Prüfung und Audit
Schwachstellenscan
Was ist ein Schwachstellenscan?
Ein Schwachstellenscan ist eine automatisierte Prüfung von Systemen auf bekannte Sicherheitslücken und Fehlkonfigurationen. Eine Software vergleicht dabei Versionsstände und Einstellungen mit öffentlichen Schwachstellendatenbanken und meldet jeden Treffer mit einer Risikobewertung.
Im Alltag läuft ein Schwachstellenscan als Programm, das die Geräte im Netzwerk anspricht und feststellt, welches Betriebssystem, welche Dienste und welche Versionsstände dort in Betrieb sind. Diese Angaben vergleicht es mit öffentlichen Verzeichnissen bekannter Sicherheitslücken. Jede öffentlich bekannte Lücke trägt eine CVE-Nummer, also eine weltweit eindeutige Kennung, und eine Bewertung ihrer Schwere nach dem CVSS-Verfahren auf einer Skala von 0 bis 10.
Zwei Blickwinkel sind zu unterscheiden. Der externe Scan betrachtet Ihren Betrieb von außen, so wie ihn ein Angreifer aus dem Internet sieht: Firewall, Fernwartungszugänge, Webseite und Mailserver. Der interne Scan läuft im eigenen Netzwerk und zeigt, was ein Angreifer nach einem ersten erfolgreichen Schritt vor sich hätte. Ein authentifizierter Scan meldet sich zusätzlich mit einem Benutzerkonto an und erkennt dadurch auch fehlende Updates in installierter Software.
Ein Scan findet das, was öffentlich bekannt ist. Ob eine gemeldete Lücke in Ihrem konkreten Aufbau tatsächlich ausnutzbar ist, klärt ein Penetrationstest, also ein kontrollierter Angriffsversuch, der mit Ihrer schriftlichen Zustimmung durchgeführt wird. Dazu kommen Fehlalarme, sogenannte False Positives: Der Scanner meldet eine Lücke, die durch eine andere Einstellung bereits abgefangen wird. Zu jedem Scan gehört deshalb die Nachbearbeitung durch einen Menschen, der die Treffer prüft, einordnet und die Liste auf die Punkte kürzt, die für Ihren Betrieb zählen.
Der erste sinnvolle Schritt liegt vor dem Scan: eine Liste Ihrer Systeme. Prüfen lässt sich nur, was bekannt ist. Zu einem über Jahre gewachsenen Netzwerk gehören auch Geräte mit eigener Weboberfläche wie Drucker, Netzwerkspeicher, Kameras oder Maschinensteuerungen, und diese Geräte gehören ebenfalls auf die Liste. Klären Sie außerdem vorab die Zuständigkeiten: Systeme, die bei einem Hoster oder in der Cloud betrieben werden, dürfen Sie nur nach den Regeln des Anbieters prüfen lassen, und Ihr IT-Dienstleister sollte den Termin kennen.
Artikel 32 Absatz 1 lit. d DSGVO verlangt ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen. Ein wiederkehrender Scan mit dokumentiertem Ergebnis ist eine Möglichkeit, diese Überprüfung nachzuweisen. Im IT-Check ist die Prüfung auf Schwachstellen Teil von 8 Prüfbereichen mit über 100 Prüfpunkten. Die Datenerhebung vor Ort ist read-only, es wird also ausschließlich gelesen und dokumentiert, und sie läuft unterbrechungsfrei, während Ihr Betrieb weiterarbeitet.
Alle Begriffe der Wissensdatenbank
Hinweis: Dieser Eintrag gibt den Stand nach bestem Wissen wieder und dient der allgemeinen Orientierung. Er ersetzt keine Rechtsberatung. Maßgeblich ist immer die geltende Fassung bei der zuständigen Stelle, etwa dsb.gv.at, nis.gv.at oder onlinesicherheit.gv.at.
Vom Begriff zur Praxis
Wie steht Ihr Betrieb wirklich da?
Der IT-Check prüft Ihre IT in 8 Prüfbereichen mit über 100 Prüfpunkten und liefert einen dokumentierten Befund mit priorisiertem Maßnahmenplan. Ab 1.299 € exkl. USt. Das Erstgespräch dauert 20 Minuten. Es entstehen keine Kosten.