Ein Vulnerability Scan ist Teil eines Penetrationstests, jedoch nicht mit einer solch umfangreichen Schwachstellenanalyse zu verwechseln. In Abgrenzung dazu erfolgt die Analyse beim Vulnerability Scan meist ein automatisch mittels kostenpflichtiger oder kostenloser Tools.
Sogenannte Vulnerability Scanner tasten Systeme auf eine oder mehrere Sicherheitslücken ab. Dabei wird zum Beispiel überprüft, ob unsichere bzw. nicht notwendige Services vorhanden sind. Auch Shares (Freigaben) werden auf ihre Sicherheit hin getestet. Zudem decken die Tools Fehler in der Konfiguration und Anwendung von Benutzer- und Passwortrichtlinien auf. Ebenso warnen die Tools Anwender, falls Patchstände von Programmen und Diensten unzureichend sind.
Die Nutzung eines professionellen Vulnerability Scanners als Monitoring-Tool ist für Unternehmen absolut empfohlen. Eine umfassende Schwachstellenanalyse, die auch manuelle Maßnahmen mit einbezieht, kann jedoch nicht durch automatisierte Tools ersetzt werden. Bei einem Penetrationstest kommen Vulnerability Scanner wie Nessus deshalb nur unterstützend zum Einsatz.
Manuelle Überprüfungen von Web-Anwendungen bezüglich SQL-Injection und Cross-Site-Scripting Schwachstellen können von Vulnerability-Scannern nicht abgedeckt werden. Diese müssen deshalb manuelle von einem Pentester durchgeführt werden. Ferner berücksichtigen Penetrationstests auch menschliche und organisatorische Schwachstellen in Betrieben.
Ein Penetrationstest kann neben technischen auch menschliche Schwachstellen in Unternehmen aufdecken. Hacker nutzen beispielsweise Social-Engineering-Methoden, um Mitarbeiter/innen oder Vorgesetzte zu beeinflussen und so an Informationen zu gelangen. Angriffe werden oft über mehrere Monate geplant und mittels verschiedener Methoden durchgeführt, die nicht selten aufeinander aufbauen.
Weil die verschiedenen Programme teils unterschiedliche Funktionen haben, sollte man niemals auf nur einen Vulnerability Scanner vertrauen, sondern verschiedenen Tools nutzen.
Weil die Tools teilweise in den laufenden Code von Zielen eingreifen, kann es bei deren Nutzung zu Netzwerkproblemen kommen. Hinzu kommt, dass Vulnerability Scanner enorme Mengen an Bandbreite benötigen, was allgemeine Leistungsprobleme nach sich zieht. Führen Sie entsprechende Security-Scans deshalb idealerweise außerhalb der Geschäftszeiten durch.
Wenn Sie auf Nummer sicher gehen wollen, lassen Sie ihre IT-Infrastruktur vom Profi auf Schwachstellen hin überprüfen. Unsere Experten in ganz Deutschland analysieren das individuelle Gefährdungspotential und entscheiden daraufhin, welche automatisierten Tools und welche weiteren Methoden innerhalb der Testphase genutzt werden. Anschließend werden die Testergebnisse manuell ausgewertet und so konkrete Handlungsempfehlungen abgeleitet.
Wir testen Ihre IT-Landschaft und suchen in Ihrem Auftrag Schwächen und Sicherheitslücken. Wir informieren über alle gefundenen Probleme und unterbreiten Vorschläge zur Behebung.
Setzen Sie auf einen ganzheitlichen Sicherheitsansatz mit Pentest24. Wir sind Langjähriger Profi für IT und Modernes Arbeiten. Wir sind Ihre IT Security Experten für Penetrationstests und IT-Sicherheitsberatung.
