Schwachstellenanalyse vs. Pentest: Welches Verfahren Sie wann brauchen
"Wir brauchen eine Schwachstellenanalyse" - das hoeren wir taeglich von IT-Leitern in Deutschland. Gemeint ist meistens etwas anderes: mal ein Schwachstellenscan, mal ein vollwertiger Penetrationstest, mal ein komplettes Security-Audit. Die drei sind nicht dasselbe, haben unterschiedliche Kosten und liefern unterschiedliche Ergebnisse.
Dieser Artikel macht die Abgrenzung klar und zeigt, wann Sie welches Verfahren brauchen - vor allem mit Blick auf NIS2, DORA und ISO 27001.
Die drei Begriffe im Ueberblick
| Verfahren | Was es macht | Dauer | Aufwand | Typische Kosten |
|---|---|---|---|---|
| Schwachstellenscan | Automatisiertes Scannen nach bekannten CVEs | Stunden | Sehr gering | EUR 100-2.000/Monat |
| Schwachstellenanalyse | Scan + manuelle Bewertung + Priorisierung im Unternehmenskontext | Tage | Mittel | EUR 2.000-15.000 |
| Penetrationstest | Aktive Ausnutzung gefundener Schwachstellen, Angreifer-Simulation | Wochen | Hoch | EUR 5.000-50.000 |
Die Schwachstellenanalyse liegt genau zwischen Scan und Pentest: tiefer als ein Scan, aber ohne die reale Angriffssimulation eines Pentests.
Was ist eine Schwachstellenanalyse?
Eine Schwachstellenanalyse (engl. Vulnerability Assessment) ist ein methodischer Prozess, bei dem Sicherheitsluecken in IT-Systemen identifiziert, klassifiziert und nach Risiko priorisiert werden. Typische Bestandteile:
- Asset-Inventur - welche Systeme sind ueberhaupt im Scope?
- Automatisierter Scan mit Tools wie Nessus, OpenVAS, Qualys
- Manuelle Verifikation gefundener Schwachstellen (False Positives aussortieren)
- Kontextualisierung - ist die Schwachstelle im konkreten Setup wirklich ausnutzbar?
- Priorisierung nach CVSS-Score, Exploit-Verfuegbarkeit und Business-Impact
- Bericht mit konkreten Remediation-Empfehlungen
Im Gegensatz zum reinen Scan wird bei einer Schwachstellenanalyse bewertet, nicht nur gefunden. Im Gegensatz zum Pentest werden gefundene Schwachstellen aber nicht aktiv ausgenutzt.
Wann Schwachstellenanalyse, wann Pentest?
Nehmen Sie eine Schwachstellenanalyse, wenn...
- Sie einen Ueberblick ueber die Gesamtsicherheitslage brauchen
- Sie regelmaessig (monatlich, quartalsweise) den Status messen wollen
- Ihr Budget limitiert ist und Sie viele Systeme abdecken muessen
- Sie Compliance-Dokumentation fuer ISO 27001, DSGVO oder NIS2 brauchen
- Sie ein Schwachstellenmanagement-Programm aufbauen (Prozess, nicht Punktpruefung)
Nehmen Sie einen Penetrationstest, wenn...
- Sie wissen muessen, ob ein Angreifer tatsaechlich reinkommt
- Ein Regulator explizit einen Pentest fordert (DORA TLPT, PCI DSS 11.3, TISAX)
- Sie eine neue kritische Anwendung vor Go-Live abnehmen
- Sie nach einem Vorfall reale Angriffspfade nachvollziehen wollen
- Ihnen die Vorstands- oder Aufsichtsebene die Frage stellt: "Sind wir sicher?" - ein Scan beantwortet das nicht, ein Pentest schon
Was fordern die Regulierungen?
NIS2 (Artikel 21)
NIS2 fordert technische, operative und organisatorische Massnahmen zur Risikobeherrschung. Artikel 21 nennt konkret:
- Risikoanalyse und Sicherheitsrichtlinien
- Behandlung von Sicherheitsvorfaellen
- Regelmaessige Bewertung der Wirksamkeit der Massnahmen
Die "regelmaessige Bewertung" wird in der Praxis ueber kontinuierliche Schwachstellenanalysen plus jaehrliche Pentests abgedeckt. Reine Scans reichen nicht.
