Definition und Funktionsweise:
Ein Schwachstellenmanagement beinhaltet das ständige Überwachen der Lieferanten (SPS-Hersteller, Sensorik) auf Sicherheitswarnungen (Advisories). Wird eine Schwachstelle gemeldet, muss deren CVSS-Score bewertet werden, um zu entscheiden, wie schnell gehandelt werden muss.
Relevanz für SPS und Automatisierungstechnik:
- Gesetzliche Pflicht:NIS-2 und CRA machen dieses Management für Anlagenbetreiber und Hersteller zur Pflicht.
- Basis ist das Asset-Management: Ohne eine genaue Asset-Inventarisierung (Wissen, welche Firmware auf welcher SPS läuft) läuft das Schwachstellenmanagement ins Leere.
- Mitigierung: Kann nicht gepatcht werden, müssen Ersatzmaßnahmen ergriffen werden.
→ Siehe auch: Asset-Inventarisierung, CVSS, Patch-Management

