Vulnerability Assessment –
Schwachstellen schnell identifizieren
Automatisierte Schwachstellenanalyse mit Nessus, OpenVAS & Qualys. CVE-Erkennung, CVSS-Scoring, Remediation-Guides. Schnell, günstig, regelmäßig. Perfekt als Ergänzung zu Pentests.
VA vs Pentest – Der Unterschied
Wann brauche ich was?
| Aspekt | Vulnerability Assessment | Penetrationstest |
|---|---|---|
| Ziel | Schwachstellen identifizieren | Schwachstellen ausnutzen |
| Durchführung | Automatisierte Tools (80-90%) | Manuell (80-90%) |
| Tiefe | Breit und oberflächlich | Tief und kontextuell |
| Befunde | Viele False Positives | Nur echte, ausnutzbare Schwachstellen |
| Time-to-Report | Schnell (24-48h) | Länger (72h+ nach Abschluss) |
| Kosten | Günstig (€500-€3.000) | Teurer (€2.000-€15.000) |
Vorteile von Vulnerability Assessment
Warum VA ein wichtiger Teil Ihrer Sicherheitsstrategie ist.
Schneller Security-Status
In wenigen Tagen wissen Sie, ob bekannte CVEs vorhanden sind.
Günstige Basis-Sicherheit
Für KMU mit kleinerem Budget: VA ist erschwinglicher Einstieg.
Kontinuierliches Monitoring
Regelmäßige Scans decken neue Vulnerabilities auf.
Compliance-Basis
Zeigt Compliance-Gaps auf. Gute Vorbereitung zu tieferen Audits.
Vulnerability Assessment Prozess
6 Schritte von der Analyse zum Bericht.
Scope & Target Definition
Welche IP-Bereiche, Domains, Systeme sollen gescannt werden? Ausnahmen definieren.
Automated Scanning
Tools wie Nessus, OpenVAS, Qualys scannen massiv parallel. Erkennung bekannter CVEs.
Data Collection & Analysis
Tools aggregieren Findings. Kategorisierung nach Severity, CVE, CVSS Score.
Manual Verification (Optional)
Für kritische Findings: Manuelle Überprüfung – Red Flags ausschließen.
Report Generation
Automatisierter Report mit Findings, CVSS Scores, Remediation-Tipps.
Remediation & Tracking
Nachverfolgung von Behebungen. Optional: Re-Scan nach Fixes.
Tools & Technologien
Wir nutzen branchenweit bekannte Standards.
Nessus
Industry-Standard, Cloud & On-Prem, hohe Genauigkeit.
OpenVAS
Kostenlos, guter Alternative zu Nessus, etwas weniger Genauigkeit.
Qualys
Enterprise-Grade, großes Datenbank, Compliance Mapping.
Rapid7 InsightVM
Kontinuierliches Monitoring, schnelle Prio-Updates.
Grenzen von Vulnerability Assessment
Was VA nicht findet – dafür brauchen Sie Pentests.
Viele False Positives
Tools markieren oft Nicht-Probleme. Verwirrung für IT-Teams.
Keine Business Logic Flaws
Logik-Fehler (z.B. IDOR, Broken Auth) werden oft übersehen.
Keine Exploitation
VA findet Schwachstellen – nutzt sie aber nicht aus (kein Realitätstest).
Keine manuellen Angriffe
Multi-Step-Angriffe, Social Engineering, Privilege Escalation – nicht abgedeckt.
Wann ist VA ausreichend? Wann brauche ich einen Pentest?
Szenarien und Empfehlungen.
Schneller, günstiger Security-Check. Basis für Verbesserungen.
Zeigt Compliance-Gaps auf. Als Vorbereitung zu Pentest gut.
Quartalsweise VA ist besser als nichts. Trends erkennen.
VA findet High-Risk-Schwachstellen nicht. Pentest notwendig.
Auditor*innen verlangen Pentest (A.12.6). VA reicht nicht.
Pentest zur forensischen Analyse & Prävention notwendig.
Häufige Fragen zu Vulnerability Assessment
Vulnerability Assessment – Kosten
Vulnerability Assessment jetzt starten
Schnelle CVE-Erkennung · Nessus & OpenVAS · CVSS-Scoring · 48h Report