Schwachstellenscan vs. Penetrationstest: der Unterschied

Ein Schwachstellenscan prüft Systeme automatisiert gegen eine Datenbank bekannter Sicherheitslücken und liefert eine ungefilterte Ergebnisliste — schnell und günstig, aber ohne Verifikation. Ein Penetrationstest geht weiter: Ein Prüfer verifiziert die Funde manuell, kombiniert sie zu realen Angriffsketten und bewertet den tatsächlichen Schaden. Kurz: Der Scan liefert eine Liste, der Pentest liefert Beweise.

Was macht ein Schwachstellenscan?

Vulnerability Scanner wie Nessus, OpenVAS oder Qualys gleichen Ihre Systeme automatisiert mit Datenbanken bekannter Schwachstellen (CVEs) ab: offene Ports, veraltete Softwareversionen, fehlende Patches, unsichere Konfigurationen. Das Ergebnis ist ein Report mit oft Hunderten Einträgen — inklusive False Positives (gemeldete Lücken, die real nicht ausnutzbar sind) und ohne Aussage darüber, welche Funde in Kombination gefährlich werden.

Was macht ein Penetrationstest anders?

Ein Pentest ist ein autorisierter, manuell geführter Angriff. Der Tester nutzt Scanner zwar auch — aber als Ausgangspunkt, nicht als Endergebnis. Der Unterschied liegt in drei Dingen:

  • Verifikation: Jede gemeldete Schwachstelle wurde tatsächlich ausgenutzt oder als nicht ausnutzbar aussortiert. Keine False Positives.
  • Angriffsketten: Drei „mittlere" Findings können kombiniert zur Übernahme des Active Directory führen. Das sieht nur ein Mensch, der wie ein Angreifer denkt.
  • Business-Bewertung: Der Bericht priorisiert nach realem Schaden (CVSS + Kontext), nicht nach Datenbank-Score — und ist als Nachweis für NIS2, ISO 27001 und Cyber-Versicherungen verwendbar.

Direkter Vergleich

SchwachstellenscanPenetrationstest
MethodeAutomatisiert, signaturbasiertManuell geführt, toolgestützt
ErgebnisRohliste potenzieller LückenVerifizierte, priorisierte Findings mit Beweisen
False PositivesHäufigPraktisch keine
AngriffskettenNeinJa — Kernstück des Tests
DauerStundenTage bis Wochen
KostenAb wenigen hundert € / Toollizenzab 1.500 €
FrequenzLaufend / monatlich sinnvollJährlich oder nach großen Änderungen
Compliance-NachweisBausteinAnerkanntes Nachweisdokument (NIS2 Art. 21, ISO 27001 A.12.6)

Was brauche ich wann?

Beides — in unterschiedlichem Rhythmus. Die Kombination ist kein Entweder-oder:

  1. Laufend scannen: Ein regelmäßiger Schwachstellenscan hält das Grundrauschen niedrig — neue CVEs und vergessene Patches fallen schnell auf.
  2. Periodisch pentesten: Ein jährlicher Penetrationstest (oder nach größeren Umbauten: neue Web-App, Migration, Firmenzukauf) prüft, was ein echter Angreifer aus der Gesamtlage macht.
  3. Nach dem Pentest: Retest. Die Nachprüfung bestätigt, dass die kritischen Findings wirklich geschlossen sind.

Warnsignal bei Angeboten: Wer einen unbearbeiteten Scanner-Report als „Penetrationstest" verkauft, liefert Ihnen eine Liste ohne Beweiskraft. Fragen Sie nach manueller Verifikation, Angriffsketten-Analyse und CVSS-bewertetem Abschlussbericht.

Fazit

Der Schwachstellenscan ist das Thermometer, der Pentest die Untersuchung: Das eine misst laufend und billig, das andere stellt die Diagnose mit Beweisen. Für KMU ist die pragmatische Antwort ein regelmäßiger Scan plus ein scharf gescopter Pentest zum Festpreis — jährlich oder nach relevanten Änderungen. Unsicher, was bei Ihnen zuerst dran ist? Kurze Anfrage genügt — Sie bekommen eine ehrliche Einschätzung, auch wenn sie „erstmal nur scannen" lautet.

Marc Seeber, Geschäftsführer der Shared Business Service UG
Marc Seeber
Geschäftsführer und Gründer der Shared Business Service UG (Westgreußen, Thüringen). Führt Penetrationstests für KMU durch und unterstützt Unternehmen bei Buchhaltung, E-Rechnung und Backoffice-Prozessen. IHK-Mitglied Erfurt, HRB 524180 AG Jena. Kontakt: info@sbs-ug.de · 0171 4108980

Unverbindlich anfragen

Schildern Sie uns kurz Ihre Situation — Sie erhalten innerhalb von 24 Stunden eine konkrete Rückmeldung mit Vorschlag und Preisrahmen.