Security Advisory Dashboard Pro

Jeden Morgen dieselbe Frage: Welche der 40 neuen Schwachstellen von gestern muss ich heute patchen – und betrifft mich davon überhaupt etwas? Genau für diese Frage habe ich das Security Advisory Dashboard gebaut.

Wer Windows- und Server-Infrastrukturen betreut, kennt das Grundrauschen: Das BSI CERT-BUND veröffentlicht täglich neue Sicherheitshinweise, jeder mit einem CVSS-Score, jeder scheinbar dringend. Ein CVSS von 9.8 schreit „sofort handeln“. Aber wenn an einem Dienstag fünf Advisories mit 9.8 hereinkommen – welches zuerst? Und was ist mit der 7.5er-Lücke, für die es bereits einen öffentlichen Exploit gibt?

Der reine CVSS-Score beantwortet diese Fragen nicht. Er sagt, wie schlimm eine Lücke theoretisch ist – nicht, wie wahrscheinlich sie praktisch ausgenutzt wird und schon gar nicht, ob das betroffene Produkt bei Ihnen im Rack steht. Das Security Advisory Dashboard schließt genau diese Lücke. Und zwar auf eine Art, die ich in dieser Kombination bei keinem anderen Werkzeug gefunden habe.

In diesem Artikel gehe ich durch die Funktionen, die im Alltag den Unterschied machen. Kein Marketing – sondern das, was das Tool tatsächlich tut.

Der Kern: Priorität statt Panik

Das Herzstück ist eine einzige Kennzahl, die aus drei Datenquellen entsteht. Das Dashboard lädt die Advisories des BSI CERT-BUND, reichert sie mit der CISA-KEV-Liste (welche Schwachstellen werden nachweislich aktiv ausgenutzt?) und den EPSS-Werten von FIRST.org (wie wahrscheinlich ist eine Ausnutzung in den nächsten 30 Tagen?) an.

Daraus bildet es den Priority-Score – das Produkt aus CVSS und EPSS. Diese eine Zahl ordnet die Advisories so, wie man sie tatsächlich abarbeiten sollte:

BeispielRechnungBewertung
CVSS 9.8, kaum ausgenutzt9.8 × 1 % = 0,1kann warten
CVSS 7.5, Exploit kursiert7.5 × 80 % = 6,0vorrangig patchen
CVSS 9.8, hohe Ausnutzung9.8 × 50 % = 4,9dringend

Der Effekt im Alltag ist erstaunlich: Die 7.5er-Lücke mit aktivem Exploit landet über der 9.8er, die niemand angreift. Genau so trifft man Patch-Entscheidungen – nach realem Risiko, nicht nach einem theoretischen Maximalwert. Und wenn ein CISO nach der Begründung fragt, steht sie schwarz auf weiß in der Tabelle.

Praxis-Tipp: Nach Priority absteigend sortieren und den EPSS-Filter auf „ab 10 %“ setzen. Oben stehen dann die Advisories, die schwer und wahrscheinlich ausnutzbar sind. Die tägliche Triage ist damit in wenigen Minuten erledigt.

Das Highlight: Betrifft mich das überhaupt?

Priorisierung ist die halbe Miete. Die andere Hälfte: Von 300 geladenen Advisories betreffen die allermeisten Produkte, die Sie gar nicht im Einsatz haben. Hier setzt das Asset-Profil an – und das ist die Funktion, auf die ich am meisten stolz bin.

Die Idee ist simpel: Sie hinterlegen einmal, welche Produkte bei Ihnen laufen – Exchange, Windows Server, OPNsense, was auch immer. Ein Asset ist dabei ein Produkt, kein Host: Zehn Server mit demselben Exchange sind ein einziger Eintrag. Das Tool gleicht dann jedes neue Advisory gegen dieses Profil ab.

Das Besondere ist das Wie. Ein simpler Textabgleich würde bei „Server“ auf fast jedes Advisory anspringen – unbrauchbar. Deshalb arbeitet das Dashboard zweistufig:

Stufe 1Textabgleich
Produktname und Titel werden gegen das Profil geprüft – ohne Netzwerkzugriff, aber mit Fehltreffern.
Stufe 2CSAF-Verifikation
Nur für die Kandidaten aus Stufe 1 lädt das Tool das maschinenlesbare CSAF-Dokument des BSI und prüft den Produktbaum (Hersteller → Produkt → CPE). Bestätigte Treffer bleiben, Fehlalarme fliegen raus.

Das Ergebnis meldet die Statusleiste im Klartext, etwa: „12 Treffer (9 per CSAF bestätigt, 1 nur Text, 4 Fehlalarme verworfen)“. Statt hunderter blinder Netzabrufe entstehen nur eine Handvoll – und Sie sehen auf einen Blick, welchem Treffer Sie trauen können. Bestätigte Treffer bekommen eine Zielscheibe, unscharfe Text-Treffer einen blassen Kreis.

CSAF (Common Security Advisory Framework) ist der maschinenlesbare Standard, auf den das BSI seine Advisories umstellt. Dass das Dashboard diesen Produktbaum direkt auswertet, hebt den Asset-Abgleich von „gefühlt passt das“ auf „das BSI nennt Ihr Produkt explizit“.

Ehrlich bleibt ehrlich: Der BSI-Feed nennt bei vielen Herstellern keine exakten Versionsstände – bei Microsoft steht dort „Server“, nicht „2019 CU14“. Ein Treffer bedeutet also: Dieses Produkt läuft bei Ihnen und ist betroffen. Nicht: Genau Ihr Patchstand ist verwundbar. Diese letzte Frage klärt der Hersteller-Hinweis. Das Dashboard sagt Ihnen zuverlässig, wo Sie hinschauen müssen – nicht mehr, aber auch nicht weniger.

