Zwei Begriffe, die oft verwechselt werden — aber grundlegend verschiedene Dinge sind. Wer die Unterschiede versteht, kann bessere Entscheidungen für die eigene IT-Sicherheit treffen.
Was ist ein Vulnerability Scan?
Ein Vulnerability Scan ist eine automatisierte Prüfung Ihrer Systeme auf bekannte Schwachstellen. Die Software verbindet sich mit Ihren Servern, erkennt installierte Dienste und Software-Versionen und gleicht diese mit Datenbanken bekannter Schwachstellen (CVEs) ab.
Eigenschaften:
- Automatisiert, läuft ohne manuellen Eingriff
- Dauert Minuten bis wenige Stunden
- Prüft tausende bekannte Schwachstellen gleichzeitig
- Kann regelmässig wiederholt werden (wöchentlich, monatlich)
- Kosten: CHF 100-500 pro Monat (Plattform-Abo)
- Ergebnis: Bericht mit priorisierten Schwachstellen und Handlungsempfehlungen
Was ist ein Penetration Test?
Ein Penetration Test (Pentest) ist eine manuelle Prüfung durch einen Sicherheitsspezialisten. Der Tester versucht, wie ein echter Angreifer in Ihre Systeme einzudringen — mit Kreativität, Erfahrung und Werkzeugen die über automatisierte Scans hinausgehen.
Eigenschaften:
- Manuell, durch zertifizierte Spezialisten (z.B. OSCP, CISSP)
- Dauert Tage bis Wochen
- Findet auch logische Fehler, Business-Logic-Schwachstellen
- Einmalige oder jährliche Durchführung
- Kosten: CHF 5’000-20’000 pro Assessment
- Ergebnis: Detaillierter Bericht mit Angriffsszenarien und Nachweisen
Der entscheidende Unterschied
Ein Vulnerability Scan findet bekannte Probleme schnell und breit. Ein Pentest findet auch unbekannte Probleme, aber punktuell und teuer.
Ein Beispiel: Der Vulnerability Scan erkennt, dass Ihr Exchange-Server eine bekannte CVE hat und kein Patch installiert ist. Ein Pentester würde zusätzlich prüfen, ob die interne Mailweiterleitung so konfiguriert ist, dass ein Angreifer über diese CVE an Geschäftsleitungs-Mails kommt.
Beides hat seinen Platz. Aber die Reihenfolge ist wichtig.
Was zuerst?
Viele Unternehmen bestellen einen Penetration Test, bevor sie je einen Vulnerability Scan gemacht haben. Das ist wie eine Wohnungsrenovation durch einen Innenarchitekten, während das Dach noch undicht ist.
Die empfohlene Reihenfolge:
- Regelmässige Vulnerability Scans (kontinuierlich, automatisiert) — Findet und schliesst die bekannten Lücken
- Penetration Test (1-2x pro Jahr, manuell) — Prüft was der Scanner nicht findet: Logikfehler, komplexe Angriffsketten, Social Engineering
- Erneuter Vulnerability Scan nach dem Pentest — Verifiziert dass die Findings behoben wurden
Der Scan sorgt für die Grundhygiene. Der Pentest für die Tiefe. Ohne Grundhygiene ist der Pentest verschwendetes Geld — die Hälfte der Findings wären Dinge, die ein automatisierter Scan auch gefunden hätte.
Was kostet was?
| Vulnerability Scan | Penetration Test | |
|---|---|---|
| Kosten | CHF 100-500/Monat | CHF 5’000-20’000 einmalig |
| Frequenz | Wöchentlich-monatlich | 1-2x pro Jahr |
| Abdeckung | Tausende bekannte CVEs | Fokussiert auf definierte Ziele |
| Dauer | Minuten-Stunden | Tage-Wochen |
| Spezialist nötig? | Nein | Ja |
| Jährliche Kosten | CHF 1’200-6’000 | CHF 5’000-20’000 |
Für die meisten KMU ist ein regelmässiger Vulnerability Scan die kosteneffektivste Massnahme. Ein Pentest lohnt sich zusätzlich, wenn spezifische Systeme (z.B. Webshop, Kundenportal, Finanzapplikation) besonders kritisch sind.
Beides zusammen ist kein Entweder-Oder
Die stärkste Kombination ist ein kontinuierlicher Vulnerability Scan als Basis, ergänzt durch gezielte Pentests für kritische Systeme.
Der Scan läuft automatisch im Hintergrund und schlägt Alarm wenn sich etwas ändert. Der Pentest liefert die Tiefe dort, wo es wirklich zählt.
Fazit
Wenn Sie heute noch keinen regelmässigen Vulnerability Scan haben, starten Sie dort. Es ist die schnellste und kosteneffektivste Art, Ihre IT-Sicherheit messbar zu verbessern.
ExposIQ kombiniert 35+ Scan-Engines mit 64’000+ CVE-Checks und liefert verständliche Berichte in Deutsch, Französisch, Italienisch und Englisch. Einrichtung in 5 Minuten, ohne Spezialwissen.
Testen Sie es 14 Tage kostenlos.
Sie brauchen zusätzlich einen Penetration Test? Kontaktieren Sie uns — mit über 30 Jahren Erfahrung und hunderten durchgeführten Pentests beraten wir Sie gerne: info@exposiq.ch
