Pentest vs. Vulnerability Scan: Was wann sinnvoll ist
Pentest oder Vulnerability Scan? Wann welches Verfahren sinnvoll ist, was NIS-2 verlangt und wie KMU beide Methoden effektiv kombinieren.
Pentest vs. Vulnerability Scan: Was wann sinnvoll ist
Key Takeaways
- Ein Vulnerability Scan ist ein automatisiertes Werkzeug; ein Penetrationstest ist eine strukturierte manuelle Angriffssimulation durch Experten.
- Scans eignen sich für kontinuierliches, breites Monitoring — Pentests für tiefgehende, anlassbezogene Überprüfungen kritischer Systeme.
- NIS-2 verlangt die regelmäßige Bewertung der Wirksamkeit von Sicherheitsmaßnahmen; beide Verfahren liefern die notwendigen Nachweise auf unterschiedlichen Ebenen.
- Ein Pentest ohne vorherigen Scan verschwendet teure Beraterstunden auf bekannte, patchbare Schwachstellen.
Der fundamentale Unterschied
Beide Begriffe werden in Gesprächen mit Geschäftsführern und IT-Leitern häufig synonym verwendet — das ist ein teurer Irrtum. Ein Vulnerability Scan ist ein automatisiertes Verfahren: Ein Scanner (z. B. OpenVAS, Tenable Nessus, Qualys oder Microsoft Defender Vulnerability Management) vergleicht die erkannten Dienste, Softwareversionen und Konfigurationen eines Systems mit einer Datenbank bekannter Schwachstellen (CVE-Datenbanken, Herstelleradvisories). Das Ergebnis ist eine Risikoliste — meist nach CVSS-Score priorisiert.
Ein Penetrationstest (kurz: Pentest) ist eine geplante, methodische Angriffssimulation durch menschliche Experten. Der Tester nutzt gefundene Schwachstellen aktiv aus, versucht Rechte zu eskalieren, sich lateral zu bewegen und festzustellen, ob ein realer Angreifer tatsächlich an sensible Daten oder kritische Systeme gelangen könnte. Der Pentest beantwortet nicht nur „Gibt es Schwachstellen?
Häufige Fragen
Was ist der Unterschied zwischen einem Penetrationstest und einem Vulnerability Scan?
Ein Vulnerability Scan ist ein automatisiertes Verfahren, das Systeme mit Datenbanken bekannter Schwachstellen (CVEs) vergleicht und eine priorisierte Risikoliste ausgibt. Ein Penetrationstest ist eine manuelle Angriffssimulation durch Experten, die Schwachstellen aktiv ausnutzen, um echte Angriffspfade und deren Schadpotenzial zu ermitteln. Kurz: Der Scan sagt, was vorhanden ist — der Pentest zeigt, was damit wirklich möglich ist.
Wie oft sollte ein KMU einen Penetrationstest durchführen lassen?
Eine pauschale Frequenz gibt es nicht, aber bewährte Praxis ist: mindestens einmal jährlich für kritische Infrastruktur sowie anlassbezogen vor dem Go-live neuer Systeme, nach größeren Migrationen (z. B. on-premises zu Azure) oder nach Sicherheitsvorfällen. Zwischen den Pentests sollten kontinuierliche Vulnerability Scans die laufende Hygiene sicherstellen.
Reicht ein Vulnerability Scan für NIS-2-Konformität aus?
Ein Vulnerability Scan allein genügt in der Regel nicht. NIS-2 Art. 21 verlangt angemessene Maßnahmen zur Risikobewältigung, wozu auch die regelmäßige Bewertung ihrer Wirksamkeit gehört. Prüfbehörden erwarten für kritische Systeme zunehmend auch Nachweise durch Penetrationstests. Vulnerability Scans sind eine notwendige, aber nicht hinreichende Grundlage.