Automatisches CVE-Management: erkennen und beheben

Wito AI

CVEs nicht nur sehen — automatisch schließen

Die meisten Scanner liefern eine lange Liste offener Schwachstellen und überlassen das Patchen Ihrem Team. Server Monitor schließt den Kreis: erkennen, alarmieren, beheben, reporten. Über eine streng allowlistete Befehlskette werden Sicherheitsupdates kontrolliert ausgerollt — gegen einen Mehrquellen-Feed inklusive des deutschen BSI, mit lückenlosem Audit-Trail.

Server Monitor ansehen Live-Demo anfragen

Das Problem: Schwachstellen erkennen ist nur die halbe Arbeit

Klassische Schwachstellen-Scanner sind gut darin, Probleme zu finden. Am Ende steht eine Liste: „14 offene CVEs auf diesem Server". Was dann folgt, ist manuelle Arbeit — jemand muss prüfen, priorisieren, ein Wartungsfenster finden, das Update einspielen und dokumentieren, dass es geschehen ist. In Teams ohne dediziertes 24/7-Ops-Personal bleibt dieser Schritt oft liegen. Die Lücke ist erkannt, aber sie ist weiterhin offen.

Je mehr Server ein Unternehmen betreibt, desto unhaltbarer wird dieser manuelle Patch-Zyklus. Das Dashboard blinkt rot, doch die eigentliche Risikoreduktion passiert erst, wenn ein Mensch handelt. Genau diese Lücke zwischen Erkennen und Beheben ist das, was Server Monitor anders löst.

Der geschlossene Kreislauf: Erkennen → Alarmieren → Beheben → Reporten

Server Monitor automatisiert nicht nur die Erkennung, sondern auch die Behebung. Der Go-Agent erfasst offene Updates, SSH-Härtung, Firewall-Status und Kernel-Stand und berechnet daraus einen Security-Score. Erkannte Schwachstellen können anschließend direkt aus der Plattform heraus geschlossen werden — kontrolliert und nachvollziehbar.

Erst Dry-Run, dann echtes Update

Die Remediation läuft über eine bewusst eng gefasste Befehlskette. Zuerst zeigt ein Dry-Run transparent, was gepatcht würde, ohne etwas zu verändern. Erst auf Freigabe löst der Agent das echte `security_update` aus; ein Reboot erfolgt nur, wenn er freigegeben ist und in ein gültiges Wartungsfenster fällt. Der Agent erkennt dafür selbstständig, ob ein Neustart erforderlich ist.

Wichtig für die Sicherheit: Der Agent führt ausschließlich eine fest definierte Allowlist von Befehlen aus (`dry_run`, `security_update`, `reboot`). Nutzerdaten werden nicht in Systembefehle interpoliert. Damit ist Remote-Code-Execution architektonisch ausgeschlossen — die Automatisierung erweitert die Angriffsfläche nicht.

Sechs Schwachstellen-Quellen — inklusive deutschem BSI

Die Qualität der Remediation steht und fällt mit der Qualität der Erkennung. Server Monitor gleicht gefundene Pakete gegen sechs Quellen ab:

OSV — Open Source Vulnerabilities, die quellenübergreifende Datenbank für Open-Source-Schwachstellen.
NVD — die National Vulnerability Database als internationale Referenz.
Debian und Ubuntu — distributionsspezifische Security-Tracker für präzises Paket-Matching.
CISA-KEV — der Katalog bekannter, aktiv ausgenutzter Schwachstellen.
BSI — der Feed des deutschen Bundesamts für Sicherheit in der Informationstechnik.

Der dpkg-bewusste Versionsvergleich ist auf Debian und Ubuntu optimiert. Dieser Mehrquellen-Abgleich erhöht die Trefferqualität und reduziert Fehlalarme spürbar gegenüber Werkzeugen, die nur eine einzige Datenbank konsultieren.

Jeder Schritt revisionssicher protokolliert

Jeder Statuswechsel einer Schwachstelle wird in einem append-only Audit-Trail festgehalten — Einträge lassen sich weder überschreiben noch löschen. Aus „Sie haben 14 CVEs" wird damit nicht nur „14 CVEs wurden geschlossen", sondern ein belastbarer, prüffähiger Nachweis: Wann wurde welche Lücke erkannt, wann behoben, in welchem Schritt. Genau das brauchen Sie für Sicherheits- und Compliance-Audits.

Geplante Downtimes lassen sich über Wartungsfenster abbilden, sodass weder Alarme noch Reboots zu Fehlalarmen oder ungewollten Neustarts führen. So bleibt die Server-Monitor-Automatisierung berechenbar, auch wenn sie nachts selbsttätig patcht.

Schwachstellen-Management aus der EU

Mehrquellen-Abgleich inklusive deutschem BSI-Feed — Ihre Daten bleiben im europäischen Rechtsraum.

Häufige Fragen

Beides, in dieser Reihenfolge. Server Monitor erkennt Schwachstellen und kann sie anschließend über eine allowlistete Befehlskette tatsächlich beheben. Ein Dry-Run zeigt zunächst, was gepatcht würde; erst auf Freigabe löst der Agent das echte security_update aus. Damit schließt sich der Kreis von der Erkennung bis zur Behebung — anders als bei reinen Scannern, die nur Listen liefern.

Ja, und das ist bewusst eng konstruiert. Der Agent führt ausschließlich eine fest definierte Allowlist von Befehlen aus (dry_run, security_update, reboot). Nutzerdaten werden nicht in Systembefehle interpoliert, und der Reboot-Zeitpunkt wird validiert. Dadurch ist Remote-Code-Execution architektonisch ausgeschlossen — die Automatisierung vergrößert die Angriffsfläche nicht.

Sechs Quellen: OSV, NVD, Debian, Ubuntu, CISA-KEV und der Feed des deutschen BSI. Der Versionsvergleich ist dpkg-bewusst und auf Debian/Ubuntu optimiert. Der Mehrquellen-Abgleich inklusive deutscher Behörde erhöht die Trefferqualität und reduziert Fehlalarme gegenüber Werkzeugen mit nur einer Datenbank.

Der Agent erkennt selbstständig, ob ein Reboot erforderlich ist. Neu gestartet wird jedoch nur, wenn der Reboot ausdrücklich freigegeben ist und in ein gültiges Wartungsfenster fällt. Sie behalten also die Kontrolle darüber, wann ein Server tatsächlich neu startet.

Ja. Jeder Statuswechsel einer Schwachstelle wird in einem append-only Audit-Trail protokolliert — Einträge lassen sich nicht überschreiben oder löschen. Sie erhalten damit einen lückenlosen, revisionssicheren Nachweis darüber, wann eine Lücke erkannt und in welchem Schritt sie behoben wurde.

Ja. Neben dem Host inventarisiert Server Monitor auch Docker-Images inklusive Tag und Digest und scannt sie gegen die CVE-Quellen. So bleiben nicht nur der Server selbst, sondern auch die darauf laufenden Container im Blick — Schwachstellen also auch in den Containern, nicht nur am Host.