Sicherheitslücken-Scans erklärt: Der umfassende Leitfaden zur Aufdeckung von Sicherheitslücken

Wichtige Erkenntnisse

Die Ausnutzung von Sicherheitslücken ist mittlerweile für 20 % aller Datenlecks verantwortlich – ein Anstieg von 34 % gegenüber dem Vorjahr –, weshalb automatisierte Scans zu einer unverzichtbaren Sicherheitsmaßnahme geworden sind
Ein effektiver Scan erfolgt in sieben Schritten, von der Erkennung der Ressourcen bis zur Überprüfung der Behebung, wobei eine risikobasierte Priorisierung (CVSS + EPSS + Erreichbarkeit) die reine Bewertung nach Schweregrad ablöst
Sechs verschiedene Scan-Arten decken unterschiedliche Bereiche und Zugriffsebenen ab, und Unternehmen benötigen eine Kombination verschiedener Ansätze, da kein einzelner Scanner alle Schwachstellen aufspüren kann
Compliance-Rahmenwerke wie PCI DSS v4.0, NIST SP 800-53, CIS Controls und NIS2 schreiben alle Schwachstellen-Scans in festgelegten Abständen vor
Durch Scannen allein lassen sich zero-day oder Verhaltensmuster nach einer Exploitation nicht erkennen – in Kombination mit einer verhaltensbasierten Bedrohungserkennung entsteht so eine umfassende Verteidigungsstrategie

Was ist ein Schwachstellen-Scan?

Ein Schwachstellen-Scan ist ein automatisierter Prozess, bei dem Systeme, Netzwerke und Anwendungen auf bekannte Sicherheitslücken überprüft werden, indem die ermittelten Konfigurationen und Softwareversionen mit Einträgen in Schwachstellendatenbanken wie der National Vulnerability Database (NVD) und Common Vulnerabilities and Exposures (CVE) abgeglichen werden. Es handelt sich um einen systematischen Erkennungsschritt, der einem Unternehmen aufzeigt, wo seine Abwehrmaßnahmen Lücken aufweisen.

Die Dringlichkeit von Sicherheitsscans war noch nie so groß wie heute. Laut dem „Verizon 2025 Data Breach Report“ waren 20 % aller Datenpannen auf die Ausnutzung von Sicherheitslücken zurückzuführen – ein Anstieg von 34 % gegenüber dem Vorjahr. Auch die Angreifer handeln immer schneller. Untersuchungen von VulnCheck zeigen, dass die mittlere Zeit bis zur Ausnutzung auf fünf Tage gesunken ist und 28,96 % der Einträge im CISA-Katalog „Known Exploited Vulnerabilities“ (KEV) am oder vor dem Tag der Veröffentlichung der CVE ausgenutzt wurden. Wenn das Zeitfenster zwischen Offenlegung und Ausnutzung in Stunden statt in Monaten gemessen wird, wird kontinuierliches Scannen zu einer Überlebensvoraussetzung.

Das Scannen nach Schwachstellen ist ein Bestandteil des umfassenderen Lebenszyklus des Schwachstellenmanagements, der die Erkennung, Priorisierung, Behebung und Überprüfung umfasst. Zu verstehen, wo das Scannen seinen Platz hat – und wo nicht –, ist entscheidend für den Aufbau eines wirksamen Sicherheitsprogramms.

Schwachstellen-Scans im Vergleich zu verwandten Aktivitäten

Sicherheitsteams verwenden die Begriffe „Scanning“, „Bewertung“, „Penetrationstests“ und „Schwachstellenmanagement“ oft synonym. Dabei handelt es sich jedoch nicht um dasselbe.

Ein Vergleich zwischen Schwachstellenscans, Sicherheitsbewertungen, Penetrationstests und Schwachstellenmanagement.

Aktivität	Zweck	Umfang	Ausgabe
Schwachstellen-Scans	Automatische Erkennung bekannter Schwachstellen	Breit gefächert – Systeme, Netzwerke, Anwendungen	Priorisierte Liste der identifizierten Schwachstellen
Schwachstellenanalyse	Systematische Bewertung der Sicherheitslage	Umfassender – umfasst Überprüfung, Konfigurationsprüfung und Richtlinienanalyse	Risikobewertete Feststellungen mit Abhilfemaßnahmen
Penetrationstests	Überprüfung der Ausnutzbarkeit durch simulierte Angriffe	Gezielt – bestimmte Systeme oder Angriffswege	Proof-of-Concept-Angriff mit Analyse der geschäftlichen Auswirkungen
Schwachstellenmanagement	Ein kontinuierlicher Prozess von der Erkennung bis zur Behebung	Unternehmensweit – fortlaufendes Programm	Kennzahlen zu Risikominderung, Behebungsquoten und Compliance

Beim Scannen werden bekannte Schwachstellen mithilfe automatisierter Tools identifiziert. Die Bewertung bündelt das Scannen in einer umfassenderen Beurteilung, die eine manuelle Überprüfung und eine kontextbezogene Analyse umfasst. Penetrationstests gehen noch einen Schritt weiter, indem sie versuchen, Schwachstellen tatsächlich auszunutzen, um das tatsächliche Risiko zu validieren. Das Schwachstellenmanagement ist das kontinuierliche Programm, das all diese Aktivitäten unternehmensweit steuert.

So funktioniert das Scannen nach Sicherheitslücken

Der Prozess der Schwachstellenanalyse umfasst sieben aufeinanderfolgende Schritte. Jeder Schritt baut auf dem vorherigen auf, und der Zyklus wiederholt sich kontinuierlich, wenn sich die Umgebungen ändern.

Ressourcen ermitteln – alle betroffenen Systeme, Dienste und Endpunkte identifizieren
Ziele erfassen – offene Ports, laufende Dienste und Softwareversionen ermitteln
Schwachstellen erkennen – Ergebnisse mit CVE-Datenbanken und Herstellerhinweisen abgleichen
Ergebnisse validieren – Ergebnisse miteinander in Zusammenhang bringen und Fehlalarme ausschließen
Bewertung und Priorisierung – Einstufung des Schweregrads anhand von CVSS, EPSS und geschäftlichem Kontext
Berichte erstellen – umsetzbare Erkenntnisse mit Empfehlungen zur Behebung generieren
Behebung überprüfen – erneut scannen, um sicherzustellen, dass die Sicherheitslücken behoben wurden

Der Prozess der Schwachstellenprüfung umfasst sieben aufeinanderfolgende Schritte sowie eine erneute Überprüfung zur Verifizierung.

Der Scanner sendet Abfragen an Zielsysteme, erfasst Antworten zu offenen Ports und Softwareversionen und vergleicht diese Fingerabdrücke anschließend mit bekannten Schwachstellensignaturen. Ist das Schwachstellenscanning automatisiert? Ja – der eigentliche Erkennungsprozess ist automatisiert, doch die Validierung, Priorisierung und Behebung erfordern menschliches Urteilsvermögen und die Berücksichtigung des organisatorischen Kontexts.

Was erkennt ein Schwachstellen-Scan? Scanner identifizieren fehlende Patches, falsch konfigurierte Dienste, Standard-Anmeldedaten, veraltete Software, unsichere Protokolle und bekannte Anwendungsfehler. Sie können jedoch keine Schwachstellen erkennen, für die keine Signatur vorliegt – eine entscheidende Einschränkung, auf die später in diesem Leitfaden eingegangen wird.

CVSS v4.0 und risikobasierte Priorisierung

Jahrelang stützten sich Unternehmen bei der Priorisierung von Sicherheitsmaßnahmen ausschließlich auf das Common Vulnerability Scoring System (CVSS). Ein kritischer Wert (9,0 bis 10,0) wurde ganz oben auf die Liste gesetzt. Dieser Ansatz erweist sich zunehmend als unzureichend.

CVSS v4.0, das im Januar 2026 zusammen mit einem neuen Leitfaden für die Umsetzung in der Praxis veröffentlicht wurde, enthält nun Metriken zu Umfeld und Bedrohungslage, die einen besseren Kontext bieten. Doch CVSS allein gibt noch immer keine Antwort auf die entscheidende Frage: „Wird diese Schwachstelle in meiner Umgebung tatsächlich ausgenutzt werden?“

Hier kommt die ergänzende Bewertung ins Spiel. Das Exploit Prediction Scoring System (EPSS) schätzt die Wahrscheinlichkeit, dass eine Schwachstelle innerhalb von 30 Tagen in der Praxis ausgenutzt wird. Die Erreichbarkeitsanalyse ermittelt, ob ein Angreifer die anfällige Komponente tatsächlich über das Netzwerk erreichen kann. Branchenanalysen zeigen, dass bei 84 % der Sicherheitsverletzungen im Jahr 2025 „erreichbare“ Schwachstellen ausgenutzt wurden – nicht unbedingt diejenigen mit den höchsten CVSS-Werten.

Die Realität unterstreicht die Dringlichkeit. Laut dem Verizon DBIR 2025 wurden nur 54 % der anfälligen Geräte innerhalb eines Jahres vollständig gesichert, wobei die durchschnittliche Zeit bis zur Behebung 32 Tage betrug. Eine risikobasierte Priorisierung stellt sicher, dass die begrenzten Ressourcen für die Behebung von Sicherheitslücken auf die Schwachstellen konzentriert werden, die Angreifer am ehesten ausnutzen.

Wie Schwachstellenscanner CVE-Datenbanken nutzen

Scanner gleichen ihre Ergebnisse mit drei primären Datenquellen ab. Die NVD dient als Hauptreferenzdatenbank, die CVE-Kennungen CVSS-Werten und betroffenen Produkten zuordnet. Der KEV-Katalog der CISA – der im Jahr 2025 um 20 % auf 1.484 Einträge angewachsen ist – kennzeichnet Schwachstellen, von denen bestätigt ist, dass sie in der Praxis aktiv ausgenutzt werden. Herstellerspezifische Sicherheitshinweise liefern Details auf Produktebene, die in allgemeinen Datenbanken manchmal fehlen.

Moderne Scanner nutzen alle drei Quellen, um ein mehrschichtiges Risikobild zu erstellen. Wenn ein Scanner eine Softwareversion auf einem Zielsystem identifiziert, gleicht er diese Version mit den Einträgen im NVD ab, markiert Übereinstimmungen im KEV-Katalog zur sofortigen Bearbeitung und überprüft die Herstellerhinweise auf Patches oder Workarounds.

Arten von Schwachstellen-Scans

Unternehmen benötigen je nach Umgebung, Zugriffsebene und Ziel unterschiedliche Scan-Ansätze. Sechs Haupttypen decken das gesamte Spektrum ab.

Sechs Arten von Schwachstellen-Scans und ihre jeweiligen Anwendungsfälle.

Scan-Typ	Beschreibung	Optimale Anwendungsfälle	Wichtige Einschränkung
Überprüfung von Netzwerkschwachstellen	Überprüft IP-Bereiche, Ports und Netzwerkdienste auf bekannte Schwachstellen	Ermittlung ungeschützter Dienste in der Netzwerksicherheitsinfrastruktur	Eingeschränkte Sichtbarkeit auf Anwendungsebene
Scannen von Webanwendungen (DAST)	Tests zur Überprüfung von Webanwendungen auf Schwachstellen der OWASP Top 10 und andere Sicherheitslücken	Internet-basierte Anwendungen und APIs	Der Quellcode oder die Backend-Logik kann nicht analysiert werden
Hostbasiertes Scannen	Agentenbasierte oder lokale Scans auf einzelnen Hosts zur Erkennung von Schwachstellen in Betriebssystemen und Software	Absicherung von Endpoint Servern	Erfordert Bereitstellung und Wartung pro Host
Scannen mit Authentifizierung	Meldet sich bei Systemen an, um Konfigurationen, Patches und interne Abläufe zu überprüfen	Umfassende Bewertung mit vollständiger Systemtransparenz	Erfordert die Verwaltung von Anmeldedaten und Zugriffsrechten
Scannen ohne Anmeldung (ohne Authentifizierung)	Untersucht Systeme von außen ohne Anmeldedaten	Perspektive eines externen Angreifers; schneller Überblick	Es treten interne Konfigurationsprobleme auf
Cloud und agentenloses Scannen	API-basierte Überprüfung von cloud , Containern und serverlosen Funktionen	Temporäre cloud -Sicherheitsumgebungen	Bei komplexen Konfigurationen kann es zu Einschränkungen kommen

Die Entscheidung zwischen Scans mit und ohne Anmeldedaten ist eine der wichtigsten Entscheidungen im Rahmen eines Scan-Programms. Scans mit Anmeldedaten decken deutlich mehr Schwachstellen auf, da sie Zugriff auf systeminterne Bereiche bieten – installierte Software, Registrierungseinstellungen, Dateiberechtigungen und Patch-Stand. Scans ohne Anmeldedaten liefern die Sichtweise eines Angreifers von außen, was für die Bewertung der Perimeter-Sicherheit wertvoll ist, jedoch interne Schwachstellen außer Acht lässt.

Interne und externe Scans zielen auf unterschiedliche Bedrohungsszenarien ab. Interne Scans untersuchen das Netzwerk von innen heraus und identifizieren Möglichkeiten zur lateralen Bewegung sowie Fehlkonfigurationen. Externe Scans bewerten internetexponierte Ressourcen so, wie es ein Angreifer von außen tun würde. Die meisten Sicherheitskonzepte erfordern beides.

Laut dem Verizon DBIR 2025 warenCloud für 43 % aller Datenpannen im Jahr 2025 verantwortlich, während Edge-Geräte 22 % der Ausnutzungsvorfälle ausmachten – ein achtfacher Anstieg gegenüber dem Vorjahr. Diese Zahlen verdeutlichen, warum cloud und agentenlose Scans mittlerweile unverzichtbar geworden sind.

Agentenbasiertes vs. agentenloses Scannen

Agentenbasierte Scanner installieren auf jedem Host eine ressourcenschonende Software, die einen detaillierteren Einblick und eine Echtzeitüberwachung ermöglicht. Sie eignen sich hervorragend für die kontinuierliche Überprüfung, erfordern jedoch die Bereitstellung, Aktualisierung und Wartung auf jedem einzelnen System.

Agentenlose Scanner nutzen APIs und netzwerkbasierte Techniken, um Systeme zu überprüfen, ohne dass etwas installiert werden muss. Sie bieten eine lückenlose Abdeckung ohne Beeinträchtigung der Leistung und sind unverzichtbar für cloud kurzlebige Workloads, bei denen Container und serverlose Funktionen unter Umständen nur wenige Minuten lang bestehen.

In der Branche herrscht Einigkeit darüber, dass ein hybrider Ansatz vorzuziehen ist. Herkömmliche lokale Umgebungen profitieren von der umfassenden Erfassung durch Agenten. In Cloud Umgebungen wird zunehmend das agentenlose Scannen bevorzugt, da es kurzlebige Workloads abdeckt und die Erkennung sowie Abwehr von Eindringlingen in dynamischen Infrastrukturen ermöglicht.

Schwachstellen-Scans in der Praxis

Die doppelte Funktion von Schwachstellen-Scans im MITRE ATT&CK

Das Scannen nach Schwachstellen nimmt eine Sonderstellung im MITRE ATT&CK Framework – sie taucht auf beiden Seiten des Schlachtfelds auf.

Auf der gegnerischen Seite, T1595.002 (Aktives Scannen: Schwachstellen-Scannen) ist ein Aufklärung Technik unter 0043. Angreifer nutzen dieselben Scan-Tools, mit denen Verteidiger nach ausnutzbaren Schwachstellen in Zielumgebungen suchen. Die damit verbundene Technik T1046 (Netzwerkdienst-Scan) unter „Discovery“ (0007) zeigt auf, wie Angreifer nach dem Erlangen des ersten Zugriffs Dienste auflisten.

In der Verteidigung, M1016 (Schwachstellen-Scan) ist eine offizielle Schutzmaßnahme, die sich mit Techniken befasst, darunter T1190 (Ausnutzen öffentlich zugänglicher Anwendungen), T1210 (Ausnutzung von Remote-Diensten) sowie T1195 (Supply Chain ). Durch proaktives Scannen wird die Angriffsfläche verringert, die Angreifer ausnutzen können.

Diese doppelte Rolle bedeutet, dass Verteidiger sowohl eigene Scans durchführen als auch ihre Netzwerke auf Scan-Aktivitäten von Angreifern überwachen sollten – ungewöhnliche Port-Scans, Versionsabfragen oder Erfassungsmuster, die darauf hindeuten, dass ein Angreifer die Umgebung kartiert.

Wie oft sollten Sie scannen?

Die Kluft zwischen den Mindestanforderungen an die Compliance und bewährten Sicherheitsverfahren ist gefährlich groß.

PCI DSS-Mindestanforderungen – vierteljährliche interne und externe Scans
CIS-Kontrollpunkt 7 Empfehlung – wöchentliches Minimum für internetexponierte Ressourcen
Bewährte Sicherheitsverfahren – kontinuierlich oder mindestens wöchentlich, angesichts der mittleren Zeit bis zur Ausnutzung von fünf Tagen

Eine risikobasierte Häufigkeitsmatrix hilft Unternehmen dabei, ihre Scan-Ressourcen effektiv einzusetzen.

Anlageklasse	Empfohlene Häufigkeit	Begründung
Kritische, mit dem Internet verbundene Systeme	Fortlaufend	Größte Reichweite, schnellste Umsetzungsfristen
Standard-Produktionssysteme	Wöchentlich	Schafft ein Gleichgewicht zwischen Reichweite und betrieblichen Auswirkungen
Entwicklung und Bereitstellung	Nach jeder Bereitstellung	Erkennt Schwachstellen noch vor der Produktionsfreigabe
Interne Systeme mit geringem Risiko	monatlich bis vierteljährlich	Mindestdeckungssumme zur Einhaltung der Vorschriften

Vierteljährliche Scans führen zu Sicherheitslücken von 45 bis 90 Tagen. Da die durchschnittliche Zeit bis zur Ausnutzung von Sicherheitslücken bei fünf Tagen liegt, bedeutet ein vierteljährlicher Rhythmus, dass ein Unternehmen möglicherweise wochenlang gefährdet ist, bevor der nächste Scan überhaupt durchgeführt wird.

Fallstudien aus der Praxis

MOVEit Transfer (CVE-2023-34362). EineZero-Day-SQL-Injection-Sicherheitslücke in der Dateiübertragungsanwendung MOVEit wurde bereits vor ihrer Bekanntgabe ausgenutzt und betraf mehr als 3.000 Organisationen in den USA sowie mehr als 8.000 weltweit. Die Lehre daraus: Anwendungen mit Internetanbindung erfordern kontinuierliche Überprüfungen, und selbst dann erfordern Zero-Day-Angriffe ergänzende Erkennungsansätze.

Log4Shell (CVE-2021-44228). Als die Log4j-Sicherheitslücke bekannt wurde, wurden Scanner in großem Umfang eingesetzt. Eine Untersuchung, bei der 28 Projekte anhand von 140 Scans analysiert wurden, ergab, dass die Scanner eine Genauigkeit von 91,4 % erreichten – beeindruckend, aber nicht ausreichend. Die Lücke entstand durch transitive Abhängigkeiten, die von den Scannern nicht erkannt werden konnten. In der Empfehlung der CISA wurde betont, dass für eine lückenlose Abdeckung mehrere Scan-Ansätze verwendet werden sollten.

Trivy Angriff auf die Lieferkette (März 2026). Ein Open-Source-Schwachstellenscanner wurde selbst durch einen mehrphasigen Supply-Chain-Angriff kompromittiert. Die Lehre daraus: Unternehmen müssen die Integrität ihrer Scan-Tools überprüfen, nicht nur deren Scan-Ergebnisse.

React2Shell (CVE-2025-55182). Eine Sicherheitslücke mit einem CVSS-Wert von 10,0 , von der mehr als 592.000 Domains betroffen sind , wobei bei der Entdeckung mehr als 172.000 als ausnutzbar bestätigt und mehr als 30.000 bereits mit einer Hintertür versehen waren. Das Zeitfenster für die Ausnutzung schrumpfte auf wenige Stunden, was erneut verdeutlicht, warum kontinuierliche Überwachung mit automatischer Alarmierung unerlässlich ist.

Schwachstellen effektiv erkennen und verhindern

Um ein effektives Scan-Programm aufzubauen, reicht es nicht aus, nur die richtigen Tools auszuwählen. Diese bewährten Verfahren beheben die häufigsten Schwachstellen.

Führen Sie gemäß den Leitlinien von CIS Control 7 kontinuierlich oder mindestens einmal wöchentlich Scans für mit dem Internet verbundene Ressourcen durch
Verwenden Sie eine risikobasierte Priorisierung, die den Kontext der Ausnutzbarkeit (EPSS), Erreichbarkeitsanalysen und Bedrohungsinformationen einbezieht – nicht nur CVSS-Werte
Integrieren Sie das Scannen in CI/CD-Pipelines, um im Rahmen eines „Shift-Left“-Sicherheitsansatzes Schwachstellen bereits vor der Bereitstellung in der Produktion zu erkennen
Führen Sie als Grundlage ein umfassendes Bestandsverzeichnis Ihrer Ressourcen – Sie können nicht scannen, was Sie nicht kennen (NIST SP 800-53 RA-5)
Verwenden Sie mehrere Scan-Tools, um eine bessere Abdeckung zu erzielen, da kein einzelner Scanner alles erfasst
Kombinieren Sie das Scannen mit endpoint und -Reaktion , um die Lücke zwischen der Entdeckung von Schwachstellen und ihrer aktiven Ausnutzung zu schließen

Der Verizon DBIR 2025 ergab, dass nur 54 % der anfälligen Geräte innerhalb eines Jahres vollständig gesichert wurden, wobei die mediane Zeit bis zur Behebung 32 Tage betrug. Edge-Geräte machten 22 % der Ausnutzungsvorfälle aus – ein achtfacher Anstieg gegenüber dem Vorjahr –, was deutlich macht, dass die Überprüfung über herkömmliche Server- und endpoint hinaus ausgeweitet werden muss.

Einschränkungen beim Scannen und was Scanner nicht finden können

Eine ehrliche Einschätzung der blinden Flecken des Scanners verhindert gefährliche Selbstüberschätzung.

Zero-day . Scanner suchen nach bekannten Signaturen. Wenn kein CVE-Eintrag vorhanden ist, wird die Schwachstelle von keinem Scanner gefunden. Hier kommen zero-day Erkennung durch Verhaltensanalyse entscheidend.
Fehler in der Geschäftslogik. Anwendungsspezifische Logikfehler erfordern eine manuelle Analyse und können nicht durch Signaturabgleich erkannt werden.
Transitive Abhängigkeiten. Wie Log4Shell gezeigt hat, können verschachtelte Abhängigkeiten in Software-Lieferketten Schwachstellen verbergen, die von Scannern übersehen werden.
Kontextabhängige Schwachstellen. Ohne Zugriff mit Anmeldedaten können Scanner keine konfigurationsspezifischen Schwachstellen erkennen, die davon abhängen, wie die Software bereitgestellt wird.
Aktive Ausnutzung. Scanner decken Schwachstellen auf. Sie erkennen jedoch nicht, ob ein Angreifer diese bereits ausnutzt. Dazu sind Funktionen zur Erkennung von Bedrohungen erforderlich.

Umgang mit Fehlalarmen

Falsch-positive Ergebnisse – also Scan-Ergebnisse, die fälschlicherweise eine Schwachstelle melden, die gar nicht existiert – untergraben das Vertrauen in Scan-Programme und verschwenden die Zeit der Analysten.

Häufige Ursachen sind veraltete Signaturen, Abweichungen bei den Versionsangaben – beispielsweise wenn ein Patch rückportiert wurde, ohne die Versionsnummer zu ändern – sowie Unterschiede zwischen den Testbedingungen des Scanners und der tatsächlichen Systemkonfiguration.

Zu den Strategien zur Risikominderung gehören die Durchführung von Scans mit Anmeldeinformationen für eine höhere Genauigkeit, die Aktualisierung der Signaturen des Scanners, die Überprüfung der Ergebnisse durch Kontextanalysen sowie die Verknüpfung der Ergebnisse verschiedener Tools. Scans mit Anmeldeinformationen sind besonders effektiv, da sie den tatsächlichen Patch-Stand überprüfen können, anstatt sich auf die Erkennung externer Versionen zu verlassen.

Schwachstellen-Scans und Compliance

Wichtige regulatorische Rahmenwerke schreiben Schwachstellen-Scans in bestimmten Abständen vor. Diese Tabelle zur Compliance-Zuordnung dient als Schnellübersicht.

Anforderungen des Compliance-Rahmens für Schwachstellen-Scans.

Rahmenwerk	Scan-Anforderungen	Mindestfrequenz	Umfang
PCI DSS v4.0 (Anforderung 11.3)	Interne und externe Scans; externe durch ASV	Vierteljährlich (viermal pro Jahr)	Umfeld für Karteninhaberdaten
NIST SP 800-53 RA-5	Regelmäßige Scans sowie nach wesentlichen Änderungen; SCAP-konforme Tools	Im Rahmen der unternehmensweiten Risikobewertung	Bundesinformationssysteme
CIS Controls v8 (Steuerung 7)	Automatisierte interne Tests (7.4), authentifizierte und nicht authentifizierte Tests (7.5), automatisierte externe Tests (7.6)	Intern vierteljährlich+, extern monatlich+	Unternehmensvermögen
ISO 27001:2022 (Anhang A 8.8)	Risikobasierter, dokumentierter Prozess für das Management technischer Schwachstellen	Pro Risikobewertung	Betroffene Informationsressourcen
NIS2-Richtlinie	Schwachstellenmanagement einschließlich regelmäßiger Patches	Umsetzung nach Mitgliedstaaten	Wesentliche und wichtige Einrichtungen (EU)
HIPAA-Sicherheitsvorschrift	Risikoanalyse und Abhilfemaßnahmen einschließlich Schwachstellen-Scans	Pro Risikobewertung	Elektronisch gespeicherte Gesundheitsdaten

EU-Organisationen sehen sich im Rahmen von NIS2 zusätzlichem Druck ausgesetzt, da diese Richtlinie zu 70 bis 80 % den Kontrollmaßnahmen der ISO 27001 entspricht und bei Nichteinhaltung Strafen von bis zu 10 Millionen Euro vorsieht. PCI DSS v4.0 gilt weltweit für alle Organisationen, die Zahlungskartendaten verarbeiten. Organisationen, die im Rahmen mehrerer Rahmenwerke tätig sind, profitieren davon, sich an die strengsten Anforderungen anzupassen – in der Regel die wöchentliche bis monatliche Häufigkeit gemäß CIS Control 7 –, um alle Rahmenwerke gleichzeitig zu erfüllen.

Moderne Ansätze für das Schwachstellen-Scanning

Die Landschaft der Schwachstellen-Scans entwickelt sich rasant weiter. Drei Veränderungen prägen den modernen Ansatz.

Von periodisch zu kontinuierlich. Kontinuierliches Schwachstellen-Scanning ersetzt vierteljährliche oder monatliche Intervalle durch eine permanente Überwachung. Angesichts einer mittleren Zeit bis zur Ausnutzung von nur fünf Tagen stellt jede Lücke in der Scan-Abdeckung eine Chance für Angreifer dar. Kontinuierliches Scanning lässt sich in CTEM-Frameworks (Continuous Threat Exposure Management) integrieren, wobei das Scanning einen Beitrag zu einem umfassenderen Programm zur Bewertung der Angriffsfläche und zur Risikominderung leistet.

Von der reinen CVSS-basierten bis hin zur mehrdimensionalen Priorisierung. CVSS v4.0 verbessert zwar die Genauigkeit der Bewertung, doch führende Programme kombinieren nun EPSS, Erreichbarkeitsanalysen und Threat-Intelligence-Feeds, um sich auf Schwachstellen zu konzentrieren, die in ihrer jeweiligen Umgebung sowohl ausnutzbar als auch erreichbar sind.

Von regelmäßigen Scans bis hin zur Analyse von Infrastructure-as-Code. Cloud Umgebungen erfordern neue Ansätze – API-basiertes Scannen, Analyse von Container-Images und die Überprüfung von Infrastructure-as-Code, um Fehlkonfigurationen bereits vor der Bereitstellung zu erkennen.

Wie Vectra AI das Thema Schwachstellenscans Vectra AI

Die Philosophie Vectra AI basiert auf einer einfachen Prämisse: Man gehe davon aus, dass ein System bereits kompromittiert ist. Wenn 28,96 % der ausgenutzten Schwachstellen bereits am oder noch vor dem Tag der CVE-Veröffentlichung als Angriffswaffen eingesetzt werden, stößt selbst das beste Scan-Programm an seine Grenzen. Schwachstellen-Scans identifizieren Schwachstellen. Die KI-gestützte Bedrohungserkennung identifiziert hingegen, was passiert, wenn diese Schwachstellen ausgenutzt werden – die seitliche Bewegung, die Ausweitung von Berechtigungen und die Datenaufbereitung, die auf den ersten Zugriff folgen. Attack Signal Intelligence das Schwachstellenscanning Attack Signal Intelligence . Es erfasst, was das Scanning nicht kann: zero-day , identitätsbasierte Angriffe und Verhaltensweisen nach einer Kompromittierung, die in keiner Signaturdatenbank enthalten sind. Zusammen bilden Schwachstellenscanning sowie Netzwerkdetektion und -reaktion eine vollständige Verteidigungsstrategie – sie finden Schwachstellen, bevor sie ausgenutzt werden, und erkennen das Verhalten von Angreifern, wenn die Ausnutzung erfolgreich ist.

Künftige Trends und neue Überlegungen

Der Bereich der Schwachstellenanalyse steht in den nächsten 12 bis 24 Monaten vor einem tiefgreifenden Wandel, der von drei sich verstärkenden Faktoren vorangetrieben wird.

Die Zahl der Exploits nimmt rasant zu. Da sich die Zeit bis zur Ausnutzung von Wochen auf Tage – und zunehmend sogar auf Stunden – verkürzt, werden Unternehmen dazu gezwungen sein, Echtzeit-Scanfunktionen zu nutzen, die in automatisierte Reaktionsmechanismen integriert sind. Die Exploit-Zeitleiste von React2Shell, in der über 30.000 Domains mit Backdoors versehen wurden, bevor die meisten Unternehmen ihren ersten Scan abgeschlossen hatten, gibt einen Vorgeschmack auf diese Zukunft.

KI verändert sowohl die Offensive als auch die Defensive. Angreifer nutzen KI, um Schwachstellen schneller zu identifizieren und auszunutzen. Defensive Scan-Tools setzen maschinelles Lernen ein, um die Erkennungsgenauigkeit zu verbessern, Fehlalarme zu reduzieren und vorherzusagen, welche Schwachstellen als Nächstes am ehesten ausgenutzt werden. Die Einführung von EPSS wird weiter zunehmen, da Unternehmen sich von einer rein auf CVSS basierenden Priorisierung abwenden.

Der regulatorische Druck nimmt zu. Die EU-weite Durchsetzung der NIS2-Richtlinie, die erweiterten Anforderungen des PCI DSS v4.0 und neue Rahmenwerke für kritische Infrastrukturen werden Unternehmen dazu veranlassen, häufigere und umfassendere Scan-Programme einzuführen. Unternehmen, die bisher nur Programme zur Einhaltung der Mindestanforderungen eingerichtet haben, müssen auf eine kontinuierliche Überwachung umstellen.

