Schwachstellenmanagement

Dokumenttyp: Richtlinie & Prozess Geltungsbereich: Alle für Kunden relevanten Systeme der PORTA-Plattform Version: 1.0 Status: Entwurf zur internen Freigabe Owner: Betrieb / Entwicklung Letzte Aktualisierung: 02.06.2026 Deckt ab (CACC): 54, 59, 63, 84

1. Zweck

Kontinuierliche Identifizierung, Bewertung, Behandlung und Nachverfolgung von Schwachstellen in den für Kunden relevanten Systemen.

2. Identifizierungsmethoden (#63)

Methode	Häufigkeit	Status
Automatisiertes Dependency-Scanning (Bibliotheken)	kontinuierlich	[ZU PRÜFEN: Dependabot/Scanner aktiv?]
Schwachstellen-Scan der Server/Endpunkte	[ZU PRÜFEN, Vorschlag: quartalsweise]	[ZU PRÜFEN]
Penetrationstest durch unabhängige Dritte	jährlich	[ZU PRÜFEN: bisher durchgeführt? Sonst erstmalig planen]
Interne Code-Reviews	pro Change	Umgesetzt (siehe Dok 08)

3. Bewertung und Behandlung (#84)

Dokumentation: Jede Schwachstelle wird mit Quelle, betroffenem System und CVSS-Score erfasst.
Bewertung: Einstufung nach Kritikalität.
Massnahme: Behebung über Patch- (Dok 09) bzw. Change-Prozess (Dok 08), nach den dort definierten Fristen.
Nachverfolgung: Offene Schwachstellen werden bis zur Behebung in einem Register getrackt.
Reporting: Status mindestens quartalsweise intern; auf Anfrage für berechtigte Kunden/Prüfer einsehbar.

4. Unabhängige Audits (#54, #59)

Punkt #54/#59 verlangen regelmässige unabhängige Audits und die Bereitstellung vollständiger Auditberichte (nicht nur Zertifikate).

Aktuell: [ZU PRÜFEN: Es liegen bisher keine externen Audit-/Pentest-Berichte vor.]
Massnahme: Jährlichen externen Penetrationstest beauftragen; Bericht ablegen und berechtigten Kunden zugänglich machen. Behobene Schwachstellen dokumentieren.

5. Schwachstellen-Register (Vorlage)

ID	Datum	System	Beschreibung	CVSS	Status	Behoben am

6. Stand der Umsetzung / Lücken

Thema	Status	Massnahme
Externer Pentest	[ZU PRÜFEN / fehlt]	Jährlich beauftragen
Dependency-Scanning	[ZU PRÜFEN]	Aktivieren
Schwachstellen-Register	Neu	Anlegen

2.3 KiB Raw Blame History