Schwachstellenmanagement - Details und Beauftragung

Wie beauftrage ich einen Schwachstellenscan?

Um sicherzustellen, dass die angebotenen Schwachstellenscans nur von dazu befugten Personen beauftragt werden können, wurde der folgende Prozess definiert:

  • Der/Die EDV-AnsprechpartnerIn der Einrichtung oder eine andere dazu beauftragte Person (muss der Einrichtung angehören) beauftragt den Schwachstellenscan über das dafür vorgesehene Webformular.
  • Der so erfasste Scanauftrag wird in ein Ticket umgewandelt und an die Einrichtungsleitung zur Freigabe geschickt.
  • Nach erfolgter Freigabe des Scanauftrags durch die Einrichtungsleitung prüft das CERT die Zugehörigkeit der gemeldeten IP-Adressen zur genannten Einrichtung und stimmt einen Termin für den Schwachstellenscan mit dem Auftraggeber ab.
  • Das CERT meldet die Ergebnisse des Schwachstellenscans an den Auftraggeber sowie die Einrichtungsleitung zurück.
  • Die Koordination und Umsetzung der Mitigationsmaßnahmen erfolgt in der Einrichtung. Sollten relevante Schwachstellen nicht zeitnah beseitigt werden können, informieren Sie bitte das CERT, um weitere Schritte abzustimmen.

Wo kann ich einen Schwachstellenscan beauftragen?

Die Beauftragung des Schwachstellenscans nehmen Sie online mit einem Webformular vor.

Webformular Schwachstellenscans

Wichtig: Da die angebotenen Scans keine destruktiven Methoden beinhalten, haben sie im Regelfall keine Auswirkungen auf produktive Systeme, wobei dies natürlich nie zu 100% ausgeschlossen werden kann.

FAQs zum Schwachstellenmanagement

  • Stimmen Sie vorab den geplanten Schwachstellenscan mit der Einrichtungsleitung sowie den betroffenen Administratoren (ggfls. dem/der EDV-AnsprechpartnerIn) ab.
  • Vereinbaren Sie, welche Systeme gescannt werden sollen (die Terminabstimmung erfolgt nach Verfügbarkeit in Abstimmung mit dem CERT).
  • Stimmen Sie die Weitergabe und Nutzung der Scanergebnisse mit den betroffenen Administratoren ab.

  • Führen Sie ggfls. eine (gemeinsame) Evaluation der Scanergebnisse durch und prüfen diese Relevanz in Ihrem spezifischen Anwendungsszenario. Dies kann wichtig sein, da die angemeldeten IT-Systeme „nur“ auf bekannte Schwachstellen hin geprüft werden, ohne das konkrete Anwendungsszenario in Ihrer Einrichtung zu berücksichtigen.
  • Priorisieren Sie die zu behebenden Schwachstellen gem. der Gefährdung Ihrer IT-Systeme. Hier empfiehlt sich eine individuelle Risikoabwägung unter Berücksichtigung des CVS-Scores sowie des Einsatzzwecks des betroffenen Systems. Sie können sich z.B. an folgenden Leitfragen orientieren: Welche Daten werden darauf verarbeitet? Welche Bedeutung hat das System für die Aufgabenerfüllung der Einrichtung?
  • Vereinbaren Sie mit den verantwortlichen Administratoren realistische Umsetzungspläne für die Beseitigung von Schwachstellen. Sollten relevante Schwachstellen nicht beseitigt werden können, informieren Sie bitte - in Abstimmung mit der Einrichtungsleitung - das CERT der Universität Ulm.
  • Informieren Sie die Einrichtungsleitung sowie den/die EDV-AnsprechpartnerIn über die Ergebnisse des Schwachstellenscans sowie die geplanten Mitigationsmaßnahmen und vereinbaren Sie ein geeignetes Monitoring.

Grundsätzlich können alle EDV-AnsprechpartnerInnen oder Einrichtungsleitungen die Schwachstellenscans für die dort betriebenen IT-Systeme beauftragen. Es wird jedoch dringend empfohlen, den Schwachstellenscan zunächst intern anzukündigen, abzustimmen und konsolidiert über das Webformular anzumelden.

Der angebotene Scan prüft die angemeldeten IT-Systeme netzwerkbasiert auf bekannte Schwachstellen aller Schweregrade. Um den operativen IT-Betrieb nicht zu stören, werden dabei keine destruktiven Scanmethoden eingesetzt.

Die Ergebnisse der Schwachstellenscans werden ausschließlich an den Auftraggeber des Scans zur weiteren Verwendung übermittelt. Da der Betrieb der einrichtungseigenen IT-Systeme den Einrichtungen obliegt, findet keine zentrale Überwachung der Mitigationsmaßnahmen o.ä. statt.

Da die Kosten zentral finanziert werden, ist die Nutzung dieses Services für Einrichtungen der Universität Ulm kostenfrei.

Nein, sie müssen dieses Angebot nicht nutzen. Es wird Ihnen aber dringend empfohlen, die von Ihnen betreuten Systeme mindestens ein- bis zweimal pro Jahr überprüfen zu lassen.