Scan-Tools werden selbst zum Ziel. Der Angriff auf die Lieferkette von Trivy im Jahr 2026 hat gezeigt, dass Schwachstellenscanner für Angreifer besonders attraktive Ziele sind. Es ist mit einer verstärkten Überprüfung der Integrität von Scannern, signierten Updates und der Lieferkettensicherheit bei Sicherheitstools zu rechnen.

Unternehmen, die sich auf diese Veränderungen vorbereiten, sollten in drei Bereiche investieren: eine Infrastruktur für kontinuierliche Scans, die Lücken zwischen den Scan-Zyklen schließt; eine mehrdimensionale Priorisierung, die CVSS, EPSS, Erreichbarkeit und Bedrohungsinformationen kombiniert; sowie Funktionen zur Erkennung von Verhaltensmustern, die Angriffe aufdecken, wenn bei den Scans unvermeidlich etwas übersehen wird.

Schlussfolgerung

Das Scannen nach Schwachstellen ist längst kein optionales Extra mehr – es ist eine grundlegende Sicherheitsmaßnahme, die jedes Unternehmen effektiv umsetzen muss. Angesichts der Tatsache, dass 20 % aller Sicherheitsverletzungen auf die Ausnutzung von Schwachstellen zurückzuführen sind, die Zeit bis zur Ausnutzung auf fünf Tage gesunken ist und jährlich 50.000 neue CVEs veröffentlicht werden, steigen die Kosten für das Vernachlässigen von Schwachstellenscans von Quartal zu Quartal.

Der Weg in die Zukunft erfordert, über die Mindestanforderungen zur Compliance hinauszugehen. Errichten Sie ein risikobasiertes Programm, das kontinuierlich Scans durchführt, Prioritäten anhand von CVSS in Verbindung mit EPSS und Erreichbarkeitsanalysen setzt und die gesamte Umgebung abdeckt, einschließlich cloud , Containern und Edge-Geräten. Kombinieren Sie mehrere Scan-Ansätze, um eine umfassende Abdeckung zu gewährleisten, und integrieren Sie Verhaltenserkennung, um das aufzuspüren, was Scanner nicht erkennen können.

Beginnen Sie mit einer übersichtlichen Bestandsaufnahme Ihrer Ressourcen, richten Sie eine kontinuierliche Überwachung Ihrer kritischsten Systeme ein und bauen Sie darauf auf. Unternehmen, die bereit sind, die Lücke zwischen der Erkennung von Schwachstellen und der aktiven Bedrohungserkennung zu schließen, sollten sich informieren, wie Vectra AIAttack Signal Intelligence von Vectra AI Scan-Programme ergänzt, indem es Angreiferverhalten erkennt, das keine Schwachstellendatenbank erfassen kann.

Häufig gestellte Fragen

Was ist ein Schwachstellen-Scan?

Das Schwachstellenscannen ist ein automatisierter Prozess, bei dem Systeme, Netzwerke und Anwendungen auf bekannte Sicherheitslücken überprüft werden, indem die ermittelten Konfigurationen mit Schwachstellendatenbanken abgeglichen werden. Das NIST definiert es als die systematische Identifizierung bekannter Schwachstellen in der IT-Infrastruktur. Scanner senden Abfragen an Zielsysteme, erfassen Informationen über installierte Software und Konfigurationen und gleichen diese Ergebnisse anschließend mit Datenbanken wie der National Vulnerability Database (NVD) und dem Katalog „Known Exploited Vulnerabilities“ der CISA ab. Der Prozess ist automatisiert und wiederholbar, wodurch er in großen Unternehmensumgebungen skalierbar ist. Das Schwachstellenscannen ist eine Komponente innerhalb des umfassenderen Schwachstellenmanagement-Lebenszyklus, der auch die Priorisierung, Behebung und Verifizierung umfasst. Da die Ausnutzung von Schwachstellen mittlerweile 20 % aller Sicherheitsverletzungen ausmacht, ist das Scannen zu einer grundlegenden Anforderung für jedes Sicherheitsprogramm geworden.

Wie funktioniert ein Schwachstellen-Scan?

Das Schwachstellenscanning erfolgt in sieben Schritten. Zunächst ermittelt der Scanner alle betroffenen Ressourcen – Server, Endgeräte, Netzwerkgeräte und cloud . Anschließend listet er die Ziele auf, indem er offene Ports, laufende Dienste und Softwareversionen identifiziert. Im dritten Schritt erkennt er Schwachstellen, indem er die ermittelten Konfigurationen mit CVE-Datenbanken und Herstellerhinweisen abgleicht. Viertens validiert er die Ergebnisse, indem er diese miteinander in Beziehung setzt und Störsignale herausfiltert. Fünftens bewertet und priorisiert er die Ergebnisse anhand von CVSS, EPSS und dem geschäftlichen Kontext. Sechstens erstellt er umsetzbare Berichte mit Schweregraden und Anleitungen zur Behebung. Schließlich führen Unternehmen einen erneuten Scan durch, um zu überprüfen, ob die identifizierten Schwachstellen durch die Behebungsmaßnahmen beseitigt wurden. Der gesamte Zyklus wiederholt sich kontinuierlich, da sich Umgebungen ändern, neue Schwachstellen bekannt werden und Systeme aktualisiert werden.

Was ist der Unterschied zwischen Schwachstellen-Scans und Penetrationstests?

