Was ist ein Vulnerability-Management-Leistungsverzeichnis?
Vulnerability Management ist der kontinuierliche Prozess, IT-Schwachstellen zu identifizieren, zu bewerten und zu beheben. Anders als ein einmaliger Penetrationstest läuft Vulnerability Management dauerhaft: Scans gegen Server, Endgeräte, Netzwerk und Cloud-Workloads liefern täglich neue Schwachstellen-Daten, die priorisiert und einer Behebung zugeführt werden müssen.
Für KRITIS-Betreiber ist ein dokumentiertes Schwachstellen-Management nach § 8a BSIG verpflichtend. Auch jenseits von KRITIS empfiehlt der BSI IT-Grundschutz dieses Vorgehen ausdrücklich. Unser Muster-LV deckt alle relevanten Anforderungen ab: vom Scanning über Risiko-Priorisierung (CVSS, EPSS) bis zur Remediation-Anbindung an Patch-Management und Ticketing-Systeme. Es ist auf öffentliche Auftraggeber zugeschnitten und berücksichtigt KRITIS- sowie BSI-Anforderungen.
Leistungsumfang des Muster-LV Vulnerability Management
Scanning & Asset Discovery
Aus unseren Vergabeprojekten wissen wir, dass die Scan-Strategie der häufigste Stolperstein bei Vulnerability-Management-Beschaffungen ist. Wer nur unauthentifiziert scannt, sieht die Hälfte. Wer nur Agents installiert, übersieht das ungemanagte Schatten-IT. Unser Muster-LV fordert deshalb klar strukturiert: kombinierte Authenticated und Unauthenticated Scans, agentenbasierte und agentenlose Verfahren, kontinuierliche Asset Discovery sowie eine Anbindung an die bestehende CMDB. Container, Kubernetes-Workloads und Cloud-Ressourcen (AWS, Azure, GCP) gehören als separate Positionen dazu.
Marktführer wie Tenable, Qualys VMDR oder Rapid7 InsightVM bieten diese Funktionen in unterschiedlicher Tiefe. Open-Source-Alternativen wie Greenbone (OpenVAS) kommen für kleinere Behörden infrage. Damit Angebote vergleichbar werden, hat unser Muster-LV die Anforderungen produktneutral formuliert und am BSI IT-Grundschutz-Baustein OPS.1.1.3 zur Patch- und Änderungsverwaltung ausgerichtet.[1]
Risk Prioritization (CVSS, EPSS)
Eine reine CVE-Liste ohne Priorisierung ist nutzlos: Behörden bekommen täglich Hunderte neue Schwachstellen gemeldet, müssen aber begrenzte Patch-Kapazitäten sinnvoll einsetzen. Unser Leistungsverzeichnis fordert deshalb mehrstufige Risiko-Priorisierung: CVSS v3.1 und v4 als Grundbewertung, EPSS (Exploit Prediction Scoring System) als Wahrscheinlichkeits-Indikator und eine asset-basierte Gewichtung, die Geschäftskritikalität berücksichtigt. SLA-Definitionen je Risikoklasse (z.B. Critical innerhalb 7 Tagen, High 30 Tage) sind separate Positionen.
Das NIST SP 800-40 Revision 4 beschreibt diesen Priorisierungsansatz als Standard für Enterprise Patch Management und betont die Integration mit Threat Intelligence Feeds.[2] Für KRITIS-Betreiber ergänzt der § 8a BSIG diese Sicht um die Pflicht zur kontinuierlichen Überwachung kritischer Komponenten.[3] Wer reale Ausschreibungen zu Vulnerability-Management-Beschaffungen ansehen möchte, findet entsprechende Verfahren im Vergabe-Archiv.
Remediation & Reporting
Vulnerability Management endet nicht beim Scan-Report. Die eigentliche Wertschöpfung liegt in der Anbindung an Patch-Management und Ticketing-Systeme: Microsoft Endpoint Configuration Manager (SCCM), WSUS oder Ansible auf der Patch-Seite, Jira, ServiceNow oder OTRS auf der Ticket-Seite. Unser Leistungsverzeichnis fordert dokumentierte Schnittstellen zu mindestens einem Patch-Management- und einem Ticketing-Werkzeug sowie ein Ausnahme-Management für Schwachstellen, die nicht gepatcht werden können (Risikoakzeptanz, Compensating Controls).
Beim Reporting orientieren wir uns an den Kennzahlen, die Behörden in Audits und KRITIS-Prüfungen vorlegen müssen: Anzahl offener Schwachstellen je Risikoklasse, mittlere Time-to-Patch, Trend-Verlauf über 12 Monate und Compliance-Quote nach BSI- und DSGVO-Vorgaben. Anbieter wie Microsoft Defender Vulnerability Management liefern diese Reports out-of-the-box, andere benötigen Anbindung an ein bestehendes SIEM oder GRC-Werkzeug. Unsere Leistungsanforderung lässt beide Wege zu, fordert aber dokumentierte Schnittstellen und maschinenlesbare Export-Formate (JSON, CSV).
Quellen
- Bundesamt für Sicherheit in der Informationstechnik (BSI): „IT-Grundschutz-Kompendium, Baustein OPS.1.1.3 Patch- und Änderungsmanagement", bsi.bund.de, 2023.
- National Institute of Standards and Technology (NIST): „Special Publication 800-40 Revision 4: Guide to Enterprise Patch Management Planning", nvlpubs.nist.gov, 2022.
- Bundesamt für Sicherheit in der Informationstechnik (BSI): „§ 8a BSIG: Sicherheit in der Informationstechnik Kritischer Infrastrukturen", bsi.bund.de.
Technische Details
| Format | Microsoft Excel (.xlsx) + PDF |
| Umfang | mehr als 40 Leistungspositionen |
| Sprache | Deutsch |
| Vergaberecht | GWB, VgV, UVgO konform |
| Normen | BSI IT-Grundschutz OPS.1.1.3, NIST SP 800-40r4, § 8a BSIG |
| Stand | 2026 (regelmäßige Revision) |
| Lieferung | Lieferung in 5 Werktagen |
Muster-LV: Vulnerability Management
- aus vergangenen Projekten entwickelt
- CVSS v3.1/v4, EPSS, Risk-based Prioritization
- BSI OPS.1.1.3, NIST SP 800-40r4
- GWB / VgV / UVgO konform
- KRITIS § 8a BSIG konform
- Stand 2026 (regelmäßige Revision)
- E-Mail Support inklusive
