Schwachstellenanalyse: Methodik, Vorgehen und typische Fehler

Schwachstellenanalyse ist einer der überdehntesten Begriffe im Sicherheitsmarkt. Was darunter angeboten wird, reicht von der dreiseitigen Word-Vorlage bis zur sechs-Monate-Beratung mit hundert-Seiten-PDF. Beides ist selten das, was ein Geschäftsführer braucht. Dieser Artikel erklärt, wie eine fundierte Schwachstellenanalyse strukturiert ist, was sie liefern muss und welche Schritte oft fehlen.

Was eine Schwachstellenanalyse nicht ist

Bevor wir das Vorgehen beschreiben, drei verbreitete Missverständnisse:

• Sie ist kein Audit. Ein Audit prüft Konformität gegen einen Standard. Eine Schwachstellenanalyse prüft, was im Betrieb tatsächlich angemessen ist. Beides hat Wert, aber sie haben unterschiedliche Ergebnisse.
• Sie ist keine Checkliste. Wer eine Schwachstellenanalyse auf eine Excel-Tabelle reduziert, übersieht die Hälfte der Realität. Die Lücken sind oft genau dort, wo die Tabelle keine Spalte hat.
• Sie ist nicht delegierbar an die IT. Ein wesentlicher Teil der Befunde betrifft Organisation, Personal, physische Sicherheit und Lieferkette. Die IT kann das nicht alleine erheben.

Die fünf Phasen einer fundierten Schwachstellenanalyse

In unserer Praxis nutzen wir die folgenden fünf Phasen. Die Reihenfolge ist nicht beliebig, sie ergibt sich aus dem, was eine Analyse überhaupt liefern soll.

Phase 1: Vorbereitung und Scope-Definition

Bevor der Begeher den Standort betritt, müssen vier Dinge klar sein:

• Geltungsbereich: Welche Standorte, welche Betriebsbereiche, welche Systeme?
• Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit, Datenschutz, physische Sicherheit, Versorgungssicherheit. Nicht alle Ziele sind gleich wichtig für jeden Betrieb.
• Bedrohungslandschaft: Welche Angreifer und welche Ereignisse sind realistisch? Ein kleiner Speditionsbetrieb steht nicht im Visier staatlicher Akteure, aber durchaus im Visier organisierter Frachtkriminalität.
• Normen-Bezug: Welche Regelwerke sind anzuwenden? NIS2, KRITIS-DachG, ISO 27001, branchenspezifische Vorgaben?

Diese Phase dauert in der Regel ein bis zwei Stunden Gespräch mit der Geschäftsführung. Wenn jemand sie überspringt, kommt am Ende ein Bericht heraus, der zu viel und zu wenig prüft.

Phase 2: Begehung vor Ort

Die Begehung ist das, was viele Audits unterschätzen. Sie liefert die Differenz zwischen dokumentiertem Soll-Zustand und realem Ist-Zustand. Im klassischen Audit fragt der Prüfer nach Dokumenten und glaubt der Antwort. In der Schwachstellenanalyse geht der Begeher selbst durch und überprüft.

Eine fundierte Begehung dauert mindestens einen vollen Werktag pro Standort, eher zwei. Sie deckt mindestens acht Kategorien ab:

1. Perimeter und Zugang (Zaun, Tor, Empfang, Identifikation)
2. Innere Zonen und Zutrittskontrolle (Lagerflächen, IT-Räume, Schaltzentralen)
3. Technische Überwachung (Kamera, Alarm, Sensorik, Auswertung)
4. Notfall- und Krisenpläne (Brandfall, Stromausfall, IT-Ausfall, Cyberangriff)
5. Organisation und Personal (Verantwortlichkeiten, Schulungen, Ausweis-Management)
6. IT-Infrastruktur und Logik (Netz-Topologie, Zugriffe, Updates, Backups)
7. Lieferanten und Subunternehmer (Drittparteien-Risiken, Vertragslage)
8. Dokumentation und Aufzeichnung (Was wird festgehalten, wer schaut es an)

Unser Tool Gemba Walk strukturiert diese Begehung als digitalen Fragebogen auf dem Tablet, mit Fotos, Notizen und Risikobewertung live vor Ort. Damit wird die Begehung dokumentiert, ohne dass im Anschluss aus Notizzetteln ein Bericht rekonstruiert werden muss.

Phase 3: Strukturierte Interviews

Parallel zur Begehung führen wir kurze Interviews mit Schlüsselrollen:

• Geschäftsführung: Wo sehen Sie die größten Sorgen? Was würde Sie nachts wach halten?
• Sicherheits- oder IT-Verantwortliche: Was funktioniert nicht so gut, wie Sie es gerne hätten?
• Operative Rollen (Lager, Werkstatt, Empfang): Welche Regelungen werden im Alltag umgangen, weil sie unpraktisch sind?

Diese Interviews liefern oft die wertvollste Information. Mitarbeiter wissen genau, wo die Regeln im Alltag scheitern. Sie wissen es meistens auch, ohne dass man sie fragt, aber wenn man fragt, wird daraus auswertbares Material.

Phase 4: Analyse und Mapping

Die rohen Befunde aus Begehung und Interviews werden gegen die Norm-Anforderungen gespiegelt. In unserer Plattform S3:Analytics läuft das automatisiert: jeder Befund wird auf ISO 27001, NIS2 (§ 30 BSIG), COBIT 2019, ISO 9001 und weitere Frameworks gemappt. Daraus ergibt sich ein Reifegrad pro Kategorie und pro Norm.

Das Mapping ist kein Selbstzweck. Es dient zwei Zwecken: Erstens kann die Geschäftsführung gegenüber Behörden und Wirtschaftsprüfern belegen, dass sie ihre Pflichten kennt. Zweitens helfen die Norm-Bezüge bei der Priorisierung, weil sie Pflichtmaßnahmen von Kann-Maßnahmen unterscheiden.

Phase 5: Maßnahmenplan und Übergabe

Das Ergebnis einer Schwachstellenanalyse ist nicht ein Bericht. Es ist ein Maßnahmenplan. Der Unterschied:

• Ein Bericht beschreibt, was ist.
• Ein Maßnahmenplan beschreibt, was zu tun ist, mit Aufwand, Verantwortlichkeit und Zeit.

Ein guter Maßnahmenplan hat drei Eigenschaften:

• Priorisiert: Nicht alle Maßnahmen sind gleich wichtig. Wir markieren Sofortmaßnahmen (30 Tage), Mittelfrist (drei bis sechs Monate) und Strategisch (über sechs Monate).
• Konkret: Jede Maßnahme hat einen Aufwand in Euro, eine Verantwortlichkeit (Rolle, nicht Person) und ein Zeitfenster.
• Geschäftsführer-sprachlich: Wer den Plan liest, muss verstehen, was bei Umsetzung passiert. “Implementierung eines ISMS gemäß ISO 27001” ist keine Maßnahme. “Bestellung einer Sicherheitsverantwortlichen Rolle und Festlegung des Sicherheits-Steuerkreises bis Q3” ist eine Maßnahme.

Die Übergabe erfolgt im Gespräch, nicht per E-Mail. Wir gehen jede Maßnahme mit der Geschäftsführung durch, beantworten Rückfragen und klären offene Punkte. Wer das auslässt, hat einen Plan, der in den Schrank wandert.

Drei Fehler, die wir bei fast jeder zweiten Übernahme finden

Wenn wir bei einem neuen Kunden den Vorgänger-Audit-Bericht sehen, treffen wir oft eines von dreien:

Fehler 1: Begehung wurde durch Interview ersetzt

Der Prüfer war einen halben Tag vor Ort, hat mit drei Personen gesprochen und ist gegangen. Die Begehung selbst fand nicht statt. Das Ergebnis: Befunde reflektieren, was die Befragten wissen, nicht was sie nicht wissen.

Fehler 2: Maßnahmenplan wurde durch Empfehlungsliste ersetzt

Der Bericht endet mit “Wir empfehlen die Einführung eines ISMS”. Das ist keine Maßnahme, das ist ein Wunsch. Es fehlt der Aufwand, die Reihenfolge und der Verantwortliche.

Fehler 3: Norm-Mapping fehlt

Befunde stehen ohne Bezug zu Regelwerken im Raum. Die Geschäftsführung kann nicht erkennen, welche Befunde Pflichten betreffen und welche Empfehlungen sind. Bei einer behördlichen Anfrage fehlt die Argumentationsgrundlage.

Wie viel sollte eine Schwachstellenanalyse kosten?

Das hängt von Geltungsbereich, Standortzahl und Norm-Anforderungen ab. Für einen mittelständischen Einzelstandort liegt eine fundierte Schwachstellenanalyse zwischen 2.000 und 5.000 Euro Festpreis bei fünf Werktagen Dauer. Wer wesentlich weniger anbietet, kann nicht gründlich sein. Wer wesentlich mehr verlangt, baut Beratungs-Theater statt Liefer-Klarheit.

Unsere S3-Methode liefert eine vollständige Schwachstellenanalyse in fünf Werktagen zum Festpreis, mit dem Maßnahmenplan in Geschäftsführer-Sprache und Norm-Mapping auf ISO 27001 und § 30 BSIG.

Quellen und Standards

• BSI-Standard 200-3 Risikoanalyse auf Basis von IT-Grundschutz
• ISO 27005 Information Security Risk Management
• ISO 31000 Risk Management Principles and Guidelines
• VdS-Schriftenreihe zu physischer Sicherheit
• Branchenspezifische Sicherheitsstandards (B3S) des BBK