Schwachstellenscan

Ein Schwachstellenscan ist ein automatisierter Prozess zur systematischen Identifizierung bekannter Sicherheitslücken in IT-Systemen, Netzwerken und Anwendungen. Im Unterschied zum Penetrationstest werden Schwachstellen nicht aktiv ausgenutzt, sondern durch Vergleich gegen aktuelle Schwachstellendatenbanken (CVE, NVD, Vendor Advisories) erkannt und bewertet. Das ermöglicht eine schnelle, flächendeckende Sicherheitsanalyse auch ohne zeitintensiven manuellen Testaufwand.

Moderne Schwachstellenscanner wie Tenable Nessus, Qualys VMDR oder Rapid7 InsightVM nutzen authentifizierte und nicht-authentifizierte Scan-Modi. Authentifizierte Scans liefern ein deutlich vollständigeres Bild, da sie auf installierte Softwareversionen und Patchstände direkt zugreifen können – nicht-authentifizierte Scans decken hingegen die extern sichtbare Angriffsfläche ab, wie sie ein Angreifer ohne vorherige Zugangsdaten sieht.

Blackfort Technology führt Schwachstellenscans nicht als reine Tool-Dienstleistung durch. Unser Ansatz basiert auf interpretierten Ergebnissen: Wir analysieren die rohen Scanner-Outputs, bereinigen False Positives, priorisieren nach CVSS v3.1 und EPSS-Score sowie nach Ihrer spezifischen IT-Landschaft und liefern Handlungsempfehlungen, die Ihr Team direkt umsetzen kann.

Ein professioneller Schwachstellenscan beginnt mit einer strukturierten Scoping-Phase: Wir definieren gemeinsam den Untersuchungsumfang – welche IP-Bereiche, Domains, Applikationen oder Cloud-Tenants sollen erfasst werden? Werden authentifizierte oder nicht-authentifizierte Scans benötigt? Zu welchen Zeitfenstern darf der Scan aktiv laufen? Diese Vorab-Abstimmung stellt sicher, dass der Scan genau die Systeme und Perspektiven abdeckt, die für Ihr Risikoprofil relevant sind – ohne blinde Flecken und ohne unnötige Betriebsunterbrechungen.

Nach dem Scan liefert der Scanner rohe Ergebnislisten mit oft mehreren tausend potenziellen Findings. Dieser Rohdatenberg ist ohne Expertenwissen nicht handlungsfähig: Typische False-Positive-Raten liegen je nach Scanner und Umgebung bei 15–40 %. Blackfort bereinigt die Ergebnisse manuell, verifiziert kritische Findings und priorisiert nach CVSS v3.1, EPSS-Score (Exploit Prediction Scoring System) sowie der tatsächlichen Erreichbarkeit und Asset-Kritikalität jedes betroffenen Systems in Ihrer spezifischen Infrastruktur.

Das Ergebnis ist ein zweiteiliger Scan-Report: Eine Management-Zusammenfassung mit Gesamtrisikostatus, den kritischsten Findings und priorisierten Sofortmaßnahmen in nicht-technischer Sprache – sowie ein technisches Appendix mit allen verifizierten Schwachstellen, CVSS-Scores, betroffenen Systemen und konkreten Remediation-Anweisungen für Ihr Betriebsteam. Auf Wunsch unterstützen wir bei der Nachverfolgung und führen nach abgeschlossenen Maßnahmen einen Verifikations-Re-Scan durch.

Externer Netzwerk-Scan: Wir scannen Ihre extern erreichbaren IP-Adressen und Domains und identifizieren exponierte Dienste, veraltete Software-Versionen und fehlkonfigurierte Systeme. Dieser Scan bildet die Sicht eines Angreifers aus dem Internet ab und ist besonders relevant für Unternehmen mit breiter Online-Präsenz oder Remote-Access-Infrastruktur.

Interner Netzwerk-Scan: Ein authentifizierter Scan innerhalb Ihrer Netzwerkinfrastruktur deckt Schwachstellen auf, die einem internen Angreifer oder einem kompromittierten System zur Verfügung stehen. Neben klassischen Server- und Client-Systemen scannen wir auch Netzwerkgeräte, Drucker und OT/IoT-Komponenten. Die Ergebnisse werden nach Kritikalität und Ausnutzbarkeit priorisiert.

Web Application Scan: Mit dynamischen Application Security Testing (DAST)-Tools prüfen wir Web-Applikationen und APIs auf die OWASP Top 10 und darüber hinaus. Für kritische Anwendungen kombinieren wir automatisierte Scans mit gezielter manueller Nachprüfung, um die hohe False-Positive-Rate reiner DAST-Tools zu eliminieren. Ergebnisse werden nach Business-Impact bewertet.