Der Asset-Alarm: einmal einrichten, dann Ruhe

Wer will schon jeden Morgen das Tool öffnen? Deshalb läuft der Asset-Abgleich auch vollautomatisch. Der Asset-Alarm prüft in einem einstellbaren Intervall – auch ohne geöffnete Oberfläche, per Windows Scheduled Task – und schickt eine E-Mail, sobald ein Advisory eines Ihrer Produkte betrifft.

Damit der Alarm nicht zum Grundrauschen wird, sind die Schwellen frei wählbar: ab welchem CVSS-Wert, nur aktiv ausgenutzte Schwachstellen (KEV), nur CSAF-bestätigte Treffer, nur neue Advisories. Die Voreinstellung – ab CVSS 7,0, nur bestätigt, nur neu – ist ein solider Ausgangspunkt.

Die Alarm-Mail selbst ist so gebaut, dass die entscheidende Information sofort ins Auge springt: eine Spalte „Ihr Asset“ beantwortet direkt, warum die Meldung Sie angeht. Kennzahlen (kritisch, hoch, aktiv ausgenutzt, ohne Patch), die Liste der betroffenen Assets, und bei KEV- oder kritischen Treffern wird die Mail mit hoher Priorität versendet – in Outlook mit dem roten Ausrufezeichen.

Ein Detail, das im Betrieb Gold wert ist: Jeder Treffer wird nur einmal gemeldet. Vorgemerkt wird aber erst nach erfolgreichem Versand – ein SMTP-Fehler darf keinen Alarm verschlucken. Und Oberfläche und Task teilen sich dieselbe Merkliste: Was der Task nachts gemeldet hat, alarmiert morgens nicht noch einmal.

Fünf Reports, komplett automatisierbar

Der Asset-Alarm ist einer von fünf E-Mail-Reports, die sich unabhängig voneinander schalten lassen – jeder mit eigenem Empfänger und optional dem vollständigen Report als HTML- oder PDF-Anhang:

ReportWas er meldet
Daily-ReportStatistik der letzten 7 Tage, Watchlist-Status, Top-5 nach Priority
KEV-ReportNur aktiv ausgenutzte CVEs – hohe Priorität
EPSS-ReportAdvisories über dem EPSS-Schwellwert
Watchlist-AlertNeue Advisories zu überwachten Produkten
Asset-AlarmAdvisories, die Ihre eigenen Produkte betreffen

Die geplanten Tasks werden direkt aus dem E-Mail-Fenster angelegt – kein PowerShell-Skript, kein manueller Aufruf von schtasks.exe. Report aktivieren, Uhrzeit oder Intervall setzen, Task-Konto wählen, speichern. Als Konto stehen SYSTEM (einfach, kein Passwort) oder ein gMSA (für AD-Umgebungen, automatische Passwort-Rotation) bereit.

Und der ganze Rest, der einfach funktioniert

Rund um diese Kernfunktionen gibt es eine Reihe von Dingen, die man erst zu schätzen weiß, wenn man sie braucht:

  • Watchlist – der schnellere, textbasierte Bruder des Asset-Profils, inklusive „Top 10“-Ansicht der am häufigsten betroffenen Produkte.
  • Auto-Refresh – lädt in festem Intervall nach; zusammen mit dem Neuheits-Filter „seit letztem Laden“ wird das Dashboard zum Frühwarnsystem.
  • Offline-Modus – ist die Quelle nicht erreichbar, arbeitet das Tool mit dem Cache weiter. Der Cache wird nie mit Teildaten überschrieben.
  • Export nach CSV, Excel (farbcodiert, mit Hyperlinks), HTML (interaktiv, mit Suchfeld) und PDF (A4 quer, druckfertig).
  • Ransomware-Kennzeichnung und CISA-Behebungsfrist pro Advisory – die Fälle, die wirklich keinen Aufschub dulden.
  • AES-256-Verschlüsselung für das SMTP-Passwort – bewusst nicht DPAPI, damit auch SYSTEM- und gMSA-Tasks die Konfiguration lesen können.

Warum das Ganze?

Schwachstellen-Management ist im Mittelstand oft ein Nebenjob – erledigt zwischen Ticket-Bearbeitung und Backup-Kontrolle, von Leuten, die zehn andere Dinge gleichzeitig im Kopf haben. Genau dafür ist das Security Advisory Dashboard gemacht: Es nimmt den Feed des BSI, verbindet ihn mit dem, was CISA und FIRST über reale Ausnutzung wissen, und filtert am Ende auf die eine Frage herunter, die zählt – was muss ich zuerst tun, und betrifft es mich?

Und im Kontext von NIS2, BSI IT-Grundschutz und ISO 27001 ist der Nebeneffekt fast so wertvoll wie die tägliche Zeitersparnis: Ein nachvollziehbar dokumentierter, automatisierter Schwachstellen-Prozess – genau das, was ein Audit sehen will.

Neugierig geworden?

Das Security Advisory Dashboard  Pro ist Teil des ISW-ADTools-Portfolios.
Mehr unter isw-adtools.de – oder schreiben Sie mir direkt.

Datenquellen: BSI CERT-BUND · BSI CSAF 2.0 · CISA Known Exploited Vulnerabilities · FIRST.org EPSS. Getestet unter Windows 10/11 und Windows Server 2019+.