Vulnerability Assessment - Systematische Schwachstellenbewertung
Ein Vulnerability Assessment ist die systematische Identifizierung und Priorisierung von Sicherheitsschwachstellen in IT-Systemen mittels Scanner, Konfigurationsprüfungen und manuellem Review - ohne aktive Ausnutzung (im Gegensatz zum Penetrationstest). Ergebnis ist ein priorisierter Risikobericht mit CVSS-Scores und Remediationsempfehlungen.
Vulnerability Assessment (VA) und Penetrationstest (PT) werden oft verwechselt, verfolgen aber unterschiedliche Ziele. Das VA fragt: “Welche Schwachstellen existieren?” Das PT fragt: “Wie weit kommt ein realer Angreifer mit diesen Schwachstellen?”
VA vs. Penetrationstest
| Vulnerability Assessment | Penetrationstest | |
|---|---|---|
| Ziel | Vollständige Inventur aller bekannten Schwachstellen | Ausnutzung von Schwachstellen, realer Angriffspfad |
| Methode | Automatisierter Scanner + manuelle Prüfung | Manuelle Analyse, kreative Angriffskombinationen |
| Tiefe | Breit, nicht tief | Tief, nicht unbedingt breit |
| Ausnutzung | KEINE (nur prüfen ob vorhanden) | JA (mit Genehmigung!) |
| Häufigkeit | Wöchentlich bis monatlich | 1-2x jährlich oder nach wesentlichen Änderungen |
| Ergebnis | Liste mit CVSS-Scores, Patch-Empfehlungen | Business Impact, realistische Risikobewertung, Beweise |
| Vorteil | Schnell, günstig, automatisierbar | Findet Logikfehler, Kombinations-Angriffe, Business-Risiken |
VA ist die kontinuierliche Grundlage, PT validiert und vertieft punktuell. Beide ergänzen sich: VA ohne PT übersieht Angriffspfade, PT ohne VA übersieht systematisch bekannte CVEs.
VA-Prozess
Phase 1: Scoping - Was wird gescannt? (IP-Ranges, Domains, Cloud-Accounts), Wann? (Betriebszeit, Wartungsfenster), Wer wird informiert? (NOC, IT-Team), Ausschlüsse definieren, Authentifiziert vs. nicht-authentifiziert?
Phase 2: Asset Discovery - Welche Systeme gibt es im Scope? Nmap für Netzwerk-Discovery, Shodan für externe Fläche.
Phase 3: Vulnerability Scanning - Automatisierter Scanner (Nessus, OpenVAS, Qualys, Rapid7), Anmeldedaten für authentifiziertes Scanning (findet 3-5x mehr!), Cloud-Scanning (AWS Inspector, Azure Defender, GCP SCC). Nessus “Advanced Scan” mit Credentials erkennt: ungepatchte Software, unsichere Konfiguration, Standard-Passwörter, schwache Verschlüsselung.
Phase 4: Manuelle Validierung - Scanner melden False Positives (bis 30%), manuelle Prüfung kritischer Findings, Kontextbewertung (intern oder extern erreichbar?).
Phase 5: Risikopriorisierung
| CVSS Score | Bewertung |
|---|---|
| 9.0-10.0 | Critical |
| 7.0-8.9 | High |
| 4.0-6.9 | Medium |
| 1.0-3.9 | Low |
| 0.0 | Informational |
CVSS allein reicht nicht: Ist das System extern erreichbar (Risiko erhöht)? Gibt es einen CISA KEV-Eintrag (aktiv ausgenutzt - sofort patchen!)? Asset-Kritikalität: Produktions-DB vs. Dev-Server? EPSS (Exploit Prediction Scoring System) ergänzt CVSS: Wahrscheinlichkeit, dass CVE in nächsten 30 Tagen ausgenutzt wird (epss.cyentia.com).
Phase 6: Reporting und Remediation - Executive Summary (Gesamtrisiko, Top-3-Findings, Business Impact), technischer Report (alle Findings, CVSS, Empfehlungen), Patch-SLAs (Critical 24h, High 7 Tage, Medium 30 Tage), Re-Scan nach Behebung.
Scanner-Vergleich:
| Tool | Besonderheit |
|---|---|
| Nessus Professional (Tenable) | Marktführer, >70.000 Plugins, ~4.000-5.000 USD/Jahr; Cloud-Version: Tenable.io |
| Qualys VMDR | Cloud-native, Agent-based (kontinuierlich auch bei VPN-off), IT-Asset-Management-Integration |
| Rapid7 InsightVM | Live-Dashboard, gute Remediation-Workflows, integriert Nexpose + InsightVM |
| OpenVAS / Greenbone | Kostenlos (Community), funktional für KMU; Greenbone Enterprise für Support + Updates |
