser Richtlinie ist die systematische Identifikation, Bewertung, Behandlung und Überwachung technischer Schwachstellen und Bedrohungen zur Reduzierung von Informationssicherheitsrisiken.Diese Richtlinie unterstützt die Umsetzung der Anforderungen aus ISO/IEC 27001 im Bereich:Technische SchwachstellenBedrohungsmanagementRisikobehandlungSie ist Bestandteil des Informationssicherheits-Managementsystems (ISMS).2. GeltungsbereichDiese Richtlinie gilt für:Cloud-InfrastrukturServer-SystemeEndgeräteEntwicklungs- und ProduktionsumgebungenContainer-UmgebungenDrittanbieter-Abhängigkeiteneingesetzte Software-Komponenten und Libraries3. Einbettung in das RisikomanagementTechnische Schwachstellen und Bedrohungen werden im Rahmen des Informationssicherheits-Risikomanagements berücksichtigt.Identifizierte Schwachstellen werden hinsichtlich Eintrittswahrscheinlichkeit und Schadenspotenzial bewertet.Behandlungsmaßnahmen werden risikobasiert priorisiert.Restrisiken werden dokumentiert und akzeptiert oder weiter behandelt.4. Patch- und Update-Management4.1 BetriebssystemeSicherheitsupdates auf Endgeräten sind aktiviert.Server-Systeme werden regelmäßig aktualisiert.Sicherheitskritische Updates werden priorisiert behandelt.4.2 Anwendungen und AbhängigkeitenProjektabhängigkeiten werden regelmäßig überprüft und aktualisiert.Sicherheitsrelevante Hinweise (z. B. CVE-Meldungen) werden beobachtet.Veraltete oder nicht mehr gewartete Komponenten werden ersetzt oder entfernt.4.3 ReaktionszeitenSchwachstellen werden nach Kritikalität behandelt:KritikalitätReaktionszeitHochschnellstmöglich, spätestens innerhalb von 72 hMittelzeitnah, in der Regel innerhalb von 14 TagenNiedrigim Rahmen regulärer Wartungszyklen5. Schwachstellenbehandlung5.1 IdentifikationSchwachstellen können identifiziert werden durch:Sicherheitswarnungen von Software- oder Cloud-Anbieterninterne Code-ReviewsMonitoring-MechanismenMeldungen externer Parteienregelmäßige technische Überprüfungen5.2 BewertungSchwachstellen werden hinsichtlich:technischer Ausnutzbarkeitmöglicher Auswirkungen auf Verfügbarkeit, Integrität und Vertraulichkeitbetroffener Systemebewertet und dokumentiert.5.3 BehebungMaßnahmen können beinhalten:Installation von SicherheitsupdatesKonfigurationsanpassungenAustausch kompromittierter ZugangsdatenEinschränkung oder Abschaltung betroffener DiensteImplementierung zusätzlicher SchutzmechanismenDie Umsetzung wird dokumentiert.6. BedrohungsüberwachungZur frühzeitigen Erkennung potenzieller Bedrohungen werden folgende Maßnahmen eingesetzt:Nutzung cloudbasierter Monitoring-MechanismenProtokollierung sicherheitsrelevanter Ereignisseregelmäßige Überprüfung von Log-DatenÜberwachung ungewöhnlicher Login-VersucheMinimierung öffentlich erreichbarer DiensteErkannte Bedrohungen werden gemäß der Vorfallsmanagement-Richtlinie behandelt.7. Reduzierung der AngriffsflächeDie Organisation verfolgt das Prinzip der minimalen Angriffsfläche (Minimal Exposure):Deaktivierung nicht benötigter DiensteKeine unnötigen offenen PortsTrennung von Entwicklungs- und ProduktionsumgebungenVerwendung starker AuthentifizierungsmechanismenEinschränkung privilegierter ZugriffeArchitekturentscheidungen berücksichtigen Sicherheitsaspekte frühzeitig.8. Drittanbieter- und LieferkettenmanagementEs werden vertrauenswürdige Cloud- und Softwareanbieter eingesetzt.Sicherheitsstandards der Anbieter werden risikobasiert geprüft.Aktive Integrationen werden regelmäßig überprüft.Sicherheitsrelevante Änderungen bei Drittanbietern werden beobachtet.Abhängigkeiten in der Software-Lieferkette werden berücksichtigt.9. Dokumentation und NachweisführungIdentifizierte Schwachstellen und ergriffene Maßnahmen werden dokumentiert, um:Nachvollziehbarkeit sicherzustellenWiederholungsrisiken zu minimierenTrends zu erkennendie Wirksamkeit von Maßnahmen zu bewertenDokumentationen werden im Rahmen des ISMS aufbewahrt.10. Überwachung und kontinuierliche VerbesserungDie Wirksamkeit der Schwachstellen- und Bedrohungsbehandlung wird regelmäßig überprüft.Erkenntnisse aus:SicherheitsvorfällenSchwachstellenmeldungeninternen Reviewsfließen in Verbesserungsmaßnahmen ein.11. ÜberprüfungDiese Richtlinie wird mindestens einmal jährlich sowie bei wesentlichen Infrastruktur- oder Architekturänderungen überprüft.Änderungen werden versioniert dokumentiert.