Schwachstellenscan

Ein Schwachstellenscan ist ein automatisierter Prozess zur systematischen Identifizierung bekannter Sicherheitslücken in IT-Systemen, Netzwerken und Anwendungen. Im Unterschied zum Penetrationstest werden Schwachstellen nicht aktiv ausgenutzt, sondern durch Vergleich gegen aktuelle Schwachstellendatenbanken (CVE, NVD, Vendor Advisories) erkannt und bewertet. Das ermöglicht eine schnelle, flächendeckende Sicherheitsanalyse auch ohne zeitintensiven manuellen Testaufwand.

Moderne Schwachstellenscanner wie Tenable Nessus, Qualys VMDR oder Rapid7 InsightVM nutzen authentifizierte und nicht-authentifizierte Scan-Modi. Authentifizierte Scans liefern ein deutlich vollständigeres Bild, da sie auf installierte Softwareversionen und Patchstände direkt zugreifen können – nicht-authentifizierte Scans decken hingegen die extern sichtbare Angriffsfläche ab, wie sie ein Angreifer ohne vorherige Zugangsdaten sieht.

Blackfort Technology führt Schwachstellenscans nicht als reine Tool-Dienstleistung durch. Unser Ansatz basiert auf interpretierten Ergebnissen: Wir analysieren die rohen Scanner-Outputs, bereinigen False Positives, priorisieren nach CVSS v3.1 und EPSS-Score sowie nach Ihrer spezifischen IT-Landschaft und liefern Handlungsempfehlungen, die Ihr Team direkt umsetzen kann.

Externer Netzwerk-Scan: Wir scannen Ihre extern erreichbaren IP-Adressen und Domains und identifizieren exponierte Dienste, veraltete Software-Versionen und fehlkonfigurierte Systeme. Dieser Scan bildet die Sicht eines Angreifers aus dem Internet ab und ist besonders relevant für Unternehmen mit breiter Online-Präsenz oder Remote-Access-Infrastruktur.

Interner Netzwerk-Scan: Ein authentifizierter Scan innerhalb Ihrer Netzwerkinfrastruktur deckt Schwachstellen auf, die einem internen Angreifer oder einem kompromittierten System zur Verfügung stehen. Neben klassischen Server- und Client-Systemen scannen wir auch Netzwerkgeräte, Drucker und OT/IoT-Komponenten. Die Ergebnisse werden nach Kritikalität und Ausnutzbarkeit priorisiert.

Web Application Scan: Mit dynamischen Application Security Testing (DAST)-Tools prüfen wir Web-Applikationen und APIs auf die OWASP Top 10 und darüber hinaus. Für kritische Anwendungen kombinieren wir automatisierte Scans mit gezielter manueller Nachprüfung, um die hohe False-Positive-Rate reiner DAST-Tools zu eliminieren. Ergebnisse werden nach Business-Impact bewertet.

Cloud-Umgebungen erfordern einen anderen Scan-Ansatz als On-Premises-Infrastrukturen. Neben klassischen Netzwerk-Scans der Cloud-Workloads sind Konfigurationsanalysen (CSPM – Cloud Security Posture Management) entscheidend: Falsch konfigurierte S3-Buckets, überprivilegierte IAM-Rollen oder unverschlüsselte Storage-Volumes sind typische Schwachstellen, die kein CVE-basierter Scanner findet.

Blackfort führt Cloud Security Assessments für AWS, Microsoft Azure und Google Cloud durch. Wir kombinieren automatisierte CSPM-Analysen (z.B. Prowler, Scout Suite, Microsoft Defender for Cloud) mit manueller Konfigurationsprüfung und liefern einen priorisierten Maßnahmenkatalog. Das Assessment deckt auch Multi-Cloud- und Hybrid-Umgebungen ab.

Für Unternehmen, die einen kontinuierlichen Schwachstellenscan-Service benötigen, bieten wir ein Managed Vulnerability Scanning als Abonnement an: regelmäßige Scans, konsolidiertes Dashboard, Trend-Reporting und proaktive Alarmierung bei neu entdeckten kritischen Schwachstellen (Zero-Day-Monitoring).

Regelmäßige Schwachstellenscans sind in zahlreichen regulatorischen Rahmenwerken explizit gefordert oder implizit vorausgesetzt: ISO 27001 (A.12.6.1 – Management technischer Schwachstellen), NIS2-Umsetzungsgesetz (technische Sicherheitsmaßnahmen), DORA (IKT-Risikomanagement und Schwachstellentests), PCI DSS v4.0 (Requirement 11.3 – Internal and External Vulnerability Scans) und BSI IT-Grundschutz.

Für Unternehmen, die eine Zertifizierung anstreben oder regulatorische Nachweispflichten haben, erstellen wir scan-Berichte im prüfungsfähigen Format. Bei PCI-DSS-pflichtigen Unternehmen koordinieren wir externe Scans durch einen ASV (Approved Scanning Vendor) und unterstützen bei der Attestation of Compliance.

Ein Schwachstellenscan allein ersetzt keinen Penetrationstest. Wir empfehlen, Schwachstellenscans als kontinuierliche Hygienemaßnahme zu betreiben und ergänzend mindestens einmal jährlich einen manuellen Penetrationstest durchzuführen – insbesondere nach wesentlichen Infrastrukturveränderungen oder neuen Applikationsversionen.