Im Enterprise-Segment dominieren drei Schwachstellenscanner den Markt: Tenable Nessus bzw. Tenable.io verfügt über die größte Plugin-Datenbank (über 180.000 Plugins) und erkennt bekannte CVEs zuverlässig auch in heterogenen Umgebungen mit Legacy-Systemen. Qualys VMDR (Vulnerability Management, Detection and Response) setzt auf einen cloud-basierten, agentenlosen Ansatz mit kontinuierlichem Asset-Inventory – besonders stark bei großen, verteilten Infrastrukturen. Rapid7 InsightVM kombiniert Vulnerability-Scanning mit integrierten Remediation-Workflows und lässt sich direkt an Ticketingsysteme wie Jira oder ServiceNow anbinden. Jeder dieser Schwachstellenscanner hat spezifische Stärken – die Toolwahl hängt immer von der Infrastruktur, dem Scan-Ziel und den vorhandenen Integrationspfaden ab.

Open-Source-Schwachstellenscanner wie OpenVAS (jetzt: Greenbone Community Edition) bieten eine kostengünstige Alternative für kleinere Umgebungen. Die Plugin-Abdeckung ist jedoch deutlich schmaler, Enterprise-Support fehlt, und die False-Positive-Rate liegt spürbar höher als bei kommerziellen Tools – was den manuellen Bereinigungsaufwand massiv erhöht. Für Web-Applikationen ist Nikto ein verbreiteter Open-Source-Scanner für gezielte Einzelchecks, ersetzt aber keine vollständige DAST-Analyse. Fazit: Open-Source-Scanner eignen sich für orientierendes Screening in unkritischen Umgebungen, nicht für prüfungsfähige Compliance-Nachweise oder regulierte Infrastrukturen.

Die Wahl des richtigen Schwachstellenscanners ist nur der erste Schritt. Entscheidend ist die Interpretation der Ergebnisse: Jeder kommerzielle Scanner produziert Rohdaten, die ohne Expertenwissen nicht handlungsfähig sind. Blackfort setzt je nach Scope und Kundenumgebung gezielt unterschiedliche Scanner-Tools ein – und liefert statt Rohdaten eine verifizierte, priorisierte und kommentierte Analyse, die Ihr Team direkt umsetzen kann.

Cloud-Umgebungen erfordern einen anderen Scan-Ansatz als On-Premises-Infrastrukturen. Neben klassischen Netzwerk-Scans der Cloud-Workloads sind Konfigurationsanalysen (CSPM – Cloud Security Posture Management) entscheidend: Falsch konfigurierte S3-Buckets, überprivilegierte IAM-Rollen oder unverschlüsselte Storage-Volumes sind typische Schwachstellen, die kein CVE-basierter Scanner findet.

Blackfort führt Cloud Security Assessments für AWS, Microsoft Azure und Google Cloud durch. Wir kombinieren automatisierte CSPM-Analysen (z.B. Prowler, Scout Suite, Microsoft Defender for Cloud) mit manueller Konfigurationsprüfung und liefern einen priorisierten Maßnahmenkatalog. Das Assessment deckt auch Multi-Cloud- und Hybrid-Umgebungen ab.

Für Unternehmen, die einen kontinuierlichen Schwachstellenscan-Service benötigen, bieten wir ein Managed Vulnerability Scanning als Abonnement an: regelmäßige Scans, konsolidiertes Dashboard, Trend-Reporting und proaktive Alarmierung bei neu entdeckten kritischen Schwachstellen (Zero-Day-Monitoring).

Regelmäßige Schwachstellenscans sind in zahlreichen regulatorischen Rahmenwerken explizit gefordert oder implizit vorausgesetzt: ISO 27001 (A.12.6.1 – Management technischer Schwachstellen), NIS2-Umsetzungsgesetz (technische Sicherheitsmaßnahmen), DORA (IKT-Risikomanagement und Schwachstellentests), PCI DSS v4.0 (Requirement 11.3 – Internal and External Vulnerability Scans) und BSI IT-Grundschutz.

Für Unternehmen, die eine Zertifizierung anstreben oder regulatorische Nachweispflichten haben, erstellen wir scan-Berichte im prüfungsfähigen Format. Bei PCI-DSS-pflichtigen Unternehmen koordinieren wir externe Scans durch einen ASV (Approved Scanning Vendor) und unterstützen bei der Attestation of Compliance.

Ein Schwachstellenscan allein ersetzt keinen Penetrationstest. Wir empfehlen, Schwachstellenscans als kontinuierliche Hygienemaßnahme zu betreiben und ergänzend mindestens einmal jährlich einen manuellen Penetrationstest durchzuführen – insbesondere nach wesentlichen Infrastrukturveränderungen oder neuen Applikationsversionen.