Kann der Komponentenhersteller hinsichtlich der direkten Schwachstellenbeseitigung nicht weiterhelfen oder hat sich bei der Evaluierung herausgestellt, dass sich durch den Patch das Baugruppenverhalten funktional verändern würde, ist ein virtueller Patch eine Lösung. Eine solche Patch-Methode korrigiert nicht die eigentlich fehlerhafte Anwendung bzw. Firmware der betroffenen OT-Baugruppe (der alte Baugruppenzustand und die jeweilige CVE bleiben also unverändert erhalten). Der virtuelle Patch sorgt stattdessen über eine externe Zwischen- bzw. Isolationsschicht indirekt dafür, dass sich die Sicherheitslücke nicht durch Zugriffe aus dem IT-Netzwerk heraus missbräuchlich ausnutzen lässt, beispielsweise für Cyberattacken. Mithilfe der virtuellen Patch-Technik kann in der Praxis auch ein alter Windows-PC, für den es schon lange keine Updates mehr gibt, der aber im Moment funktional unersetzbar ist, mit überschaubarem Risiko weiterbenutzt werden.
Schwachstellen erkennen und beheben
