Kurz vorweg: Klassisches VM = Scan + CVSS-Liste; CTEM = kontinuierliche Exponiertheits-Messung + Geschäftsrisiko + Reduktion. Priorisierung: KEV first, EPSS-Wahrscheinlichkeit + Asset-Kritikalität, dann CVSS. Tools: Defender VM (günstig wenn M365), Tenable, Qualys, Rapid7. SLAs: Critical/KEV 7 Tage, High 14, Medium 30. Messzahl: MTTR und Patch-Coverage. CTEM-Reifung in 12 Wochen realistisch.
Grundlagen: CVE, CVSS, EPSS, KEV
CVE
Common Vulnerabilities and Exposures – eindeutige ID pro öffentlich bekannter Schwachstelle (z. B. CVE-2026-12345). Verwaltet von MITRE/NIST NVD. Standard-Sprache für VM.
CVSS
Common Vulnerability Scoring System – 0–10 Score nach Schwere (Attack Vector, Komplexität, Privileges, User Interaction, Impact). Standard-Metrik, aber alleine für Priorisierung zu grob.
EPSS
Exploit Prediction Scoring System – Wahrscheinlichkeit, dass eine CVE in 30 Tagen ausgenutzt wird (0–1). Datenbasiert von FIRST.org, täglich aktualisiert. Kritischer Priorisierungs-Hebel.
CISA KEV
Known Exploited Vulnerabilities – CISA-Liste der CVEs, die nachweislich in echten Angriffen genutzt werden. Wenn auf KEV: top-Prio, fast immer kritisch. EU-Pendants (ENISA, BACS) bilden sich heraus.
SSVC
Stakeholder-Specific Vulnerability Categorization – CISA-Framework für Entscheidungen: act now / track / track* / defer. Sinnvoll als Workflow-Grundlage, ergänzt EPSS/KEV.
CWE
Common Weakness Enumeration – Klassifizierung der Schwachstellen-Typen (XSS, SQL-Inj., Path-Traversal). Sinnvoll für Trend-Auswertung und Schulungs-Fokus.
CTEM – fünf Phasen nach Gartner
1. Scoping
Was ist Teil des Programms? Externer Angriffsraum (Domains, IPs, SaaS), interne Netze, Cloud-Workloads, Endpoints, Identity-Layer. Geschäftskritische Assets klassifizieren – nicht alles ist gleich wichtig.
2. Discovery
Was haben wir wirklich? Asset-Inventar via VM-Scanner, EDR-Agenten, Cloud-Inventory, ASM-Crawler. Schatten-IT, vergessene Subdomains, alte VMs – typisch sind 10–30% mehr Assets als gedacht.
3. Prioritization
Nicht „CVSS sortieren" – sondern Asset-Kritikalität × Ausnutzungs-Wahrscheinlichkeit × Schadens-Potenzial. EPSS, KEV, SSVC und Angriffspfad-Modelle (Identity-Graph, Network-Pfade) als Input.
4. Validation
Was würde wirklich passieren? Breach-and-Attack-Simulation (BAS) oder kontrollierte Pentest-Module testen, ob Angriffspfade realistisch sind. Klärt False Positives und Detection-Coverage gleichzeitig.
5. Mobilization
Wer fixt was bis wann? Workflow zu IT/Entwicklern, Patch-Schedule, Mitigations (Compensating Controls), Risk-Acceptance-Prozess. Cross-Team-Verantwortung, klare SLAs, Eskalations-Pfad.
Tools im KMU-Vergleich
Microsoft Defender Vulnerability Management
In Defender for Business inkludiert (Standalone-VM gegen Aufpreis verfügbar). Asset-Discovery, EPSS-Score, KEV-Markierung, Threat-Intel-Anreicherung, Security Recommendations. Pragmatisch, wenn M365 schon im Haus. Schwächer bei Netzwerk-Geräten und IoT.
Tenable Nessus Expert / Tenable One
Marktführer im klassischen VM. Tenable One als CTEM-Plattform (VM + Web App Scanning + ASM + Cloud + OT). Sehr starke Coverage, etabliert. Lizenz pro Asset, mittel-hochpreisig. Reifste EPSS-/KEV-Integration.
Qualys VMDR
Cloud-only VM mit guter Asset-Discovery, Patch-Management-Add-on, Container-Security, Cloud-Inventory. Tier-basiert, eher mittelpreisig. Stark bei agentenbasierten Scans und SaaS-Bereitstellung.
Rapid7 InsightVM
Solides VM mit guten Reporting-/Dashboard-Funktionen, gute Integration zu InsightIDR (SIEM/XDR). Real Risk Score kombiniert CVSS mit Bedrohungsdaten. Mittelpreisig.
CrowdStrike Falcon Spotlight
VM-Modul innerhalb der Falcon-Plattform – ideal wenn EDR schon Falcon ist. EPSS-/CrowdStrike-Threat-Intel-Score, agentenbasiert, kein separater Scan-Server. Nur für Endpoints/Server, nicht Netzwerk-Geräte.
Nucleus Security / ArmorCode
Vulnerability-Aggregations- und Orchestrierungs-Plattformen – konsolidieren Findings aus mehreren Scannern (VM, ASM, SAST, DAST, Container), priorisieren risikobasiert, integrieren mit Jira/ServiceNow. CTEM-Helper-Layer.
Priorisierungs-Praxis im KMU-Alltag
- Schritt 1 – KEV-Filter: alle CVEs auf der CISA KEV-Liste auf einer Hot-List, unabhängig vom CVSS. Patch oder Mitigation binnen 7–21 Tagen.
- Schritt 2 – EPSS-Filter: EPSS-Score >70% UND Asset hat Bezug zur Aussenwelt (DMZ, public-facing) → Hot-List. EPSS >70% intern → Warm-Liste.
- Schritt 3 – Asset-Kritikalität: Domain Controller, Datenbanken mit Kundendaten, ERP, Backup-Server, M365-Tenant, Cloud-Master-Accounts = Critical Assets. CVE darauf eskaliert eine Stufe.
- Schritt 4 – Reachability: Ist die Schwachstelle ausnutzbar (Service erreichbar, Authentifizierung erforderlich, Patch verfügbar)? VM-Scanner mit „authenticated check" sind genauer.
- Schritt 5 – Schadens-Potenzial: Remote Code Execution > Privilege Escalation > Information Disclosure > Denial of Service. RCE auf Production-DB ist nicht „medium", auch wenn CVSS so sagt.
- Schritt 6 – Risk Acceptance: Wenn kein Patch verfügbar oder Patch nicht umsetzbar, Risk Acceptance dokumentieren mit Mitigations (Netzwerk-Segmentierung, WAF-Rule, Detection-Aktivierung).
- Falsche Positivmeldungen: 5–15% sind typisch – Validierung mit BAS oder gezielten Pentest-Modulen. Falsche Negative durch externe ASM-Scans aufdecken.
- Reporting an die Geschäftsleitung: 3 Zahlen reichen – Anzahl Critical/KEV offen, MTTR, % Patch-Coverage. Monats- oder Quartalskadenz.
- Sonderfall Identity-Schwachstellen: Schwache Auth, ungepatchte Entra/AD, falsch konfigurierte Berechtigungen – mit ITDR (Identity Threat Detection) oder Tools wie BloodHound/PingCastle parallel adressieren.
- Sonderfall SaaS: SaaS-Apps oft ausserhalb VM-Scans – SaaS Security Posture Management (SSPM) wie AppOmni, Adaptive Shield, Microsoft Defender for Cloud Apps ergänzen.
12-Wochen-Roadmap für KMU
Woche 1–2 – Scoping & Asset-Klassifikation
Externe Angriffsraum (Domains, IPs, SaaS), interne Netze, Cloud, Endpoints definieren. Critical Assets benennen (Top 20–50). Geschäftsleitung-Sponsor sicherstellen.
Woche 3–4 – Tool-Auswahl & Discovery
Tool-Entscheidung (Defender VM, Tenable, Qualys, Rapid7) treffen, rollout starten. Authenticated Scans für Server, agent-basierte Scans für Endpoints, externer ASM-Scan einmalig.
Woche 5–6 – Priorisierungs-Logik
EPSS-/KEV-Integration aktiv, Asset-Kritikalität in Tool gepflegt, Priorisierungs-Regeln (Critical/High/Medium/Low) konfiguriert. Erste Hot-List erstellt und an IT-Team übergeben.
Woche 7–8 – Patch-Workflow & SLAs
Patch-Workflow mit IT-Team etabliert: Intune/MECM/Patch My PC/Action1 für Endpoints, Update Manager für Server, IaC-Pipeline-Patches für Cloud. SLAs vertraglich (mit MSP) oder intern fixiert.
