Skip to content

Schwachstellen (CVEs)

Pulse gleicht veröffentlichte CVEs (Common Vulnerabilities and Exposures) mit Ihrem Geräteinventar ab und stellt jeden Treffer als Fund dar, den Sie bewerten können. Anders als ein Vorfall — der ein Ausfallen oder Wiederanlaufen eines Monitors abbildet — löst sich eine Schwachstelle selten von selbst. Sie erfordert eine Entscheidung: Betrifft sie dieses Gerät, wird das Gerät auf eine Weise eingesetzt, die es angreifbar macht, und wie gehen Sie damit um? Schwachstellen sind deshalb ein eigenständiger Bereich in Pulse mit eigenem Lebenszyklus, eigener Aktivitätshistorie und eigener Berichterstattung, getrennt von Vorfällen.

CVE-Monitore

Ein CVE-Monitor steht für ein Gerät in Ihrem Inventar, das auf bekannte Schwachstellen geprüft werden soll. Sie legen ihn mit der Geräteidentität an:

  • Hersteller — der Gerätehersteller (zum Beispiel Siemens).
  • Bestellnummer — die Bestellnummer des Herstellers (die Siemens-MLFB, zum Beispiel 6ES7515-2AN03-0AB0).
  • Firmware (optional) — die installierte Firmware-Version, damit versionsspezifische Sicherheitsmeldungen präzise ausgewertet werden können.

CVE-Monitore befinden sich neben Ihren übrigen Monitoren unter CVE-Monitore. Sie können einen Monitor direkt anlegen oder von einem bestehenden Endpunkt-Monitor ausgehen, um den Hersteller vorauszufüllen.

Pulse prüft jeden CVE-Monitor regelmäßig erneut gegen den Schwachstellenkatalog. Ein Monitor wird als fehlerhaft angezeigt, solange er eine Schwachstelle enthält, die noch bearbeitet werden muss, und als fehlerfrei, sobald jeder Fund bewertet wurde oder keine Schwachstellen zutreffen.

Funde und ihr Lebenszyklus

Jede zutreffende CVE wird zu einem Fund, der seinem CVE-Monitor zugeordnet ist. Ein Fund trägt die Details der Sicherheitsmeldung (CVSS-Wert und Schweregrad, betroffenes Produkt und betroffene Version, Hinweise zur Behebung und einen Link zur Quellmeldung) sowie einen Bewertungsstatus:

  • Offen — neu erkannt, noch nicht bewertet.
  • In Bearbeitung — wird aktiv untersucht oder behoben.
  • Behoben — die Schwachstelle wurde behoben.
  • Wird nicht behoben — eine tatsächliche Schwachstelle, aber die bewusste Entscheidung, sie nicht zu beheben (akzeptiertes Risiko). Erfordert eine Begründung.
  • Nicht betroffen — als nicht zutreffend bewertet (zum Beispiel wird die betroffene Funktion nicht genutzt, oder der Versionsabgleich war ein Fehlalarm). Erfordert eine Begründung.
  • Risiko akzeptiert — vorübergehend bis zu einem von Ihnen gewählten Datum akzeptiert. Verstreicht dieses Datum, kehrt der Fund automatisch zu Offen zur erneuten Bewertung zurück. Erfordert eine Begründung und ein Ablaufdatum in der Zukunft.

Bewertungsentscheidungen sind beständig: Sie bleiben über erneute Prüfungen hinweg erhalten. Verschwindet eine Schwachstelle aus einer Prüfung und taucht später wieder auf, wird die frühere Bewertungsentscheidung beibehalten statt zurückgesetzt.

Funde werden nie gelöscht. Erkennt eine erneute Prüfung eine CVE nicht mehr, wird der Fund als nicht mehr erkannt markiert und aufbewahrt, damit Historie und Trends vollständig bleiben. Verwenden Sie den Filter Nicht mehr erkannte anzeigen, um diese in der Liste einzublenden.

Einen Fund bewerten

Öffnen Sie einen Fund, um seine vollständige Sicherheitsmeldung und das Bewertungsfeld zu sehen. Administratoren können den Bewertungsstatus über die Aktion Bewertung ändern anpassen:

  1. Wählen Sie den neuen Status.
  2. Geben Sie bei Wird nicht behoben, Nicht betroffen oder Risiko akzeptiert eine Begründung ein.
  3. Wählen Sie bei Risiko akzeptiert das Datum, an dem die Akzeptanz abläuft.
  4. Speichern Sie.

Jedes Mitglied kann einem Fund Kommentare hinzufügen, um Untersuchungsnotizen festzuhalten.

Aktivitätshistorie

Jeder Fund führt eine chronologische Aktivitätshistorie über alles, was mit ihm geschehen ist — automatische Prüfereignisse (erkannt, nicht mehr erkannt, wieder aufgetaucht, Risikoakzeptanz abgelaufen) und Aktionen von Personen (Bewertungsänderungen mit vorherigem und neuem Status sowie Begründung, und Kommentare). Prüfungsbedingte Einträge werden System zugeordnet; Einträge von Personen zeigen, wer sie vorgenommen hat.

Der Reiter Aktivität auf der Schwachstellen-Seite zeigt dieselben Ereignisse über alle Funde Ihrer Organisation hinweg, die neuesten zuerst, sodass Sie die jüngste Bewertungs- und Erkennungsaktivität auf einen Blick sehen.

Die Schwachstellen-Seite

Die Seite Schwachstellen öffnet sich im Reiter Funde, der mit einem Überblicks-Dashboard beginnt:

  • Nach Bewertungsstatus und Nach Schweregrad — Anzahl der derzeit zutreffenden Schwachstellen.
  • Erkannt vs. behoben — ein 30-Tage-Trend.
  • Am stärksten betroffene Geräte — die CVE-Monitore mit den meisten zutreffenden Funden.

Unterhalb des Dashboards filtern und durchsuchen Sie die Funde:

  • Suche — nach CVE-Kennung, Titel oder betroffenem Produkt.
  • Filter — nach Bewertungsstatus und Schweregrad, und ob nicht mehr erkannte Funde angezeigt werden.

Untersuchung mit AI Canvas

Auf der Detailseite eines CVE-Funds öffnet die Schaltfläche KI fragen den AI Canvas mit einer vorausgefüllten Frage zu dieser spezifischen CVE und diesem Gerät. Der Assistent erklärt die Schwachstelle verständlich — worum es geht, wie schwerwiegend sie ist und was ein Angreifer damit tun könnte — und analysiert anschließend, wie sie den jeweiligen überwachten Monitor betrifft: ob er in einer OT-Umgebung wahrscheinlich ausnutzbar ist und welche konkreten Behebungs- oder Minderungsmaßnahmen ergriffen werden sollten.

Sie können den AI Canvas auch ohne Öffnen eines bestimmten Funds nach Schwachstellen befragen. Aus dem Canvas heraus kann der Assistent Ihre CVE-Funde nach Bewertungsstatus, Schweregrad, betroffenem Gerät und weiteren Filtern abfragen — zum Beispiel: „Welche meiner Geräte haben kritische offene CVEs?" oder „Gib mir einen Schwachstellenbericht für meine Siemens-Geräte."

Berichterstattung

Pulse versendet wöchentlich eine Schwachstellen-Zusammenfassung per E-Mail an die Administratoren der Organisation: Anzahl nach Bewertungsstatus sowie die Anzahl neuer Funde mit kritischem und hohem Schweregrad aus der vergangenen Woche. Es ist keine Konfiguration erforderlich.

Lizenzierung

Die Schwachstellen-Funktion wird pro Organisation durch Ihre Lizenz freigeschaltet. Ohne sie stehen CVE-Monitore und Funde nicht zur Verfügung.