security2026-04-196 min Lesezeit

Schwachstellen-Scanner 2026: Tool-Vergleich, Funktionen, Kosten

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 01Was ein Schwachstellen-Scanner leistet
  2. 02Die wichtigsten Tool-Kategorien
  3. 03Anbietervergleich: klassische Scanner
  4. 04Auswahlkriterien
  5. 05Praktische Empfehlungen
  6. 06Schwachstellen-Scanner und Compliance
  7. 07Wo Schwachstellen-Scanner an die Grenze stossen
  8. 08Wie Matproof passt
  9. 09Fazit

Schwachstellen-Scanner 2026: Tool-Vergleich, Funktionen, Kosten

Ein Schwachstellen-Scanner ist die einfachste Investition mit dem groessten Hebel in der Cybersicherheit. Dieser Leitfaden vergleicht die wichtigsten Anbieter, erklaert die Unterschiede zwischen On-Prem-Scannern, CSPM und PTaaS und gibt konkrete Empfehlungen fuer deutsche Unternehmen.

Was ein Schwachstellen-Scanner leistet

Ein Schwachstellen-Scanner prueft IT-Systeme automatisiert auf bekannte Sicherheitsluecken — typischerweise gegen die CVE-Datenbank. Klassische Funktionen:

  • Asset-Discovery (was lebt im Netz?)
  • Port- und Service-Scanning
  • Versions-Erkennung (welche Software-Version laeuft?)
  • CVE-Korrelation (welche bekannten Schwachstellen treffen zu?)
  • Authentifizierte Scans (Login auf Geraet, tieferer Blick)
  • Compliance-Reports (gegen Standards wie CIS, BSI, PCI)

Was er NICHT leistet: Logikfehler in Webapps, Konfigurations-Pruefung in der Cloud, IAM-Privilege-Escalation, Geschaeftsprozess-Schwaechen. Dafuer braucht es spezialisierte Tools (Webapp-Scanner, CSPM) oder einen Pentest.

Mehr zur Abgrenzung: Schwachstellenanalyse vs. Pentest.

Die wichtigsten Tool-Kategorien

Klassische Network/Host Vulnerability Scanner

Scannen IT-Infrastruktur (Server, Workstations, Netzwerkgeraete) auf bekannte CVEs.

  • Nessus / Tenable, Qualys VMDR, Rapid7 InsightVM, Greenbone/OpenVAS

Cloud Security Posture Management (CSPM)

Pruefen Konfigurationen in AWS, Azure, GCP — nicht klassische CVEs.

  • Wiz, Orca, Lacework, Microsoft Defender for Cloud

Webapp-Scanner (DAST)

Spezialisiert auf Web-Anwendungen.

  • Burp Suite Pro, Acunetix, OWASP ZAP, StackHawk

Container-Image-Scanner

Pruefen Docker-Images vor Deployment.

  • Trivy, Grype, Snyk Container, Anchore

Pentest-as-a-Service (PTaaS)

Kombinieren Scanner + manuelle Pruefung + Compliance-Mapping.

  • Matproof, Cobalt, HackerOne, Intigriti

Dieser Artikel fokussiert auf klassische Network/Host Scanner.

Anbietervergleich: klassische Scanner

Tenable / Nessus

Marktfuehrer. Bekannt fuer breite CVE-Abdeckung und stabile Scan-Engine.

  • Staerken: sehr grosse Plugin-Bibliothek (160k+), gute Reporting-Engine, "Tenable Vulnerability Management" cloud-native, "Nessus Professional" als guenstige Einstiegsversion
  • Schwaechen: UI altbacken, Lizenzen werden bei vielen Assets teuer
  • Preis: Nessus Professional EUR 4.500/Jahr (unbegrenzte IPs); Tenable Vulnerability Management ab EUR 80/Asset/Jahr
  • Geeignet fuer: alle Groessen, vor allem Mittelstand 100-3.000 Assets

Qualys VMDR

Cloud-native Pionier. Eine der ersten reinen SaaS-Scanner-Loesungen.

  • Staerken: schnelle Asset-Discovery, gute Risk-based-Prioritization mit eigenem TruRisk-Score, integriert mit Patch-Management
  • Schwaechen: UI-Tiefe, einige Funktionen erst in teureren Tiers
  • Preis: ab EUR 100/Asset/Jahr je nach Modul-Mix
  • Geeignet fuer: Mid-Market und Enterprise mit Cloud-orientierter Architektur

Rapid7 InsightVM

Risk-based Marktfuehrer. Starke Kontextualisierung.

