Viele Unternehmen glauben, ihre IT-Infrastruktur sei sicher — bis zum ersten Scan. Wir teilen die häufigsten Erkenntnisse aus der Praxis und was sie für Ihr Unternehmen bedeuten.
Der erste Scan ist immer ein Augenöffner
Wenn ein KMU seine Infrastruktur zum ersten Mal mit einem Vulnerability Scanner prüft, sind die Ergebnisse fast immer überraschend. Nicht weil die IT schlecht gemacht ist — sondern weil Schwachstellen sich über Monate und Jahre unbemerkt ansammeln.
Basierend auf unserer Erfahrung mit Schweizer KMU-Netzwerken zeigen wir, was typischerweise auftaucht — und warum das wichtig ist.
1. Veraltete Software überall
Das häufigste Finding: Software die nicht auf dem neuesten Stand ist. Das betrifft nicht nur Server-Betriebssysteme, sondern vor allem:
- Web-Server (Apache, Nginx, IIS) mit bekannten CVEs
- CMS-Systeme (WordPress, Joomla) mit veralteten Plugins
- Netzwerkgeräte (Switches, Firewalls, Access Points) mit Firmware von vor Jahren
- SSL/TLS-Bibliotheken die längst abgelöste Protokolle unterstützen
Die meisten dieser Schwachstellen haben öffentlich verfügbare Exploits. Das heisst: Jeder mit etwas technischem Wissen kann sie ausnutzen.
2. Offene Dienste die niemand kennt
Fast jedes Netzwerk hat Dienste die laufen, ohne dass jemand davon weiss. Typische Beispiele:
- Ein SNMP-Dienst mit dem Community-String „public“ der Netzwerk-Details preisgibt
- Ein Datenbank-Port der aus dem Internet erreichbar ist
- Ein RDP-Zugang der nach einer Wartung vergessen wurde
- Ein Test-Webserver den ein Entwickler vor 2 Jahren aufgesetzt hat
Jeder dieser offenen Dienste ist ein potenzieller Einstiegspunkt für einen Angreifer. Was man nicht kennt, kann man nicht schützen.
3. SSL/TLS-Konfigurationsprobleme
Selbst Unternehmen die „alles verschlüsseln“ haben häufig Probleme mit ihrer SSL/TLS-Konfiguration:
- Abgelaufene oder bald ablaufende Zertifikate
- Unterstützung für veraltete Protokolle (TLS 1.0, TLS 1.1)
- Schwache Cipher Suites die Angriffe wie BEAST oder POODLE ermöglichen
- Self-signed Zertifikate auf öffentlich erreichbaren Diensten
Diese Probleme sind oft einfach zu beheben — aber man muss sie zuerst kennen.
4. Standard-Passwörter und schwache Authentifizierung
Es klingt unglaublich, aber bei einem überraschend hohen Anteil der Scans finden wir:
- Geräte mit Standard-Passwörtern (admin/admin, admin/password)
- Dienste ohne Authentifizierung (offene Management-Interfaces)
- FTP-Server mit anonymem Zugang
- Web-Applikationen mit Standard-Admin-Konten
Für einen Angreifer ist das der einfachste Weg ins Netzwerk. Kein Exploit nötig — einfach einloggen.
5. Fehlende Segmentierung
Wenn der Scanner von einem Netzwerksegment aus auf alles andere zugreifen kann, dann kann ein Angreifer das auch. Häufig gibt es keine Trennung zwischen:
- Büro-Netz und Server-Netz
- Gäste-WLAN und internem Netz
- Produktions-Systemen und Office-IT
Das bedeutet: Eine einzige kompromittierte Workstation kann zum Sprungbrett ins gesamte Netzwerk werden.
Was tun nach dem ersten Scan?
Der erste Scan liefert oft Dutzende bis Hunderte von Findings. Das kann überwältigend wirken. Der richtige Ansatz:
- Nicht in Panik geraten. Die meisten Unternehmen haben ähnliche Ergebnisse.
- Nach Risiko priorisieren. Kritische Schwachstellen auf öffentlich erreichbaren Systemen zuerst.
- Quick Wins umsetzen. Standard-Passwörter ändern, nicht benötigte Dienste deaktivieren, Patches einspielen.
- Regelmässig scannen. Ein einmaliger Scan zeigt den Ist-Zustand. Erst regelmässige Scans zeigen ob sich die Lage verbessert.
Der grösste Fehler
Der grösste Fehler ist nicht, Schwachstellen zu haben. Der grösste Fehler ist, nicht zu wissen welche man hat. Jeder Tag ohne Sichtbarkeit ist ein Tag an dem ein Angreifer einen Vorsprung hat.
Ein regelmässiger Vulnerability Scan ist die einfachste und kosteneffektivste Massnahme um Ihre IT-Sicherheit messbar zu verbessern. Nicht perfekt — aber unendlich besser als Blindflug.
