Die IT-Sicherheit ist in Unternehmen wichtiger denn je. In einer Zeit, in der Hacker:innen und Cyberkriminelle stetig nach neuen Wegen suchen, um in Netzwerke einzudringen, ist es essenziell, IT-Schwachstellen frühzeitig zu erkennen und zu beheben.
Schwachstellenscan
Ein Schwachstellenscan (auch „Vulnerability Scan“ genannt) ist eine automatisierte Untersuchung eines Systems oder Netzwerks, um potenzielle IT-Schwachstellen aufzudecken. Spezialisierte Tools (in unserem Fall Nessus) durchsuchen dabei beispielsweise Server, Anwendungen oder Netzwerkkomponenten, prüfen Konfigurationen und vergleichen diese mit einer Datenbank bekannter Schwachstellen. Wie z. B. die CVE-Datenbank
Die CVE-Datenbank (Common Vulnerabilities and Exposures) ist ein öffentlich zugängliches Verzeichnis bekannter IT-Sicherheitslücken. Jede Schwachstelle erhält dabei eine eindeutige Kennung (z. B. CVE-2025-XXXX), was eine klare Zuordnung und Verfolgung ermöglicht.
Wichtige Merkmale des Schwachstellenscans
Automatisiert: Durch den Einsatz spezieller Software kann der Scan relativ schnell und regelmäßig durchgeführt werden.
Breite Abdeckung: Ein Schwachstellenscan deckt häufig viele gängige Schwachstellen ab, die, wie oben beschrieben, in der CVE-Datenbank gelistet sind.
Basis für weitere Analysen: Die Ergebnisse eines Schwachstellenscans liefern einen groben Überblick über mögliche Schwachstellen, die verifiziert werden müssen um false positives auszuschließen.
Der Schwachstellenscan ist somit ein wichtiger erster Schritt in Richtung Cyber Security, weil er schnell Aufschluss über den allgemeinen Sicherheitszustand eines IT-Systems gibt. Allerdings reicht das nicht aus, um ein umfassendes Bild von der IT-Sicherheit zu erhalten.
Pentest (Penetrationstest)
Ein Pentest (Penetrationstest) geht weit über einen automatisierten Schwachstellenscan hinaus. Bei einem Penetrationstest versuchen IT-Sicherheitsexperten gezielt, in ein System einzudringen. Dabei werden neben automatisierten Tools auch manuelle Techniken eingesetzt. Ziel ist es, Schwachstellen nicht nur zu finden, sondern auch nach Möglichkeit auszunutzen, um reale Angriffsvektoren aufzudecken.
Wichtige Merkmale des Pentests
Manuelles Vorgehen: Neben automatisierten Scans führt der Penetrationstester individuelle, zielgerichtete Angriffe durch.
Exploitation von Schwachstellen: Pentester:innen versuchen, entdeckte IT-Schwachstellen aktiv auszunutzen, um beispielsweise Zugriff auf sensible Daten oder Systeme zu erhalten.
Ganzheitlicher Ansatz: Ein Pentest liefert nicht nur eine Liste von Schwachstellen, sondern zeigt konkrete Angriffsszenarien, mögliche Auswirkungen und Prioritäten bei der Behebung auf.
Bericht und Handlungsempfehlungen: Am Ende eines Penetrationstests erhält das Unternehmen einen detaillierten Report mit Empfehlungen, wie die Schwachstellen nachhaltig geschlossen werden können.
Aufgrund seines Tiefgangs und des manuellen Anteils ist ein Pentest deutlich komplexer und aufwändiger als ein Schwachstellenscan. Dennoch ist er für eine umfassende Prüfung der IT-Sicherheit unerlässlich, da nur so realistische Angriffsmethoden entdeckt und bewertet werden können.
Warum ein Schwachstellenscan kein Pentest ist
Automatisierung vs. manuelle Tests
Der Schwachstellenscan basiert meist auf automatischen Routineprüfungen. Ein Pentest beinhaltet dagegen maßgeschneiderte Angriffe, die sich nicht allein durch Software simulieren lassen. Pentester:innen nutzen Kreativität und Erfahrung, um auch unkonventionelle Wege in ein System zu finden.
Tiefe der Ergebnisse
Ein Schwachstellenscan erstellt in der Regel einen technischen Bericht, der bekannte Sicherheitslücken auflistet. Das kann bereits sehr hilfreich sein, reicht aber selten aus, um den tatsächlichen Sicherheitsstatus zu bewerten. Ein Penetrationstest überprüft die gefundenen Schwachstellen auf ihre tatsächliche Ausnutzbarkeit und Priorität, was ein deutlich präziseres Risiko-Profil ermöglicht.
Zeit- und Ressourcenaufwand
Ein Schwachstellenscan kann relativ schnell und oft mit minimalem personellen Einsatz durchgeführt werden. Ein Pentest erfordert spezialisierte Sicherheitsexpert:innen, die erheblich mehr Zeit in die Prüfung investieren. Dafür erhalten Unternehmen auch viel tiefgehendere Einblicke in ihre IT-Landschaft.
Wann sollte man sich für welchen Ansatz entscheiden
Regelmäßige Sicherheitstests: Ein Schwachstellenscan ist ideal, um regelmäßig und schnell einen Überblick über den Sicherheitszustand zu erhalten. Er sollte zum festen Bestandteil eines kontinuierlichen Sicherheitsprozesses gehören.
Tiefgehende Sicherheitsüberprüfung: Ein Pentest ist ratsam, wenn es darum geht, die tatsächlichen Risiken zu bewerten, neue Anwendungen oder Infrastrukturen live zu schalten oder wenn es Anzeichen für zielgerichtete Angriffe gibt.
Oft ist die Kombination aus beiden Ansätzen sinnvoll. Regelmäßige Schwachstellenscans als Routinecheck, ergänzt durch periodische Penetrationstests, ermöglichen es kritische Lücken bestmöglich abzusichern.