Was ist einVulnerability Scan?

Ein Vulnerability Scan ist Teil eines Penetrationstests, jedoch nicht mit einer solch umfangreichen Schwachstellen-analyse zu verwechseln. In Abgrenzung dazu erfolgt die Analyse beim Vulnerability Scan meist ein automatisch mittels kostenpflichtiger oder kostenloser Tools.

Kontakt zu uns

Startseite » Blogs » Was ist ein Vulnerability Scan?

Definition:

Automatisierte Schwachstellenanalyse

Sogenannte Vulnerability Scanner tasten Systeme auf eine oder mehrere Sicherheitslücken ab. Dabei wird zum Beispiel überprüft, ob unsichere bzw. nicht notwendige Services vorhanden sind. Auch Shares (Freigaben) werden auf ihre Sicherheit hin getestet. Zudem decken die Tools Fehler in der Konfiguration und Anwendung von Benutzer- und Passwortrichtlinien auf. Ebenso warnen die Tools Anwender, falls Patchstände von Programmen und Diensten unzureichend sind.

Ist ein Vulnerability Scan ausreichend?

Die Nutzung eines professionellen Vulnerability Scanners als Monitoring-Tool ist für Unternehmen absolut empfohlen. Eine umfassende Schwachstellenanalyse, die auch manuelle Maßnahmen mit einbezieht, kann jedoch nicht durch automatisierte Tools ersetzt werden. Bei einem Penetrationstest kommen Vulnerability Scanner wie Nessus deshalb nur unterstützend zum Einsatz.

Manuelle Methodik bei Schwachstellen-Scans

Manuelle Überprüfungen von Web-Anwendungen bezüglich SQL-Injection und Cross-Site-Scripting Schwachstellen können von Vulnerability-Scannern nicht abgedeckt werden. Diese müssen deshalb manuelle von einem Pentester durchgeführt werden. Ferner berücksichtigen Penetrationstests auch menschliche und organisatorische Schwachstellen in Betrieben.

Kostenlose Vulnerability Scanner:

Wireshark
Nmap
OpenVAS
Qualys Community Edition
Burp Suite Community Edition

Premium Vulnerability Scanner:

ManageEngine Vulnerability Manager
Paessler PRTG
BeyondTrust Retina
Rapid7 Nexpose
Tripwire IP360

Auf einen Blick:

Prüfung unsicherer Services

Sicherheitscheck von Shares

Testen der Passwort- / Nutzerrichtlinien Konfiguration

Überprüfung der Patchstände von Diensten und Anwendungen

Informationen:

Ein Penetrationstest kann neben technischen auch menschliche Schwachstellen in Unternehmen aufdecken. Hacker nutzen beispielsweise Social-Engineering-Methoden, um Mitarbeiter/innen oder Vorgesetzte zu beeinflussen und so an Informationen zu gelangen. Angriffe werden oft über mehrere Monate geplant und mittels verschiedener Methoden durchgeführt, die nicht selten aufeinander aufbauen.

Schwachstellenanalyse vom Profi

Wenn Sie auf Nummer sicher gehen wollen, lassen Sie ihre IT-Infrastruktur vom Profi auf Schwachstellen hin überprüfen. Unsere Experten in ganz Deutschland analysieren das individuelle Gefährdungspotential und entscheiden daraufhin, welche automatisierten Tools und welche weiteren Methoden innerhalb der Testphase genutzt werden. Anschließend werden die Testergebnisse manuell ausgewertet und so konkrete Handlungsempfehlungen abgeleitet.

Tipp:

Weil die verschiedenen Programme teils unterschiedliche Funktionen haben, sollte man niemals auf nur einen Vulnerability Scanner vertrauen, sondern verschiedenen Tools nutzen

Vorsicht bei Nutzung von Vulnerability Scannern!

Weil die Tools teilweise in den laufenden Code von Zielen eingreifen, kann es bei deren Nutzung zu Netzwerkproblemen kommen. Hinzu kommt, dass Vulnerability Scanner enorme Mengen an Bandbreite benötigen, was allgemeine Leistungsprobleme nach sich zieht. Führen Sie entsprechende Security-Scans deshalb idealerweise außerhalb der Geschäftszeiten durch.

Wir stehen für Sie zur Verfügung