Schwachstellenscan
Ein Schwachstellenscan ist die automatisierte Prüfung von IT-Systemen, Netzwerken und Anwendungen auf bekannte Sicherheitslücken anhand aktueller Schwachstellendatenbanken.
Ein Schwachstellenscan (engl. Vulnerability Scanning) bezeichnet die automatisierte, werkzeuggestützte Untersuchung von IT-Systemen, Netzwerkkomponenten, Servern und Anwendungen auf bekannte Sicherheitslücken. Spezialisierte Scanner gleichen die erkannten Software-Versionen, Konfigurationen und offenen Dienste mit Schwachstellendatenbanken wie der CVE-Liste (Common Vulnerabilities and Exposures) ab und bewerten den Schweregrad üblicherweise nach dem CVSS-Standard (Common Vulnerability Scoring System). Anders als ein Penetrationstest, der manuell und tiefgehend ausgewählte Angriffspfade verfolgt, liefert ein Schwachstellenscan eine breite, regelmäßig wiederholbare Bestandsaufnahme des Sicherheitsstatus.
Schwachstellenscans sind ein zentraler Baustein eines wirksamen Schwachstellenmanagements und liefern die Grundlage für ein priorisiertes Patch-Management. Unterschieden wird typischerweise zwischen authentifizierten Scans (mit Anmeldedaten, die auch lokal installierte Software und fehlende Patches erkennen) und nicht authentifizierten Scans (aus Sicht eines externen Angreifers). Ergebnis ist ein Bericht, der gefundene Schwachstellen nach Kritikalität ordnet und konkrete Behandlungsmaßnahmen empfiehlt. Eine regelmäßige Durchführung ist entscheidend, weil täglich neue Schwachstellen veröffentlicht werden und sich der Sicherheitsstatus eines Systems durch Updates, neue Dienste oder Konfigurationsänderungen laufend verändert.
Im regulatorischen Kontext ist der Schwachstellenscan ein wichtiger Nachweis für die Erfüllung von Sorgfaltspflichten. Die NIS2-Richtlinie und ihre nationale Umsetzung verlangen von betroffenen Einrichtungen Maßnahmen zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen sowie ein angemessenes Schwachstellenhandling. Auch der BSI IT-Grundschutz, die ISO/IEC 27001 (insbesondere Annex-A-Maßnahme A.8.8 zum Umgang mit technischen Schwachstellen) sowie branchenspezifische Standards wie VDA ISA/TISAX setzen ein systematisches Erkennen und Behandeln technischer Schwachstellen voraus. Schwachstellenscans sollten daher in den Prozess der Risikobewertung eingebettet und ihre Ergebnisse dokumentiert sowie nachverfolgt werden.
Rechtliche Grundlage
Art. 21 Abs. 2 lit. e NIS2-Richtlinie (EU) 2022/2555; ISO/IEC 27001 Annex A.8.8; BSI IT-Grundschutz
Praxisbeispiel
Ein als besonders wichtige Einrichtung im Sinne von NIS2 eingestufter Maschinenbauer richtet wöchentliche authentifizierte Schwachstellenscans über sein gesamtes Servernetz ein. Der Scanner meldet eine als kritisch eingestufte Lücke (CVSS 9.8) in einer öffentlich erreichbaren VPN-Appliance. Der Informationssicherheitsbeauftragte priorisiert den Befund anhand von Schweregrad und Exponiertheit, veranlasst innerhalb von 48 Stunden das Einspielen des Herstellerpatches und dokumentiert Erkennung, Bewertung und Behebung im Schwachstellenmanagement-Tool. Der nächste Scan bestätigt die erfolgreiche Behebung und liefert zugleich den Nachweis für die Wirksamkeit der Maßnahme gegenüber der Aufsichtsbehörde.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren