Schwachstellen Management
Allgemeines
Das Schwachstellen Management ist eine Softwarelösung, die es Ihnen ermöglicht, automatisch zuvor definierte Sicherheitslücken zu erkennen. Aufgrund der zunehmenden Bedrohungen im Internet, veraltete und nicht aktualisierten Programme vereint das Schwachstellen Management all diese Punkte und bietet eine zentrale Verwaltung an, den Problemen zuvorzukommen: Gefundene Schwachstellen in Ihrem Netzwerk werden übersichtlich gelistet und dargestellt und erlauben zusätzlich den Einblick in die einzelnen Clients, die von den Sicherheitslücken betroffen sind.
Das Schwachstellen Management ist vollständig in ACMP integriert und durchläuft dabei wesentlich drei Schritte: Der ACMP Server muss zunächst die Schwachstellendefinitionsdatei herunterladen bzw. aktualisieren. Anschließend muss der Schwachstellen Scanner auf dem Client laufen. Sobald der Scan gelaufen ist, werden die Funde an den ACMP Server übermittelt und stehen Ihnen zur weiteren Auswertung in ACMP zur Verfügung.
Die Einträge werden tabellarisch, in einem Grid, für Sie zusammengefasst. Dort finden Sie diverse Informationen zu der Schwachstelle (CVE ID und Bezeichnung), sowie den jeweiligen Schweregrad und wie viele Clients von der Sicherheitslücke betroffen sind.
Sehen Sie Handlungsbedarf für die Beseitigung der gefundenen Schwachstellen, können Sie nun dynamische Container erstellen, die dann mittels eines Client Commands, einer Windows Update Collection oder eines Managed Software Updates an die betroffenen Clients gesendet werden können. Alternativ dazu können Sie die gewünschte Aktion auch direkt an die betroffenen Clients schicken. Das Ziel des Schwachstellen Managements ist es, Ihnen mögliche Sicherheitslücken aufzuweisen, damit diese beseitigt werden können.
Was ist eine Schwachstelle?
Im ACMP-Kontext ist von einer Schwachstelle die Rede, wenn es sich um eine bekannte und öffentlich dokumentierte Sicherheitslücke innerhalb einer Soft- oder Hardware handelt. Die Datengrundlage basiert dabei auf dem CVE-System (Common Vulnerabilities and Exposures), welches sich nach dem US-amerikanischen Standard richtet und weltweit üblich ist. Die hier genannten Schwachstellen sind nach einem klaren Namensschema aufgebaut: Es setzt sich aus dem Präfix „CVE“, dem Jahr und der ID zusammen, die für die sequenzielle Kennung steht (z.B. „CVE-2024-4450“).
Aufbau des Schwachstellen Managements
Das Plugin Schwachstellen Management besteht aus verschiedenen Reitern, angefangen mit dem Dashboard, in dem Sie relevante Informationen über die Schwachstellen in Ihrem Unternehmen übersichtlich zusammengefasst einsehen können (siehe „Das Dashboard im Schwachstellen Management). Im Reiter entdeckte Schwachstellen werden Ihnen sämtliche Sicherheitslücken aufgelistet, die auf mindestens einem Client in Ihrer Umgebung entdeckt wurden. Unter den global ausgeschlossenen Ausschlüssen finden Sie Schwachstellen, die gesamt (für alle bereits bekannten Funde und auch mögliche zukünftige) ausgeschlossen wurden. Dies betrifft die gesamte Schwachstelle. Lokale Ausschlüsse werden nur explizit für die selektierten Clients ausgeschlossen und nicht für alle.
Vorbereitungen für die Arbeiten im Schwachstellen Management
Um das Schwachstellen Management in Betrieb zu nehmen, sind ein paar Vorbereitungen erforderlich:
Vorkonfigurationen
| Gültige Lizenz | Stellen Sie sicher, dass Sie über eine gültige Lizenz für das Schwachstellen Management verfügen. Diese benötigen Sie auch, wenn Sie das Modul testen. Die Lizenz kann über den Vertriebsansprechpartner angefordert bzw. freigeschaltet werden. |
| Schwachstellen Scanner aktivieren | Standardmäßig ist der Schwachstellen Scanner bei der Inbetriebnahme von ACMP deaktiviert und muss daher aktiviert werden. Die Aktivierung des Scanners sollte generell im Agentenplaner (Client Management > Agentenplaner) durchgeführt werden, damit alle Clients gescannt werden. Navigieren Sie zu dem Bereich der Console und wählen Sie für das Betriebssystem Windows den Job Schwachstellen Scanner aus und öffnen Sie die Startbedingungen über einen Doppelklick. Setzen Sie einen Haken in der Checkbox Aktiviert und ändern Sie nach Bedarf die Startbedingung (Standard: Startintervall: einmal täglich). Alternativ dazu kann der Schwachstellen Scanner über die Abfrageverwaltung auch manuell für einzelne Clients ausgeführt werden.
Bedenken Sie, dass die Ausführung des Schwachstellen Scanners zu Last auf Ihren Systemen führt. Stellen Sie die Startbedingungen daher so ein, dass der Scanner nicht zu Zeiten mit einer generell hohen Belastung ausgeführt wird |
| Zugriff auf ein File Repository | Es ist außerdem erforderlich, dass die Clients, die nach Schwachstellen durchsucht werden sollen, Zugriff auf ein File Repository benötigen, welches den Inhalt der „Schwachstellendefinitionsdateien“ hat. Diese Dateien sind dafür verantwortlich, dass neue Sicherheitslücken in Ihrem System erkannt werden und die Liste synchronisiert wird. Stellen Sie zudem sicher, dass der ACMP Server mit dem Internet verbunden ist, um die Aktualisierungen herunterladen zu können. Überprüfen Sie hierfür die Freigabe der notwendigen URLs, um auf die Ressourcen zugreifen zu können. |
Warning: Berechtigungen verteilen
Um für spätere Arbeiten im Schwachstellen Management vorbereitet zu sein, sollten Sie bereits vorab einmal die Berechtigungen der Benutzer überprüfen, ob diese korrekt sind. Öffnen Sie dafür die Berechtigungen der jeweiligen Benutzergruppe oder des Benutzers in der Benutzerverwaltung (System > Benutzerverwaltung). Navigieren Sie dafür zu der Wizardseite „Rechte des Benutzers“ > Security > Schwachstellen Management und setzen Sie die nötigen Haken in den Checkboxen. Um sämtliche Funktionen des Plugins nutzen zu können, sollten Sie also die Rechte vollständig vergeben (z.B. um später Schwachstellen auszuschließen oder diesen Ausschluss wieder rückgängig zu machen).
Nötige Berechtigungen für das Schwachstellen Management verteilen
Nachdem Sie die nötigen Vorarbeiten getätigt haben, können Sie mit der eigentlichen Arbeit beginnen. Navigieren Sie in das Schwachstellen Management (Security > Schwachstellen Management) und stellen Sie zunächst sicher, dass die Definitionsdateien aktuell sind. Klicken Sie dafür in der Ribbonleiste auf 
Schwachstellendefinitionsdatei aktualisieren. Die geplante Serveraufgabe wird in Kürze gestartet. Den Stand des Jobs können Sie direkt im Dashboard, im Widget Downloadstatistik, einsehen. Andernfalls liegen noch keine Daten vor und die Widgets bleiben leer.
Allgemeiner Hinweis zur Dauer des Downloads der Definitionsdatei: Je nach Auslastung des ACMP Servers sowie des SQL Servers kann das Aktualisieren der Definitionsdatei längere Zeit in Anspruch nehmen. Führen Sie während dieser Zeit einen Schwachstellen Scan durch, wird dieser in einem Fehler enden. Empfehlung: Prüfen Sie beim ersten Aktualisieren der Definitionsdatei im Taskmanager die CPU-Last des ACMP Server Dienstes und des SQL Server Dienst. Wenn die Auslastung beider Prozesse sich wieder normalisiert hat, sind die Definitionen vollständig aktualisiert.
Das Dashboard im Schwachstellen Management
Das Dashboard im Schwachstellen Management besteht aus mehreren Widgets, die Ihnen gesammelt wichtige Informationen auf einem Blick liefern. Die Widgets sind standardmäßig folgende:
- Downloadstatistiken
- Alle Clients gruppiert nach Schweregrad
- Clients mit den meisten Schwachstellen
- Häufigste Schwachstellen
- Schwachstellen mit der höchsten Bewertung
Tipp: Wollen Sie Änderungen an der Darstellung oder Positionierung der Widgets vornehmen, können Sie dies anhand der dazugehörigen Anleitung erledigen.
Sind die Widgets bisher noch nicht mit Daten gefüllt, müssen Sie dafür ggf. die oben erwähnten, notwendigen Vorkehrungen noch treffen.
