Was macht ein Schwachstellenscan?
Vulnerability Scanner wie Nessus, OpenVAS oder Qualys gleichen Ihre Systeme automatisiert mit Datenbanken bekannter Schwachstellen (CVEs) ab: offene Ports, veraltete Softwareversionen, fehlende Patches, unsichere Konfigurationen. Das Ergebnis ist ein Report mit oft Hunderten Einträgen — inklusive False Positives (gemeldete Lücken, die real nicht ausnutzbar sind) und ohne Aussage darüber, welche Funde in Kombination gefährlich werden.
Was macht ein Penetrationstest anders?
Ein Pentest ist ein autorisierter, manuell geführter Angriff. Der Tester nutzt Scanner zwar auch — aber als Ausgangspunkt, nicht als Endergebnis. Der Unterschied liegt in drei Dingen:
- Verifikation: Jede gemeldete Schwachstelle wurde tatsächlich ausgenutzt oder als nicht ausnutzbar aussortiert. Keine False Positives.
- Angriffsketten: Drei „mittlere" Findings können kombiniert zur Übernahme des Active Directory führen. Das sieht nur ein Mensch, der wie ein Angreifer denkt.
- Business-Bewertung: Der Bericht priorisiert nach realem Schaden (CVSS + Kontext), nicht nach Datenbank-Score — und ist als Nachweis für NIS2, ISO 27001 und Cyber-Versicherungen verwendbar.
Direkter Vergleich
| Schwachstellenscan | Penetrationstest | |
|---|---|---|
| Methode | Automatisiert, signaturbasiert | Manuell geführt, toolgestützt |
| Ergebnis | Rohliste potenzieller Lücken | Verifizierte, priorisierte Findings mit Beweisen |
| False Positives | Häufig | Praktisch keine |
| Angriffsketten | Nein | Ja — Kernstück des Tests |
| Dauer | Stunden | Tage bis Wochen |
| Kosten | Ab wenigen hundert € / Toollizenz | ab 1.500 € |
| Frequenz | Laufend / monatlich sinnvoll | Jährlich oder nach großen Änderungen |
| Compliance-Nachweis | Baustein | Anerkanntes Nachweisdokument (NIS2 Art. 21, ISO 27001 A.12.6) |
Was brauche ich wann?
Beides — in unterschiedlichem Rhythmus. Die Kombination ist kein Entweder-oder:
- Laufend scannen: Ein regelmäßiger Schwachstellenscan hält das Grundrauschen niedrig — neue CVEs und vergessene Patches fallen schnell auf.
- Periodisch pentesten: Ein jährlicher Penetrationstest (oder nach größeren Umbauten: neue Web-App, Migration, Firmenzukauf) prüft, was ein echter Angreifer aus der Gesamtlage macht.
- Nach dem Pentest: Retest. Die Nachprüfung bestätigt, dass die kritischen Findings wirklich geschlossen sind.
Warnsignal bei Angeboten: Wer einen unbearbeiteten Scanner-Report als „Penetrationstest" verkauft, liefert Ihnen eine Liste ohne Beweiskraft. Fragen Sie nach manueller Verifikation, Angriffsketten-Analyse und CVSS-bewertetem Abschlussbericht.
Fazit
Der Schwachstellenscan ist das Thermometer, der Pentest die Untersuchung: Das eine misst laufend und billig, das andere stellt die Diagnose mit Beweisen. Für KMU ist die pragmatische Antwort ein regelmäßiger Scan plus ein scharf gescopter Pentest zum Festpreis — jährlich oder nach relevanten Änderungen. Unsicher, was bei Ihnen zuerst dran ist? Kurze Anfrage genügt — Sie bekommen eine ehrliche Einschätzung, auch wenn sie „erstmal nur scannen" lautet.
Unverbindlich anfragen
Schildern Sie uns kurz Ihre Situation — Sie erhalten innerhalb von 24 Stunden eine konkrete Rückmeldung mit Vorschlag und Preisrahmen.