DORA (Artikel 24-27)
DORA verlangt fuer Finanzinstitute:
- Regelmaessige Pruefung der Cybersicherheit (Art. 24) - hier reicht eine Schwachstellenanalyse
- Fortgeschrittene Pruefungen fuer wichtige IKT-Systeme mindestens alle drei Jahre - hier ist ein Pentest Pflicht
- TLPT (Threat-Led Penetration Testing) fuer bestimmte Institute - das ist ein vollwertiger Red-Team-Pentest nach TIBER-EU-Standard
Mehr dazu in unserem Artikel TLPT unter DORA.
ISO 27001:2022 (Annex A 8.8)
Control 8.8 "Management of technical vulnerabilities" fordert:
- Informationen ueber technische Schwachstellen zeitnah einholen
- Exposure bewerten
- Geeignete Massnahmen ergreifen
ISO 27001 fordert keine expliziten Pentests, aber ein dokumentiertes Schwachstellenmanagement. Auditoren erwarten in der Praxis mindestens einen jaehrlichen Pentest plus laufende Schwachstellenanalysen.
DSGVO (Artikel 32)
Art. 32 fordert "technische und organisatorische Massnahmen, einschliesslich eines Verfahrens zur regelmaessigen Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit". Eine Schwachstellenanalyse reicht als Nachweis - ein Pentest ist staerker, aber nicht verpflichtend.
Schwachstellenmanagement als Prozess
Eine einmalige Schwachstellenanalyse ist ein Foto. Was Sie brauchen, ist ein Film. Schwachstellenmanagement ist der kontinuierliche Prozess aus:
- Erkennen - laufende Scans gegen interne und externe Assets
- Bewerten - Risiko-Scoring im Unternehmenskontext
- Priorisieren - kritische Luecken zuerst, nicht nach CVSS allein
- Beheben - Patches, Konfigurationsaenderungen, Kompensationsmassnahmen
- Verifizieren - gezielte Re-Tests nach Fix
- Dokumentieren - Audit-Trail fuer NIS2, DORA, ISO 27001
Dieser Kreislauf sollte nicht jaehrlich, sondern kontinuierlich laufen. Jaehrliche Punktpruefungen sind in modernen Cloud- und DevOps-Umgebungen zu langsam - Schwachstellen entstehen taeglich durch neue Deployments und neue CVEs.
Warum automatisierte Schwachstellenanalyse Standard wird
Manuelle Schwachstellenanalysen durch externe Dienstleister dauern zwei bis vier Wochen und decken einen Zeitpunkt ab. Automatisierte Schwachstellenanalyse-Plattformen liefern:
- Kontinuierliche Scans - taeglich statt quartalsweise
- Asset Discovery - neue Systeme werden automatisch erfasst
- Integration in CI/CD-Pipelines und Ticket-Systeme (Jira, ServiceNow)
- Compliance-Mapping - gleicher Befund direkt auf NIS2-, ISO-, DORA-Controls gemappt
- Audit-fertige Berichte ohne Nacharbeit
Matproof kombiniert genau das: automatisierte Schwachstellenanalyse plus KI-gestuetzte Pentest-Komponenten plus direkte Compliance-Zuordnung. Mehr zum Produkt.
Die richtige Kombination fuer deutsche Mittelstaendler
Ein bewaehrtes Modell fuer Unternehmen mit 100-2.000 Mitarbeitern:
- Monatlich: automatisierte Schwachstellenanalyse aller externen Assets
- Quartalsweise: vertiefte Analyse kritischer interner Systeme (ERP, AD, Cloud-Workloads)
- Jaehrlich: externer Penetrationstest auf die Top-5-Applikationen
- Ad hoc: Pentest vor Go-Live neuer kritischer Systeme
- Alle 3 Jahre: Red-Team / TLPT bei DORA-pflichtigen oder hoch regulierten Unternehmen
Mit diesem Mix erfuellen Sie NIS2 Art. 21, ISO 27001 A.8.8, DORA Art. 24-27 und DSGVO Art. 32 gleichzeitig - und haben jederzeit einen aktuellen Sicherheitsstand, nicht nur einen Jahres-Snapshot.
Fazit
Ein Schwachstellenscan findet. Eine Schwachstellenanalyse bewertet. Ein Penetrationstest beweist.
Fuer die meisten deutschen Mittelstaendler ist die richtige Antwort: kontinuierliche automatisierte Schwachstellenanalyse plus jaehrlicher Pentest. Das deckt die regulatorischen Anforderungen ab, bleibt im Budget und liefert echte Entscheidungsgrundlagen statt dicker PDFs im Jahresrhythmus.
Naechster Schritt: Machen Sie den kostenlosen Pentest-Check, um Ihre externe Angriffsoberflaeche in unter 30 Minuten zu bewerten - oder lesen Sie unseren Leitfaden zu Penetrationstests in Deutschland.