Übersicht der Widgets im Schwachstellen Management Dashboard
| Widget | Beschreibung |
| Downloadstatistiken | Die Downloadstatistiken im Schwachstellen Management bieten Ihnen Informationen dazu, wann das letzte Mal nach Updates gesucht wurde und wann der letzte Download der Definitionsdatei war. Bei der Suche nach Updates können nach der Zeitangabe unterschiedliche Statusmeldungen gelistet sein (z.B. „OK“, „Neuste Schwachstellendefinitionsdateien wurden bereits heruntergeladen“), die auch ggf. auf eine Fehlermeldung hindeuten können. Dies kann zum Beispiel dann der Fall sein, wenn der Server nicht erreicht wurde und deshalb keine neue Datei eingespielt werden konnte. Klicken Sie dann nochmals in der Ribbonleiste auf Schwachstellendefinitionsdatei aktualisieren und warten Sie das neue Ergebnis hierzu ab. Beachten Sie, dass nur eine Datei heruntergeladen wird, sollte eine neue Version verfügbar sein. Anhand der festgelegten Startbedingung in den geplanten Serveraufgaben (System > Einstellungen > ACMP Server > Geplante Serveraufgaben) wird die Datei aktualisiert (Default: Starte alle fünf Stunden). Stoßen Sie während der Arbeitszeit manuell den Download an und es wird Ihnen die Meldung „Neuste Schwachstellendefinitionsdateien wurden bereits heruntergeladen“ angezeigt, so gab es noch keine Änderungen in der Datei und Sie sind auf dem neusten Stand. Wird dagegen eine Datei im Laufe des Tages auf dem Update Server aktualisiert, wird sie mit dem nächsten Download neu eingespielt. |
| Alle Clients gruppiert nach Schweregrad | In diesem Widget werden Ihnen alle Clients, gruppiert nach den gefundenen Schweregraden, angezeigt. Sie können sich diese Angaben detailliert in einer Abfrage anzeigen lassen. Im Widget selbst werden die Ergebnisse in Form eines Tortendiagramms präsentiert. Die nebenliegende Legende zeigt farblich an, welche höchste Sicherheitslücke auf dem Client gefunden wurde und welche Gewichtung sie hat (siehe auch "Gewichtung und Schweregrad von Schwachstellen"). |
| Clients mit den meisten Schwachstellen | Das Widget zeigt die Clients mit den meisten Schwachstellen an. Möchten Sie sich mehr Informationen und Details dazu ausgeben lassen, können Sie unten in der rechten Ecke auf Details in Abfrage anzeigen klicken. Die Abfrage öffnet sich in einem neuen Fenster. Wenn Sie in dem Balkendiagramm auf den Client klicken, können Sie von dort aus auch sich die individuellen Client Details anzeigen lassen. Dort bekommen Sie in dem Reiter Entdeckte Schwachstellen die individuell aufgelisteten Schwachstellen inklusive aller Details angezeigt. |
| Häufigste Schwachstellen | In diesem Widget sieht man die Schwachstellen, die in der gescannten Umgebung am häufigsten vorkommen. Die Ergebnisse hierzu werden anhand ihrer Häufigkeit gesammelt und tabellarisch angezeigt. Wie auch in den anderen Bereichen des Dashboards können Sie sich auch hier die Details dazu in einer Abfrage anzeigen lassen. |
| Schwachstellen mit der höchsten Bewertung | Das Widget zeigt Ihnen die Schwachstellen, sortiert nach der höchsten (CVSS) Bewertung, an. Standardmäßig erfolgt die Sortierung von hoch nach niedrig. Die Grid-Einträge lassen sich beliebig filtern, sortieren und gruppieren (siehe auch Kapitel Aufbau eines Grids in ACMP). Rufen Sie über Details in Abfrage anzeigen mehr Informationen zu den Ergebnissen auf. |
Eigenschaften der Felder im Schwachstellen Grid
Nachfolgend finden Sie die jeweiligen Erklärungen und Bedeutungen zu den Feldern, die Ihnen die Informationen im Grid zu den Schwachstellen zusammenfassen.
Note:
Beachten Sie, dass die Verfügbarkeit der Eigenschaften davon abhängig ist, in welchem Reiter Sie sich befinden (beispielsweise sind „Schwachstellen Ausschluss Beschreibung“ und „Schwachstellen Ausschluss Erstellung von“ nur in den Reitern global/lokal ausgeschlossene Schwachstellen vorhanden und nicht unter Entdeckte Schwachstellen).
| Eigenschaft | Beschreibung |
| CVE ID | Die CVE ID ist eine global vergebene Kennung einer Sicherheitslücke. Diese setzt sich aus dem Präfix „CVE“, dem Jahr, in dem die Sicherheitslücke entdeckt wurde, sowie der Identifikationsnummer zusammen, die für die sequenzielle Kennung steht (z.B. „CVE-2024-4450“). |
| Bezeichnung | Die Bezeichnung gibt die offizielle Nennung der Schwachstelle an. Oftmals sind dort auch die betroffenen Versionen gelistet sowie nochmals die CVE ID. |
| CVSS Schweregrad | Der Schweregrad wird in vier Kategorien der Schwachstelle eingeordnet: "Kritisch", "Hoch", "Mittel" oder "Niedrig". Tipp: Sollte ein Schweregrad im Grid mit „nicht verfügbar“ betitelt werden, wurde noch keine Einordnung vorgenommen. Der Schweregrad kann noch nachträglich durch das System neu eingeordnet werden. „Informativ“ sind Sicherheitslücken, die einen Schweregrad von Null (0) haben. |
| Produktnamen | Der Produktname gibt das jeweilige Produkt an, unter dem die Schwachstelle fällt (z.B. SQLite, Microsoft SQL Server). |
| Veröffentlichungsdatum | Das Veröffentlichungsdatum gibt das Datum an, an dem die Schwachstelle publik gemacht wurde (Datum und Uhrzeit). |
| Schwachstellen Containerpfad | Gibt den Pfad zum Container einer Schwachstelle an, sofern dieser generell hinterlegt wurde. Der Benutzer hat die Möglichkeit direkt aus den Schwachstellen heraus einen Container zu erstellen. Über einen solchen Container kann ggf. eine Gegenmaßnahme (z.B. zum Verteilen von Updates) eingeleitet werden. |
| Anzahl betroffener Clients | Gibt die Anzahl der betroffenen Clients an, wie viele von der Schwachstelle betroffen sind. Die Eigenschaft steht synonym für „Betroffene Clients“. |
| Schwachstellen Ausschluss Beschreibung | Unter diesem Eintrag finden Sie die Begründung für den Ausschluss einer Sicherheitslücke. |
| Schwachstellen Ausschluss Erstellung von | Es wird der Ersteller, der die Schwachstelle ausgeschlossen hat, angegeben. |
| Schwachstellen Ausschluss Erstellungszeitpunkt | Hier wird der Erstellungszeitpunkt festgehalten, wann der Ausschluss der Sicherheitslücke erfolgte. |
| Computer Name | Gibt den Computernamen wieder, auf dem die Schwachstelle gefunden wurde. |
Tipp: Im Kapitel "Aufbau eines Grids in ACMP" finden Sie allgemeine Tipps und Ratschläge, wie Sie die Einträge nach Ihren Wünschen sortieren, filtern oder gruppieren können.
Gewichtung und Schweregrad von Schwachstellen
Eine CVE-Schwachstelle (Common Vulnerabilities and Exposures) ist eine bekannte Sicherheitslücke innerhalb einer Soft- oder Hardware, die ein Risiko darstellt, dass Angreifer unbefugten Zugriff erlagen und somit Systeme kompromittieren könnten. Jede dieser Sicherheitslücken erhält eine eindeutige CVE ID, die sie weltweit identifizierbar macht. Die Schwachstellen erhalten nach dem internationalen Standard dabei sowohl einen Schweregrad als auch eine numerische Gewichtung, damit ein Benutzer die Gefahr einordnen kann. Im Schwachstellen Management erhalten Sie die notwendigen Informationen dazu in den Widgets sowie in den Reitern entdeckte Schwachstellen und global/lokal ausgeschlossene Schwachstellen.
Für ein besseres Verständnis finden Sie nachfolgend eine Tabelle mit den Einträgen, sowie einer Einordnung des Schweregrads und einer Beschreibung.
| (CVSS) Schweregrad | CVSS Gewichtung | Beschreibung |
| 10,0 – 9,0 | Eine Sicherheitslücke mit dem Schweregrad „Kritisch“ erfordert sofortigen Handlungsbedarf, da sie auf ein hohes Risiko möglicher Angreifer hinweist. Diese Art von Schwachstelle kann beispielsweise entkräftigt werden, wenn ein passender Patch eingespielt wird, welches die Schwachstelle behebt. |
| 8,9 – 7,0 | Eine Schwachstelle mit einem Schweregrad „Hoch“ deutet auf eine Sicherheitslücke hin, die schwere Auswirkungen auf ein System haben kann und es Angreifern ermöglicht, unbefugten Zugriff zu sensiblen Systemen zu erhalten. Es kann ggf. zu einem Verlust großer Datenmengen oder zu Systemausfällen kommen. |
| 6,9 – 4,0 | Eine Schwachstelle mittlerer Einstufung bezieht sich oft auf Sicherheitslücken, die durch Social Engineering (also der gleichen Anwesenheit im selben Netzwerk) oder dem eingeschränkten Zugriff auf ein betroffenes System gekennzeichnet sind. Der Schweregrad ist dabei auch von verschiedenen Metriken abhängig (z.B. technische Ausnutzbarkeit der Sicherheitslücke und die Auswirkungen auf das betroffene System). |
