2023 / Offensive Services

Vulnerability Scan vs. Penetrationstest: Die Unterschiede

Werden für das eigene Unternehmen Maßnahmen zur Stärkung der IT-Sicherheit probiert, kann man vor der Entscheidung zwischen eines Vulnerability Scans und eines Penetrationstests stehen. Dabei wirkt der Vulnerability Scan recht attraktiv, die höheren Kosten eines Penetrationstests eher abschreckend. Doch wo genau liegen die Unterschiede und reicht ein Vulnerability Scan für die vollständige Absicherung des eigenen Unternehmens?

Unterschied zwischen Pentest und Vulnerability Scan

Bevor wir auf alle Besonderheiten eingehen, möchten wir Ihnen einmal kurz aufzeigen, wo die größten Unterschiede zwischen einem Penetrationstest und einem Vulnerability Scan zu finden sind. Dazu haben wir beide Tests kurz und knapp beschrieben. Dadurch, dass sich allein der Ausgangspunkt entsprechend verändert, sollte sofort klar sein, wo der jeweilige Fokus liegt. Doch schauen wir uns die beiden Arten von Tests einmal genauer an.

Penetrationstest

Der Begriff Penetrationstest sollte Ihnen als Leser dieses Blogs eigentlich bereits bekannt sein. Dabei handelt es sich um manuelle, sehr aufwendige Tests, die IT-Systeme gezielt nach Schwachstellen absuchen. Dafür werden diese mitunter sogar angegriffen, weshalb Penetrationstests für gewöhnlich auch im Zusammenhang mit ethischen Hackern stehen. Von selbigen oder sehr erfahrenen DevOps-Ingenieuren wird diese Art von Test dann auch entsprechend durchgeführt, um Systeme möglichst ganzheitlich testen zu können.

Vulnerability Scan

Der sogenannte Vulnerability Scan, also der Scan nach Schwachstellen, ist auch genau das. Ein eher oberflächlicher und oft fast vollständig automatisierter Test, der nur bestimmte Muster prüft oder auf Datenbanken mit bekannten Sicherheitsrisiken zurückgreift, um diese dann automatisch zu testen. Anders als der Penetrationstest ist der Vulnerability Scan meist also vollkommen automatisiert. Als vollständig automatisierter Test ist der Vulnerability Scan also weniger genau und vor allem weniger individuell, was die Testweise sehr oberflächlich erscheinen lässt. Ein sehr bekanntes Tool ist beispielsweise Nessus.

Warum der Vulnerability Scan oft nicht ausreichend ist

Nun muss erst einmal klargestellt werden, dass beide Tests dafür gedacht sind, möglichst viele Schwachstellen zu finden. Genau diese Aufgabe erledigen sie auch tatsächlich sehr zufriedenstellend. Jedenfalls im Rahmen ihrer eigenen Grenzen und Möglichkeiten. Denn wie eben erwähnt gibt es durchaus Unterschiede zwischen dem Penetrationstest und einem Vulnerability Scan.

Diese liegen hauptsächlich in ihrer Methodik, gleichzeitig aber auch in der jeweiligen Testtiefe. So handelt es sich beim Penetrationstest um einen umfangreichen, manuellen Test, der eine Anwendung oder die komplette IT-Infrastruktur entsprechend sorgfältig überprüft und analysiert. Es gibt zwar auch hier ein paar Automationen oder Skripte, die dabei helfen sollen, doch ein Penetrationstest geht immer auf das individuelle IT-System ein und schaut sich die Schwachstellen daher ganz besonders genau an.

Der Vulnerability Scan kann zwar nützlich sein, um Schwachstellen zu entdecken, doch die Details bleiben bei so einem automatisierten Scan für gewöhnlich verborgen. Hier werden lediglich bereits bekannte Muster abgefragt und entsprechende Schwachstellen geprüft. Ein erfahrener Sicherheitsexperte erkennt diese aber auch ohne den Scan und während des Penetrationstests, sodass der Vulnerability Scan schlichtweg unzureichende Ergebnisse mit sich bringt.

Gute und schlechte Schwachstellen-Tests

Das Problem bei einem Vulnerability Scan ist nicht, dass er keine brauchbaren Ergebnisse liefert. Es ist vielmehr die Tatsache, dass der Vulnerability Scan oft nicht von professionellen Security Consultants ausgeführt wird. Doch wenn ein Laie einfach nur bestimmte Tools ausführt, die den Scan automatisiert übernehmen, sind die Ergebnisse schlussendlich wenig belastbar und infolgedessen nicht sinnvoll verwertbar.

Außerdem muss auch ganz klar gesagt sein, dass ein Vulnerability Scan nur ein Test auf Schwachstellen ist. Selbst wenn ein Security Consultant die Ergebnisse also noch einmal genauer analysiert, ist er wenig angepasst und schon gar nicht auf die jeweilige Infrastruktur hin konfiguriert. Er ist mehr wie eine Art Virenscanner, der durchläuft und nach bereits bekannten Mustern sucht. Es kann aber durchaus sinnvoll sein, den Vulnerability Scan als sinnvolle Ergänzung zu einem detaillierten Penetrationstest einzusetzen.

Doch es gibt natürlich auch schlechte Penetrationstests. Wichtig ist somit, dass Sie immer darauf achten, dass der Anbieter sein Kerngeschäft in der IT-Sicherheit hat. Immer öfter gibt es zweifelhafte Firmen, die solche Tests als Nebengeschäft anbieten, dabei aber gar nicht auf die IT-Sicherheit spezialisiert sind. Oft verstehen diese Dienstleister die Ergebnisse nicht genauer, sondern geben nur das weiter, was der automatische Scan ihnen mitgeteilt hat. Natürlich bringt das schlussendlich niemanden wirklich weiter und speziell beim Penetrationstest ist in solch einem Fall von einer Menge False-Positive Meldungen auszugehen.

Schwachstellen finden und analysieren

Am Ende lässt sich das ganze hervorragend mit den Brötchen vom Bäcker vergleichen. Klar ist, dass ein gelernter Bäcker zwar schnell arbeitet, dabei aber auf viel Handwerk, Routine und Basiswissen zurückgreifen kann. Er weiß, was er tut, auf was er achten muss, welche Zutaten bestimmte Effekte im Teig hervorrufen und worauf es bei einem guten Brötchen ankommt. Während die Brötchen vom Discounter nicht beim Bäcker entstehen, sondern eher nach Anweisung in den Ofen geschoben werden.

Bei Pentrationstest und Vulnerability Scan ist das genauso. Der erfahrene Security Consultant kann ebenso automatische Tools verwenden, doch er weiß dabei genau, worauf er achten muss und was die Tools für gewöhnlich übersehen. Außerdem erkennt er aufgrund seines Fachwissens, der eigenen Erfahrung und seiner Ausbildung, was im jeweiligen IT-System notwendig ist. Unerfahrene Drittanbieter, deren Geschäft nicht im Bereich IT-Security liegt, wissen das oft nicht.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.