# Schwachstellenmanagement

**Dokumenttyp:** Richtlinie & Prozess
**Geltungsbereich:** Alle für Kunden relevanten Systeme der PORTA-Plattform
**Version:** 1.0
**Status:** Entwurf zur internen Freigabe
**Owner:** Betrieb / Entwicklung
**Letzte Aktualisierung:** 02.06.2026
**Deckt ab (CACC):** 54, 59, 63, 84

---

## 1. Zweck

Kontinuierliche Identifizierung, Bewertung, Behandlung und Nachverfolgung von Schwachstellen in den für Kunden relevanten Systemen.

## 2. Identifizierungsmethoden (#63)

| Methode | Häufigkeit | Status |
|---|---|---|
| Automatisiertes Dependency-Scanning (Bibliotheken) | kontinuierlich | [ZU PRÜFEN: Dependabot/Scanner aktiv?] |
| Schwachstellen-Scan der Server/Endpunkte | [ZU PRÜFEN, Vorschlag: quartalsweise] | [ZU PRÜFEN] |
| Penetrationstest durch unabhängige Dritte | jährlich | **[ZU PRÜFEN: bisher durchgeführt? Sonst erstmalig planen]** |
| Interne Code-Reviews | pro Change | Umgesetzt (siehe Dok 08) |

## 3. Bewertung und Behandlung (#84)

1. **Dokumentation:** Jede Schwachstelle wird mit Quelle, betroffenem System und CVSS-Score erfasst.
2. **Bewertung:** Einstufung nach Kritikalität.
3. **Massnahme:** Behebung über Patch- (Dok 09) bzw. Change-Prozess (Dok 08), nach den dort definierten Fristen.
4. **Nachverfolgung:** Offene Schwachstellen werden bis zur Behebung in einem Register getrackt.
5. **Reporting:** Status mindestens quartalsweise intern; auf Anfrage für berechtigte Kunden/Prüfer einsehbar.

## 4. Unabhängige Audits (#54, #59)

Punkt #54/#59 verlangen regelmässige unabhängige Audits und die Bereitstellung **vollständiger Auditberichte** (nicht nur Zertifikate). 

- **Aktuell:** [ZU PRÜFEN: Es liegen bisher keine externen Audit-/Pentest-Berichte vor.]
- **Massnahme:** Jährlichen externen Penetrationstest beauftragen; Bericht ablegen und berechtigten Kunden zugänglich machen. Behobene Schwachstellen dokumentieren.

## 5. Schwachstellen-Register (Vorlage)

| ID | Datum | System | Beschreibung | CVSS | Status | Behoben am |
|---|---|---|---|---|---|---|
| | | | | | | |

## 6. Stand der Umsetzung / Lücken

| Thema | Status | Massnahme |
|---|---|---|
| Externer Pentest | [ZU PRÜFEN / fehlt] | Jährlich beauftragen |
| Dependency-Scanning | [ZU PRÜFEN] | Aktivieren |
| Schwachstellen-Register | Neu | Anlegen |