| 3,9 – 0,1 | Sicherheitslücken, die mit „Niedrig“ eingestuft werden, stellen eine deutlich geringere Gefahr dar als die zuvor gelisteten Schweregrade. Bei einer niedrigen Sicherheitslücke ist es oft erforderlich, lokalen oder physischen Zugriff auf ein System zu haben, um Schaden anzurichten. |
| 0 | Eine CVE-Schwachstelle mit einem informativen Wert stellt keinerlei Bedrohung dar. |
| -1 | Eine Schwachstelle mit einem Wert von -1 ist eine Sicherheitslücke, für die (noch) kein Schweregrad definiert wurde. |
| - | Clients, auf denen keine Schwachstellen gefunden wurden, erhalten diese Einordnung. |
| - | „Management nicht möglich“ kann beispielsweise als Status erscheinen, wenn Sie in Ihrem Netzwerk manuelle Clients angelegt haben, die nicht weiter verwaltet werden können. |
| - | Clients, die gescannt werden können, aber noch nicht gescannt wurden und keine Schwachstellendaten übermittelt haben, haben diesen Schweregrad. |
Kritisch / Critical
Hoch / High
Mittel / Medium
Niedrig / Low
Informativ / Nicht verfügbar
Kein Schweregrad definiert
Keine Schwachstelle
Management nicht möglich
Keine ScandatenEntdeckte Schwachstellen
Im Reiter Entdeckte Schwachstellen werden Ihnen alle gefundenen Schwachstellen aufgelistet, die auf mindestens einem Client in Ihrer Umgebung gefunden wurden. Der Arbeitsbereich ist dabei in zwei Bereiche unterteilt: im oberen Bereich finden Sie eine tabellarische Auflistung der Ergebnisse, sowie unten die Detailansicht zu einer ausgewählten Schwachstelle. Über das DropDown-Menü oberhalb des Grids können Sie zusätzlich die Ergebnismenge beeinflussen, indem Sie sich entweder nur die auf den Clients entdeckten Sicherheitslücken anzeigen lassen können oder alle veröffentlichten Schwachstellen. Standardmäßig ist erstere Option vorausgewählt.
Note:
Sollten Sie die Option Zeige alle Schwachstellen an auswählen, kann das zu sehr langen Ladezeiten führen, da hier eine große Datenmenge geladen werden muss.
Beispiel einer ausgewählten Schwachstelle im Reiter Entdeckte Schwachstellen
Aktionen lassen sich bequem über die Ribbonleiste oder aus dem Kontextmenü ausführen. Hier können Sie z.B. entscheiden, ob eine Sicherheitslücke global oder lokal ausgeschlossen werden soll. Ein Ausschluss ist dafür da, um nicht relevante Schwachstellen aus der Zählung herauszunehmen. Globale Ausschlüsse gelten für alle bereits bekannten sowie möglichen zukünftigen Funde einer Schwachstelle (alle Clients), lokale Ausschlüsse gelten dagegen nur für die selektierten Clients. Wählen Sie die gewünschte Anzahl an Schwachstellen im Grid aus und wählen Sie für einen globalen (
) oder lokalen (
) Ausschluss der Schwachstelle den jeweiligen Button aus und geben Sie eine Begründung für den Ausschluss an. Aktualisieren (
) Sie die aktuelle Ansicht der entdeckten Schwachstellen oder erzeugen Sie direkt aus dem Fenster heraus einen Container für die ausgewählte Sicherheitslücke (
). Über die Aktion Selektierte Schwachstellen zu einem bestehenden Container hinzufügen lassen sich zudem auch ausgewählte zu einem bereits angelegten Container ergänzen. Sollten Sie bereits für eine Schwachstelle einen Container erstellt haben, können Sie über den Button 
Zum Container wechseln dorthin navigieren, andernfalls ist der Button ausgegraut.
Im Grid sind diverse Angaben zu den jeweiligen entdeckten Schwachstellen für Sie zusammengestellt, die Ihnen beispielsweise erste Hinweise zu dem Schweregrad, der betroffenen Clients und dem Zeitpunkt, wann die Schwachstelle entdeckt wurde, geben. Eine detaillierte Auflistung zu den Eigenschaften der Felder im Grid finden Sie hier.
Im unteren Bereich finden Sie nochmals drei Reiter mit den detaillierten Informationen zu der selektierten Schwachstelle: Allgemein, Betroffene Produkte und Betroffene Clients.
| Allgemein | Unter Allgemein finden Sie einige gesammelte Informationen zu der CVE ID, dem Schweregrad und der Bewertung, sowie einer Beschreibung und weiterführende Links und Metainformationen zu der Schwachstelle. |
| Betroffene Produkte | Es werden alle Produkte aufgelistet, die von der Schwachstelle betroffen sind. |
| Betroffene Clients | Hier können Sie sich im Detail anschauen, welche Clients von der Sicherheitslücke betroffen sind.
