Was ist ein Vulnerability Scan?

Ein Vulnerability Scan ist Teil eines Penetrationstests, jedoch nicht mit einer solch umfangreichen Schwachstellenanalyse zu verwechseln. In Abgrenzung dazu erfolgt die Analyse beim Vulnerability Scan meist ein automatisch mittels kostenpflichtiger oder kostenloser Tools.

vulnerability scan

Automatisierte Schwachstellenanalyse

Sogenannte Vulnerability Scanner tasten Systeme auf eine oder mehrere Sicherheitslücken ab. Dabei wird zum Beispiel überprüft, ob unsichere bzw. nicht notwendige Services vorhanden sind. Auch Shares (Freigaben) werden auf ihre Sicherheit hin getestet. Zudem decken die Tools Fehler in der Konfiguration und Anwendung von Benutzer- und Passwortrichtlinien auf. Ebenso warnen die Tools Anwender, falls Patchstände von Programmen und Diensten unzureichend sind.

Ist ein Vulnerability Scan ausreichend?

Die Nutzung eines professionellen Vulnerability Scanners als Monitoring-Tool ist für Unternehmen absolut empfohlen. Eine umfassende Schwachstellenanalyse, die auch manuelle Maßnahmen mit einbezieht, kann jedoch nicht durch automatisierte Tools ersetzt werden. Bei einem Penetrationstest kommen Vulnerability Scanner wie Nessus deshalb nur unterstützend zum Einsatz.

Manuelle Methodik bei Schwachstellen-Scans

Manuelle Überprüfungen von Web-Anwendungen bezüglich SQL-Injection und Cross-Site-Scripting Schwachstellen können von Vulnerability-Scannern nicht abgedeckt werden. Diese müssen deshalb manuelle von einem Pentester durchgeführt werden. Ferner berücksichtigen Penetrationstests auch menschliche und organisatorische Schwachstellen in Betrieben.

Kostenlose Vulnerability Scanner:
  • Wireshark
  • Nmap
  • OpenVAS
  • Qualys Community Edition
  • Burp Suite Community Edition
Premium Vulnerability Scanner:
  • ManageEngine Vulnerability Manager
  • Paessler PRTG
  • BeyondTrust Retina
  • Rapid7 Nexpose
  • Tripwire IP360

Auf einen Blick:

  • Prüfung unsicherer Services
  • Sicherheitscheck von Shares
  • Testen der Passwort- / Nutzerrichtlinien Konfiguration
  • Überprüfung der Patchstände von Diensten und Anwendungen

Information

Ein Penetrationstest kann neben technischen auch menschliche Schwachstellen in Unternehmen aufdecken. Hacker nutzen beispielsweise Social-Engineering-Methoden, um Mitarbeiter/innen oder Vorgesetzte zu beeinflussen und so an Informationen zu gelangen. Angriffe werden oft über mehrere Monate geplant und mittels verschiedener Methoden durchgeführt, die nicht selten aufeinander aufbauen.

Gratis Hotline

Tipp:

Weil die verschiedenen Programme teils unterschiedliche Funktionen haben, sollte man niemals auf nur einen Vulnerability Scanner vertrauen, sondern verschiedenen Tools nutzen.

Vorsicht bei Nutzung von Vulnerability Scannern!

Weil die Tools teilweise in den laufenden Code von Zielen eingreifen, kann es bei deren Nutzung zu Netzwerkproblemen kommen. Hinzu kommt, dass Vulnerability Scanner enorme Mengen an Bandbreite benötigen, was allgemeine Leistungsprobleme nach sich zieht. Führen Sie entsprechende Security-Scans deshalb idealerweise außerhalb der Geschäftszeiten durch.

Schwachstellenanalyse vom Profi

Wenn Sie auf Nummer sicher gehen wollen, lassen Sie ihre IT-Infrastruktur vom Profi auf Schwachstellen hin überprüfen. Unsere Experten in ganz Deutschland analysieren das individuelle Gefährdungspotential und entscheiden daraufhin, welche automatisierten Tools und welche weiteren Methoden innerhalb der Testphase genutzt werden. Anschließend werden die Testergebnisse manuell ausgewertet und so konkrete Handlungsempfehlungen abgeleitet.

ansprechpartner pentest
Ihr persönlicher Ansprechpartner:
Henrik van Bergen

Jetzt Rückruf vereinbaren !

  • Spezialisierte Experten
  • Vulnerability Management
  • Unabhängige Pentests
Wir sind Mitglied bei
aaa iteam e1578100554253
allianz fur cyber sicherheit l
kiwiko logo e1578336780701
ITL Logo e1578100416519