Beim Schwachstellenscan werden bekannte Schwachstellen mithilfe automatisierter Tools identifiziert, die Systemkonfigurationen mit Schwachstellendatenbanken abgleichen. Bei Penetrationstests wird durch simulierte Angriffe, die von erfahrenen Testern durchgeführt werden, überprüft, ob bestimmte Schwachstellen tatsächlich ausgenutzt werden können. Scans sind umfassend, automatisiert und wiederholbar – sie decken ganze Umgebungen innerhalb weniger Stunden ab. Penetrationstests sind zielgerichtet, manuell und ressourcenintensiv – sie konzentrieren sich auf bestimmte Systeme oder Angriffspfade. Ein Scan sagt Ihnen: „Dieses System weist eine bekannte Schwachstelle auf.“ Ein Penetrationstest sagt Ihnen: „Ein Angreifer kann diese Schwachstelle ausnutzen, um diese spezifische Auswirkung zu erzielen.“ Die meisten Sicherheitsprogramme benötigen beides: Scans für eine kontinuierliche Abdeckung und Penetrationstests für eine regelmäßige Tiefenprüfung.

Wie oft sollten Schwachstellen-Scans durchgeführt werden?

Die Häufigkeit hängt von der Kritikalität der Ressourcen und den Compliance-Anforderungen ab. Der PCI DSS schreibt mindestens vierteljährliche interne und externe Scans vor. CIS Control 7 empfiehlt wöchentliche Scans für Ressourcen mit Internetanbindung. Bewährte Sicherheitsverfahren sehen eine kontinuierliche Überprüfung kritischer Systeme vor. Angesichts einer mittleren Zeit bis zur Ausnutzung von 5 Tagen entstehen durch vierteljährliche Scans 45- bis 90-tägige Sicherheitslücken, in denen Angreifer Schwachstellen entdecken und ausnutzen können. Ein risikobasierter Ansatz funktioniert am besten: kontinuierliche Überwachung für kritische, mit dem Internet verbundene Systeme, wöchentliche Scans für Standard-Produktionsumgebungen, Scans nach der Bereitstellung für Entwicklungssysteme und monatliche bis vierteljährliche Scans für interne Ressourcen mit geringem Risiko.

Was sind die Grenzen von Schwachstellenscannern?

Scanner weisen fünf wesentliche Schwachstellen auf. Sie können zero-day nicht erkennen, da hierfür keine Signatur vorliegt. Sie können keine Fehler in der Geschäftslogik identifizieren, da hierfür ein Verständnis der anwendungsspezifischen Arbeitsabläufe erforderlich ist. Sie bieten nur begrenzte Einblicke in transitive Abhängigkeiten – wie der Fall Log4Shell gezeigt hat, bei dem Scanner aufgrund übersehener verschachtelter Abhängigkeiten lediglich eine Genauigkeit von 91,4 % erreichten. Ohne Zugriff mit Berechtigungsdaten können sie kontextabhängige Schwachstellen nicht bewerten. Und sie können keine aktive Ausnutzung erkennen – ein Scanner findet Schwachstellen, aber um einen Angreifer zu erkennen, der diese Schwachstellen ausnutzt, sind Fähigkeiten zur Erkennung von Bedrohungsverhalten erforderlich. Das Verständnis dieser Einschränkungen verhindert gefährliche Selbstüberschätzung und hilft Unternehmen dabei, mehrschichtige Abwehrmaßnahmen aufzubauen.

Ist ein Schwachstellen-Scan für die Einhaltung der PCI-DSS-Vorschriften erforderlich?

Ja. Die Anforderung 11.3 des PCI DSS v4.0 schreibt vor, dass mindestens vierteljährlich interne und externe Schwachstellen-Scans durchgeführt werden müssen. Externe Scans müssen von einem vom PCI Security Standards Council zertifizierten Approved Scanning Vendor (ASV) durchgeführt werden. Alle bei den Scans identifizierten Schwachstellen mit hohem Risiko und kritischen Schwachstellen müssen vor dem nächsten vierteljährlichen Scan behoben werden. Über PCI DSS hinaus schreiben mehrere Rahmenwerke Scans vor. NIST SP 800-53 RA-5 verlangt regelmäßige Scans sowie Scans nach wesentlichen Systemänderungen. Die CIS Controls empfehlen wöchentliche bis monatliche automatisierte Scans. ISO 27001 verlangt einen dokumentierten Prozess für das Management technischer Schwachstellen.

Was ist ein kontinuierliches Schwachstellen-Scanning?

Kontinuierliches Schwachstellen-Scanning ersetzt regelmäßige Scan-Intervalle – vierteljährlich, monatlich oder wöchentlich – durch eine permanente Überwachung, die neue Schwachstellen erkennt, sobald sie bekannt werden oder auftreten. Ausschlaggebend für diesen Wandel ist die Tatsache, dass 28,96 % der ausgenutzten Schwachstellen bereits am oder vor dem Tag der CVE-Veröffentlichung für Angriffe missbraucht werden. Jede Lücke zwischen den Scans stellt ein Sicherheitsrisiko dar. Kontinuierliches Scannen lässt sich in CTEM-Frameworks (Continuous Threat Exposure Management) integrieren, wobei die Scan-Ergebnisse in ein umfassenderes Programm zur Risikobewertung und Priorisierung einfließen. Dies wird zunehmend unerlässlich für cloud , in denen sich die Infrastruktur durch automatisierte Bereitstellungen, Container-Orchestrierung und serverlose Architekturen ständig verändert.