Solange Sie keinen Client selektiert haben, werden Ihnen die Elemente aller betroffenen Clients angezeigt. Unterteilt ist der Reiter in zwei Bereiche: Links sehen Sie die Clients, die von der Schwachstelle betroffen sind. Per Doppelklick auf dem Client können Sie direkt die Client Details des Clients zur Schwachstelle öffnen. Ansonsten können Sie aus dem Fenster heraus noch die Schwachstelle auf dem ausgewählten Client lokal ausschließen (
Da es sich hierbei um einen Client-basierten Ausschluss für den jeweils ausgewählten Client handelt, erscheint der Ausschluss unter dem „lokalen“ Reiter und nicht unter dem „globalen“. Darüber hinaus können Sie auf allen oder einem ausgewählten Client einen Windows-Job ausführen ( |
), sodass diese unterhalb des Reiters Lokal ausgeschlossene Schwachstellen gelistet und aus der Zählung der betroffenen Clients entfernt wird.
) (um z.B. manuell die Schwachstelle über ein zuvor erstelltes Client Command zu beheben) oder den Windows-Client erneut scannen (
), um darüber eine Container für eine Schwachstelle erzeugen
Aus dem Schwachstellen Management heraus ist es möglich, dass Sie direkt einen Container für eine Sicherheitslücke erzeugen können. Dies ist entweder über das Kontextmenü oder über die Aktion 
Container erzeugen in der Ribbonleiste möglich.
Um einen Container zu erstellen, müssen Sie zunächst eine Schwachstelle aus dem Grid selektieren und dann auf die Aktion klicken. Es öffnet sich der Wizard für das Hinzufügen eines neuen ACMP Containers. Der wesentliche Unterschied zum regulären Erstellungsprozess ist, dass das Feld Name bereits mit der CVE-ID ausgefüllt ist und unter der dynamischen Clientverknüpfung die Schwachstelle eingefügt wurde. Sobald Sie den Container erstellt haben, wechselt die Ansicht automatisch zu den Containern (Client Management > Container) und Ihnen wird die Liste der Clients angezeigt, die unter die Schwachstelle fallen. Alternativ können Sie auch über die Aktion 
Zum Container wechseln über die Ribbonleiste dorthin gelangen.
Global und lokal ausgeschlossene Schwachstellen
Note:
Beachten Sie, dass Sie für den Ausschluss von Schwachstellen über die notwendigen Berechtigungen verfügen müssen (siehe "Vorbereitungen für die Arbeiten im Schwachstellen Management").
Global und lokal ausgeschlossene Schwachstellen können Sie festlegen, indem Sie unter den Entdeckten Schwachstellen in der Ribbonleiste entweder auf global (
) oder auf lokal ausschließen (
) klicken. Der Vorgang für die beiden Ausschluss-Arten ist identisch: Wählen Sie in dem Grid die Schwachstelle(n ) aus, die Sie ausschließen wollen und klicken Sie dafür auf den jeweiligen Button. Geben Sie für den Ausschluss einen Grund an und bestätigen Sie das Fenster mit Ja. Den Ausschluss-Grund können Sie dann dem Grid-Feld in den anderen Reitern (global oder lokal) entnehmen.
Beispiel für global ausgeschlossene Schwachstellen
Im Falle eines globalen Ausschlusses wird die entdeckte Schwachstelle aus der Tabelle entfernt und in dem anderen Reiter (global) gelistet.
Die Ausschlüsse sind dafür da, um nicht relevante Schwachstellen aus der Zählung herauszunehmen. Bei einem globalen Ausschluss wird die gesamte Schwachstelle ausgeschlossen, für alle bereits bekannten Funde sowie für mögliche zukünftigen. Bei einem lokalen Ausschluss wird eine Sicherheitslücke explizit nur für die selektierten Clients ausgeschlossen, unabhängig davon, ob eine Schwachstelle global oder lokal ausgeschlossen wurde, werden die Clients trotzdem auf diese Schwachstelle gescannt.
Globaler oder lokaler Ausschluss – Was ist für mich der richtige Weg?
Der wesentliche Unterschied zwischen den beiden Ausschluss-Arten liegt darin, dass der globale Ausschluss für alle bestehenden und zukünftigen Clients gilt und damit die ausgewählte Sicherheitslücke, unabhängig wie viele Clients in Ihrem Netzwerk sind, allgemein und uneingeschränkt für alle ausgeschlossen werden. Der lokale Ausschluss von Schwachstellen hingegen gilt nur für einen oder die Anzahl der selektierten Clients.
