SALE

KENNENLERN-

ANGEBOT MIT

FAST 50% PREISVORTEIL

Festpreisaudit für Neukunden

Vollständiges int. Audit nach ISO/IEC 27001 oder VDA ISA

Was Sie erhalten:

✓ 5 Personentage professionelle Auditierung

✓ 4,5 Tage fokussierte Interviews mit Ihren Fachbereichen

✓ 100% remote – keine Reise- und Zusatzkosten

✓ Umfassende Prüfung Ihres ISMS

✓ Detaillierter Auditbericht mit klaren Handlungsempfehlungen

✓ Exklusive Compliance-Bestätigung bei Erfolg

ℹ️ Mehr Infos

🛒 Angebot anfordern

Suche

Patchmanagement & Schwachstellenmanagement: CVE-2023-36884 im Kontext der ISO 27001 und dem VDA ISA

Marc Borgers
17. Juli 2023
2 Min. Lesezeit

VDA ISA, ISO 27001, TISAX, Patchmanagement, Schwachstellenmanagement, Vulnerability Management, CVE

Die Bekanntmachung der Sicherheitslücke CVE-2023-36884 hat die Welt der IT-Sicherheit erneut erschüttert. Diese Lücke, die in allen Windows- und Office-Versionen vorhanden ist, erlaubt das Ausführen von Code aus der Ferne und hat daher das Potenzial, die Türen für Ransomware-Angriffe zu öffnen.

Im Kontext von Standards wie der ISO 27001 und dem VDA ISA, kann auch diese Lücke Auswirkungen auf die Prüfung des Patch- und Schwachstellenmanagements haben. Denn ein kritischer Aspekt der ISO 27001 und des VDA ISA ist das Vorhandensein und die Einhaltung von Prozessen zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. CVE-2023-36884 ist ein solches Risiko und die Reaktion des Unternehmens darauf kann wesentlich zur Compliance mit diesen Standards beitragen.

Für den Auditor im Kontext einer ISO 27001 oder TISAX®-Prüfung ist die Schwachstelle CVE-2023-36884 ein schöner Testpunkt. Er kann in der Prüfung darauf achten, wie das Unternehmen auf die Bekanntgabe dieser Lücke reagiert hat, wie schnell und effektiv das Patch- und Schwachstellenmanagement erfolgte und ob entsprechende Maßnahmen zur Minimierung des Risikos einer Ausnutzung der Schwachstelle ergriffen wurden.

Vulnerability Management, VDA ISA, ISO 27001, TISAX, Patchmanagement, Schwachstellenmanagement, CVE

CVE-2023-36884 unterstreicht erneut die Notwendigkeit einer systematischen und proaktiven Vorgehensweise beim Patch- und Schwachstellenmanagement. Unternehmen müssen ihre Patchmanagement-Prozesse so ausrichten, dass sie auch auf Notfälle vorbereitet sind. Das bedeutet, dass sie die Fähigkeit haben müssen, Sicherheitsupdates sofort zu testen und zu implementieren, sobald sie verfügbar sind. Darüber hinaus sollte das Schwachstellenmanagement nicht nur reaktiv, sondern auch präventiv gestaltet sein. Das bedeutet, dass es Prozesse zur Identifizierung und Bewertung potenzieller Schwachstellen beinhalten sollte, bevor sie ausgenutzt werden können. Das könnte beispielsweise durch regelmäßige Sicherheitsüberprüfungen, Penetrationstests und das Abonnieren von Sicherheitsbenachrichtigungen von Softwarelieferanten erreicht werden.

Abschließend lässt sich sagen, dass die Sicherheitslücke CVE-2023-36884 ein ernsthafter Weckruf für alle Unternehmen sein sollte, die die ISO 27001 oder den VDA ISA einhalten müssen. Die Bedeutung eines effektiven Patch- und Schwachstellenmanagements kann nicht hoch genug eingeschätzt werden und es ist entscheidend, dass Unternehmen hier proaktiv handeln, um die Sicherheit ihrer IT-Infrastrukturen zu gewährleisten und Compliance mit den geltenden Standards zu erreichen.

Sie haben Fragen?

Wir sind im Chat 24x7x365 für Sie erreichbar.

ISMS-Aufbau mit kostenloser KI-Unterstützung

Stellen Sie sich vor: Ein mittelständisches Logistikunternehmen mit 470 Mitarbeitern und 50 Standorten steht unter Druck. Cyberrisiken bedrohen sensible Daten, Kunden fordern ISO 27001-Nachweise und der traditionelle Weg zur Zertifizierung droht mit Kosten von 60.000–120.000 € und 12–18 Monaten Aufwand. Doch dieses Unternehmen wagt einen neuen Ansatz – mit unseren kostenlosen KI-Tools der AUDIT MANUFAKTUR ⚫️⚫️🔴 und gezieltem Audit Coaching.

Wie? Unsere Tools – ISMS QuickCheckGPT, ISMS BeraterGPT und ISMS ScopingGPT – ersetzen teure Beratung, ermöglichen autarke Umsetzung und sparen somit über 50 % der Kosten. Ergänzt durch flexibles Coaching, erreicht das Unternehmen in nur 10 Monaten die ISO 27001-Zertifizierung – ein Meilenstein für Sicherheit, Kundenvertrauen und neue Geschäftschancen.

👉 Lesen Sie die volle Erfolgsgeschichte in unserem Blog-Artikel. Erfahren Sie, wie KI und Audit Coaching die den Aufbau eines ISMS vereinfachen können.

KUNDENMEINUNGEN

Martin Kerkmann via LinkedIn | EPLAN

Im Rahmen einer umfangreichen ISO 27001 Zertifizierung hat Herr Borgers uns im Rahmen eines Thirty Party Audit im Vorfeld der Zertifizierung entscheidende Empfehlungen gegeben, so dass wir direkt beim ersten Anlauf das Zertifizierungsaudit zur ISO 27001 erfolgreich bestanden haben.

Matthias Zeiss via LinkedIn | Stadtwerke Mainz Netze

Gerade ihre Expertise im Voraudit waren maßgeblich für die später erfolgreiche Zertifizierung nach IT-Sicherheitskatalog gemäß Bundesnetzagentur und ISO 27001.

Sorin Mustaca via LinkedIn | Endpoint Cybersecurity GmbH

Herr Borgers ist ein sehr professioneller, fairer und aufgeschlossener Auditor. Er hat viel Flexibilität und Freundlichkeit gezeigt, ohne Abzüge in Gründlichkeit und Fachwissen.

Andreas Kirchner via LinkedIn | SPIRIT ISD

Fachlich brillant, super normensicher und technisch sehr versiert & up-to-date. Er kommt schnell auf den Punkt, kombiniert Methodik mit technischem Tiefgang und bleibt dabei absolut angenehm im Umgang. Seine Audits bringen dem Kunden echten Mehrwert und sorgen für ein besseres Informationssicherheitsniveau.

Weitere