  • Staerken: Real Risk Score (kombiniert CVSS + Exploit + Asset-Wert), gute Integration mit InsightIDR (XDR), Live Boards Dashboards
  • Schwaechen: Pricing ist verhandelbar aber kompliziert
  • Preis: ab EUR 90/Asset/Jahr
  • Geeignet fuer: Unternehmen mit eigenem SOC, die Scanner mit XDR koppeln wollen

Greenbone / OpenVAS

Open-Source-Kern, kommerzielle Versionen verfuegbar. Deutsches Unternehmen aus Osnabrueck.

  • Staerken: Open Source GVM-Engine kostenfrei, kommerzielle Greenbone Enterprise Appliance mit Support, BSI-Listed, deutsches Hosting
  • Schwaechen: Plugin-Bibliothek kleiner als Nessus, Reporting-UX schwaecher
  • Preis: GVM Open Source kostenfrei, Greenbone Enterprise ab EUR 2.500/Jahr (kleine Appliance) bis 50.000+
  • Geeignet fuer: kostenbewusste Mittelstaendler, Behoerden, KRITIS-Betreiber mit DE-Hosting-Anforderung

Holm Security VMP

Schwedischer Anbieter, EU-fokussiert.

  • Staerken: EU-Hosting, DSGVO-Fokus, gute User Experience
  • Schwaechen: kleinere Marktdurchdringung
  • Preis: ab EUR 60/Asset/Jahr
  • Geeignet fuer: EU-Unternehmen mit Datenschutz-Prioritaet

InsightCloudSec / Tenable.cs / Wiz (CSPM-Hybrid)

Fuer Cloud-Workloads sind reine Network-Scanner nicht ausreichend. Diese Tools pruefen Konfiguration statt CVE.

Mehr dazu: Cloud-Pentest Leitfaden.

Auswahlkriterien

1. Asset-Coverage

  • Wie viele Assets haben Sie? (Workstations, Server, Netzwerkgeraete, Cloud, Container, IoT)
  • Lizenz-Modell pruefen — manche Anbieter zaehlen IPs, andere Hosts, andere Sockets

2. Plattform-Coverage

  • Windows, Linux, macOS — alle gut abgedeckt
  • Cisco, Juniper, Fortinet — Network Devices
  • VMware, Hyper-V — Hypervisor
  • Kubernetes, Docker — Container
  • AWS/Azure/GCP — Cloud-spezifisch

3. Reporting-Tiefe

  • Compliance-Reports gegen CIS, BSI IT-Grundschutz, PCI, HIPAA
  • Executive Summaries fuer C-Level
  • Trend-Analysen (gehen wir vor oder zurueck?)
  • Asset-Owner-Notification (wer ist verantwortlich?)

4. Risk-based Prioritization

CVSS allein reicht nicht. Pruefen Sie:

  • EPSS-Score-Integration
  • KEV-Catalog (CISA)
  • Asset-Kritikalitaet als Faktor
  • Exploit-Verfuegbarkeit als Faktor

5. Integration in Workflow

  • Jira/ServiceNow-Tickets automatisch erstellen
  • API fuer Custom-Integration
  • Webhooks fuer Echtzeit-Aktionen
  • SIEM-Anbindung (Findings als Events)

6. Authentifizierte Scans

Authenticated Scans finden 3-5x mehr Schwachstellen als unauthenticated. Pruefen Sie:

  • Credential-Vault eingebaut
  • SSH-Key-Management
  • Domain-Account-Pruefung (LAPS-kompatibel)

7. EU-Hosting / DSGVO

Bei SaaS-Scannern: wo werden die Daten gespeichert? Greenbone, Holm, manche Tenable-Regionen bieten EU-Hosting.