Setzen Sie zum Beispiel gerade erst eine neue Umgebung auf oder sind in Ihrem Netzwerk noch nicht viele Clients aufgeführt und Sie wissen, dass bestimmte Schwachstellen bei Ihnen keine Relevanz finden und diese deshalb auch nicht in die Statistik (siehe Dashboard) fallen sollen, können Sie diese global ausschließen. Das bedeutet, dass auch die Clients, die zu einem späteren Zeitpunkt gescannt werden, ebenfalls nicht diese Schwachstellen „entdecken“ werden.
Haben Sie beispielsweise aber einen Client, auf dem manche Schwachstellen keine Relevanz haben, weil sie zwar auftreten, aber sie in Ihrer IT-Infrastruktur unterbunden werden (z.B. weil keine Patchs verfügbar sind oder es gibt keinen Fix für das Problem), kann die Schwachstelle lokal für einen einzelnen Client ausgeschlossen werden. Ein möglicher weiterer Grund für einen Ausschluss kann sein, dass es Clients gibt, die z.B. eine Maschine steuern, die eine bestimmte Version einer Software benötigen. Um die Komptabilität zu gewährleisten, darf die Maschine nicht aktualisiert werden. Sprich: Die Schwachstellen kommen nicht in Frage, da ein solcher Client nicht geupdatet wird und die Schwachstelle nicht behoben werden kann, aufgrund interner Vorgaben/Richtlinien.
Note:
Beachten Sie, dass lokale Ausschlüsse auf Client-basierten Informationen beruhen. Wenn Sie also eine Schwachstelle für mehrere Clients ausgewählt haben, die lokal ausgeschlossen wird, wird die Information dazu mehrfach im Grid unter dem Eintrag „CVE ID“ gelistet.
Um einen Ausschluss rückgängig zu machen beziehungsweise diesen zu entfernen, wählen Sie in dem jeweiligen Reiter (global oder lokal ausgeschlossene Schwachstellen) die Schwachstelle aus und klicken Sie dann in der Ribbonleiste auf 
Ausschluss entfernen oder rufen Sie das Aktionsfeld über das Kontextmenü auf. Bestätigen Sie auch hier die Sicherheitsfrage, damit die Sicherheitslücke entfernt wird und unter dem Reiter Entdeckte Schwachstellen aufgeführt wird.
Möchten Sie im Nachgang den Grund für einen Ausschluss bearbeiten, können Sie dies über die gleichnamige Kontextmenü-Aktion machen (Grund für Ausschluss bearbeiten).
Schwachstellen in den Client Details
Über die Client Details (ausgewählter Client > Client Details > Software > Security > Schwachstellen) lassen sich die Schwachstellen des ausgewählten Clients anzeigen. Aus dieser Ansicht heraus sehen Sie, wann der letzte Client-Scan stattfand und welchen Zeitstempel die Schwachstellendefinitionsdatei hat, also wann das letzte Mal eine neue Datei eingespielt wurde. Zusätzlich dazu sind auch alle entdeckten sowie möglicherweise bereits ausgeschlossenen Schwachstellen in den namentlich benannten Reitern gelistet.
Dank des Dashboards und dem hier hinterlegtem Widgets „Schwachstellen gruppiert nach Schweregrad“ sehen Sie die ausgewählten Informationen zu dem selektierten Client gruppiert sortiert.
Aktionen in den Client Details lassen sich einzig über das obere Schnellwahlmenü ausführen. Die Ansicht ist unterteilt in die einzelnen Reiter und den tabellarisch gelisteten Schwachstellen. Sofern Sie eine Schwachstelle im Grid auswählen, können Sie dem unteren Bereich erneut detaillierte Informationen entnehmen.
Beispielansicht der Schwachstellen eines Clients
Schwachstellen Historie
Ab der ACMP Version 6.9 haben Sie die Möglichkeit, sich die Schwachstellen Historie mittels der Display Fields anzeigen zu lassen. Verwenden Sie hierfür als Basis der Abfrage „Clients“ und wählen Sie anschließend die Felder, die in der Abfrage einbezogen werden sollen über die linke Navigation aus (Verfügbare Felder > Vulnerabilities > Vulnerabilities History) und fügen Sie diese auf der rechten Seite ein.
Konfiguration für die Schwachstellen Historie
Durchlaufen Sie den restlichen Wizard und legen Sie ggf. noch weitere Konfigurationen fest.
Allgemeine Informationen zu der Abfragenbasis finden Sie auch im gleichnamigen Kapitel der Abfrageverwaltung.
Wichtige Informationen über entdeckte Schwachstellen eines Clients werden in historischen Daten gespeichert, somit haben Sie die Möglichkeit, die Entwicklung Ihres Schwachstellen Managements nachzuvollziehen oder im Falle eines Audits diese Informationen abzurufen. Sobald eine neue Schwachstelle auf einem Client gefunden wurde, wird ein neuer Datensatz in der Historie erstellt und darunter gelistet. Hierunter fallen z.B. die Informationen, wann das erste Mal der Scanner eine Schwachstelle gefunden hat (Display Field „Erster Fund der Schwachstelle“) und wann er diese das letzte Mal entdeckt hat („Letzter bekannter Fund“). Für die genauere Nachverfolgung werden dabei sowohl das Datum als auch die Zeitangabe gespeichert.
Die Eigenschaften der hier vorzufindenden Felder können Sie der nachfolgenden Tabelle entnehmen.
| Eigenschaft | Beschreibung |
| Erster Fund der Schwachstelle | Der erste Fund der Schwachstelle gibt das Datum und die Uhrzeit wieder, an dem der Scanner zum ersten Mal die Schwachstelle auf dem Client gefunden hat und wann der Datensatz zu der Sicherheitslücke erstellt wurde. |
| Letzter bekannter Fund | Es wird das Datum und die Uhrzeit festgehalten, an dem der Scanner das letzte Mal den Fund gemeldet hat. Beachten Sie, dass sich die Zeitangaben zu diesem Feld immer wieder ändern können, denn jedes Mal, wenn der Scanner den Fund erneut scannt, wird er aktualisiert. Denn sollte ein Client gescannt werden und die Sicherheitslücke wird dann nicht mehr gefunden, gilt die Schwachstelle auf dem Client als geschlossen (siehe auch die Eigenschaft „Geschlossen seit“). |
| Geschlossen seit | Die Angabe „Geschlossen seit“ bezieht sich darauf, wenn eine Schwachstelle beim erneuten Scan nicht mehr gefunden wurde und damit den Status „Geschlossen“ bekommt. Erhält eine Schwachstelle in dieser Eigenschaft eine Zeitangabe, gilt diese als geschlossen. Sollte die gleiche Schwachstelle zu einem anderen Zeitpunkt nochmal auftreten, wird ein neuer Datensatz erstellt mit einem neuen „erster Fund der Schwachstelle“-Datum. Hierdurch kann eingesehen werden, ob eine Sicherheitslücke mehrfach auftritt. |
| CVE ID | Die CVE ID ist eine global vergebene Kennung einer Sicherheitslücke. Diese setzt sich aus dem Präfix „CVE“, dem Jahr, in dem die Sicherheitslücke entdeckt wurde, sowie der Identifikationsnummer zusammen, die für die sequenzielle Kennung steht (z.B. „CVE-2024-4450“). |
| Schwachstellen Beschreibung | Die Beschreibung fasst allgemeine Informationen zu der Schwachstelle zusammen. |
| Schwachstellen Bezeichnung | Die Bezeichnung gibt die offizielle Nennung der Schwachstelle an. Oftmals sind dort auch die betroffenen Versionen gelistet sowie nochmals die CVE ID. |
| Ausschluss erstellt von | Es wird der Ersteller (ACMP Benutzername), der die Schwachstelle ausgeschlossen hat, angegeben. |
| Zeitpunkt des Ausschlusses | Es wird der Zeitpunkt des Ausschlusses (Datum und Uhrzeit) festgehalten, an dem der Ausschluss erstellt wurde. |
| CVSS Schweregrad | Der Schweregrad wird in vier Kategorien der Schwachstelle eingeordnet: „Kritisch“, „Hoch“, „Mittel“ oder „Niedrig“. |
Einsicht in die Schwachstellen Historie
Wie lange werden die Daten der Schwachstellen Historie gespeichert?
Der Serverjob "Bereinigung der Schwachstellen Historie" ist für das Löschen veralteter Historie Einträge verantwortlich. Der Standardwert, nach dem die Einträge gelöscht werden, beträgt 90 Tage. Sie können die Anzahl der Tage unter den Aufräumoptionen anpassen und eine andere Zeitspanne angeben, wie lange die Logs aufbewahrt werden sollen. Klicken Sie dafür per Doppelklick auf die geplante Serveraufgabe und geben Sie eine andere Anzahl an Tagen an. Der Serverjob wird einmal täglich ausgeführt.
Hinweis: Der Löschzeitpunkt bezieht sich auf die Datums- und Zeitangabe des Feldes „Geschlossen seit“. Es werden nur die Daten gelöscht, die älter als die Angaben hier sind. Schwachstellen, die noch offen sind, werden nicht gelöscht und sind nicht von dem Serverjob betroffen.
Note:
Folgende Faktoren können dazu führen, dass in der Historie unter Umständen viele Datensätze gespeichert werden:
- Anzahl der Tage, wann veraltete Einträge gelöscht werden sollen
- Anzahl der Clients, die verwaltet werden
- Anzahl der Schwachstellen, die auf den Clients entdeckt werden oder vielleicht sogar immer wieder auftreten.