Woche 9–10 – Validation & Detection
Erste BAS-Runs oder gezielte interne Pentests gegen Hot-List-CVEs. Detection-Coverage in SIEM/EDR prüfen. Compensating Controls für nicht patchbare CVEs (z. B. WAF-Regeln).
Woche 11–12 – Reporting & Reife
Dashboard mit MTTR, Patch-Coverage, KEV-Offen-Anzahl an Geschäftsleitung. Quartals-Kadenz fixieren. CTEM-Erweiterungen (SSPM, BAS, ASM-Premium) planen. Schulung Team.
Typische Stolpersteine
- CVSS-only Sortierung: 95% der CVEs werden nie ausgenutzt – CVSS allein führt zu Patch-Müdigkeit ohne Risiko-Reduktion. EPSS und KEV als Filter zwingend.
- Unauthenticated Scans only: ohne Auth-Scans übersieht der Scanner die Hälfte – Service-Accounts für Linux/Windows-Scans einrichten, gehärtete Scan-Privilegien.
- Asset-Inventar unvollständig: typische 10–30% Schatten-Assets (alte VMs, vergessene Subdomains). ASM-Crawler + Cloud-Discovery + Netzwerk-Discovery kombinieren.
- Container und Cloud vergessen: Container-Images, Cloud-Konfigurationen sind eigene Welten – Trivy, Snyk Container, CSPM (Defender for Cloud, Wiz) ergänzen.
- Patch-Workflow ohne Test: blind installieren bricht Produktion – Test-Ring → Pilot → Produktion, mit Rollback-Plan. Critical-/KEV-Patches mit Express-Test-Verfahren.
- Risk Acceptance still: Schwachstellen, die nicht gepatcht werden können, ohne formale Akzeptanz „verschwinden" zu lassen ist Compliance-Risiko – formaler RA-Prozess Pflicht.
- OT/IoT/Drucker ausgeklammert: Industrie-Steuerungen, Drucker, IoT-Geräte sind häufige Einfallstore – passive Discovery (Claroty, Nozomi, Microsoft Defender for IoT) statt aggressive Scans.
- EOL-Software ohne Migration-Plan: ungepatchte EOL-Server/Apps (Windows Server 2012, alte SQL) sind Dauerrisiko – Migration mit Stichtag, in der Zwischenzeit Netzwerk-Isolation.
- Keine Verbindung VM → Identity: viele Angriffe nutzen Schwachstellen + schwache Auth – Identity-Schicht (Entra, AD, Service-Accounts) gleichberechtigt überwachen.
- Reporting nur an IT: Geschäftsleitung muss MTTR und Critical-Offen kennen – ohne Sichtbarkeit kein Budget für Tooling und Personal.
Fazit: Risiko statt Lautstärke
Vulnerability Management ist 2026 kein „Scan + Liste"-Spiel mehr. CTEM verbindet Schwachstellen-Scans mit Geschäfts-Kritikalität, Ausnutzungs-Wahrscheinlichkeit und Validierung – aus tausenden CVEs werden 50–100 wirklich kritische Befunde. EPSS und CISA KEV liefern die Daten-Basis, MTTR und Patch-Coverage die Messzahlen, Tools wie Defender VM, Tenable, Qualys oder Rapid7 die Plattform. Für Schweizer KMU heisst das: weniger Lärm, mehr Fokus, klarere Story für die Geschäftsleitung.
Pragmatischer Start: M365-Häuser nutzen Defender Vulnerability Management; alle anderen evaluieren Tenable/Qualys/Rapid7 als Plattform. Externe Angriffsfläche separat per ASM-Crawler oder Pentest. Priorisierung strikt nach KEV → EPSS → Asset-Kritikalität. SLAs nach Risiko, MTTR als Nordstern-Kennzahl. In 12 Wochen ist ein reifes Programm aufgebaut, in 6 Monaten zeigen die ersten Trend-Reports den Effekt. Wer 2026 mit „wir scannen ab und zu" arbeitet, läuft 2027 in Ransomware-Risiken oder NIS2-/ISG-Befunde – das ist vermeidbar.
CTEM-Programm in 12 Wochen
Wir bauen Ihr Vulnerability-Management mit risikobasierter Priorisierung auf – Tool-Auswahl, Discovery, EPSS-/KEV-Integration, Patch-Workflow und Reporting an die Geschäftsleitung.
Beratung anfragen