8. Lizenz-Flexibilitaet

  • Pay-per-Asset vs. Pay-per-IP — bei vielen Cloud-Workloads relevant
  • Wachstumsklauseln
  • Kuendigungsfristen

Praktische Empfehlungen

Kleines Unternehmen (< 100 Assets)

  • Nessus Professional — EUR 4.500/Jahr fixe Lizenz, unbegrenzte IPs
  • Greenbone Community Edition — kostenfrei, mit Aufwand fuer Setup
  • Holm Security — falls EU-Hosting wichtig

Mittelstand (100-1.000 Assets)

  • Tenable Vulnerability Management oder Qualys VMDR — beide solide
  • Greenbone Enterprise — wenn Self-hosted bevorzugt
  • Budget: EUR 15.000-50.000/Jahr

Enterprise (1.000+ Assets)

  • Qualys oder Rapid7 InsightVM — beide skalieren gut
  • Plus CSPM (Wiz oder Microsoft Defender for Cloud) fuer Cloud-Workloads
  • Plus Container-Scanner (Trivy in CI/CD) fuer DevOps
  • Budget: EUR 80.000-300.000/Jahr

Cloud-first / DevOps

  • Wahrscheinlich kein klassischer Scanner mehr noetig — stattdessen:
  • CSPM (Wiz, Orca) fuer Cloud-Konfiguration
  • Container-Scanner in CI/CD
  • DAST fuer APIs/Webapps
  • Network-Scanner nur fuer das wenige On-Prem-Restbestand

Schwachstellen-Scanner und Compliance

NIS2 Art. 21

Schwachstellenmanagement-Prozess wird gefordert. Scanner ist die Erkennungsschicht.

DORA Art. 24

"Regelmaessige Pruefungen" — Scanner liefert die Frequenz, Pentest die Tiefe.

ISO 27001:2022 Annex A 8.8

"Management of technical vulnerabilities" — Scanner explizit erwartet.

BSI IT-Grundschutz (CON.6)

Schwachstellenmanagement-Baustein. Greenbone als BSI-zertifiziertes Werkzeug bevorzugt fuer Behoerden.

PCI DSS 11.3

Mindestens quartalsweise interne und externe Schwachstellen-Scans (PCI ASV-zertifizierter Scanner fuer extern!).

TISAX

Schwachstellen-Scans Teil der ISA-Anforderungen.

Wo Schwachstellen-Scanner an die Grenze stossen

Ein Scanner findet bekannte Schwachstellen mit bekannten Patterns. Er findet NICHT:

  • Logikfehler in Custom-Software (z.B. IDOR, Authorization-Bugs)
  • Misconfigurations in Cloud-IAM (Privilege Escalation Pfade)
  • Verkettete Schwachstellen (jede einzelne Medium, kombiniert kritisch)
  • Zero-Days (per Definition unbekannt)
  • Social Engineering / Phishing-Anfaelligkeit

Fuer all das brauchen Sie Pentests + Red Teaming. Scanner und Pentests sind komplementaer, nicht substituierbar.

Wie Matproof passt

Matproof ist kein klassischer Schwachstellen-Scanner — wir nutzen Scanner als eine von mehreren Komponenten:

  • Scanner-Findings als Basis-Layer
  • Aktive Verifikation (eliminiert False Positives)
  • Manuelle Pentest-Komponenten fuer Logikfehler
  • Compliance-Mapping auf NIS2, DORA, ISO 27001
  • Audit-fertige Berichte ohne manuelle Nacharbeit

Vorteil gegenueber separatem Scanner + Pentest-Anbieter + Compliance-Tool: alles in einer Plattform mit konsistentem Audit-Trail.

Mehr zur Plattform | Pentest-as-a-Service Leitfaden

Fazit

Ein Schwachstellen-Scanner ist 2026 die Eintrittskarte ins Schwachstellenmanagement — nicht das Endspiel. Fuer den Mittelstand sind Tenable Nessus oder Qualys VMDR die meistgenutzten Tools; Greenbone ist die deutsche Alternative mit BSI-Bezug.

Wichtigster Punkt: das Tool ist nur 30% der Loesung. Die anderen 70% sind Prozess (siehe Schwachstellenmanagement-Leitfaden) — Asset-Inventar pflegen, SLAs definieren, Patch-Management koppeln, monatlich reporten, kontinuierlich besser werden.

Weiter lesen: Schwachstellenmanagement-Leitfaden | Patch-Management-Software-Vergleich | Schwachstellenanalyse vs. Pentest

schwachstellen scannervulnerability scannernessus alternativeopenvas vs nessusschwachstellen scanner vergleichvulnerability scanner deutschschwachstellenscan tool

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern