CyberDirekt Whitepaper 2026: Schwachstellenscans

Einsatz und Nutzen von Schwachstellenscans

Schwachstellenscans sind ein zentrales Instrument des IT-Risikomanagements und erfüllen mehrere strategische und operative Zwecke. Sie liefern nicht nur technische Befunde, sondern schaffen eine Grundlage für Priorisierung, Compliance, Bewertung und Sensibilisierung.

Scan-Arten und Leistungsumfang

Alle untersuchten Anbieter führen externe Schwachstellenscans der IT-Infrastruktur durch, in der Regel aus der Perspektive eines potenziellen Angreifers (sog. “outside-in”-Ansatz). Ebenfalls bei allen elf Anbietern inkludiert ist ein Port- und Service-Scan, bei dem automatisiert offene Ports identifiziert und die darauf betriebenen Dienste erkannt werden. Neun von elf Anbietern führen außerdem einen Abgleich mit bekannten Schwachstellen durch.

Unterschiede zwischen den Anbietern zeigen sich vor allem hinsichtlich ergänzender Scan-Arten, die über diesen Basisumfang hinausgehen. Hier hat unsere Analyse unter anderem die folgenden Differenzen gezeigt.

• TLS/SSL- und Konfigurations-Checks: Sechs von elf Anbietern prüfen explizit die Sicherheit von Verschlüsselungszertifikaten und -einstellungen.
• Darknet- und Leak-Monitoring: Etwas mehr als die Hälfte (sechs von elf) der Anbieter bietet zusätzlich einen Darknet-Scan bzw. Data Leak Scan an. Ein Versicherer nennt dabei ausdrücklich ein „Dark Web Monitoring“ (kontinuierliche Überwachung des Darknets) als festen Bestandteil seines Programms.
• Benchmarking und Peer-Vergleich: Etwa ein Drittel (vier von elf) der Anbieter ergänzen ihre Scan-Ergebnisse um Branchenbenchmarks, sodass Kunden ihr Sicherheitsniveau im Vergleich zu ähnlichen Unternehmen einordnen können.
• Manuelle Prüfungen: Fast alle Anbieter setzen auf vollautomatisierte Verfahren ohne individuellen Test durch einen Security-Analysten. Menschliche Expertise wird nur vereinzelt in die Scans eingebunden. So bietet beispielsweise ein Anbieter seine automatisierten Schwachstellenscans ergänzt mit manuellen Penetrationstests und OSINT-Recherche als Premium-Service an.

Monitoring und Tiefe der Scans

Unsere Analyse hat gezeigt, dass kontinuierliche Überwachung nach dem Motto “Kontinuierlich statt punktuell” mittlerweile Standard ist. Neun von elf Anbietern führen Scans in sehr kurzen Intervallen durch, teils täglich, wöchentlich oder sogar in Echtzeit. Mehrere Cyberversicherer bieten sogar ein 24/7-Monitoring mit Warnmeldungen bei neu entdeckten Schwachstellen an. Keiner der untersuchten Anbieter verlässt sich auf Einzel-Scans.

Verständlichkeit der Scan-Berichte

Da die Zielgruppe der Scan-Berichte in der Regel Entscheider ohne tiefes technisches Wissen sind, legen fast alle Anbieter Wert auf eine verständliche Aufbereitung der Ergebnisse. Rund drei Viertel (8 von 11) der Anbieter liefern eine managementgerechte Ergebnisdarstellung mit Ampelfarben, Scores oder klaren Handlungsempfehlungen in Alltagssprache.

• Fünf von elf Anbietern stellen zusätzlich eine Executive Summary bereit, die technische Risiken in Business-Sprache übersetzt.
• Viele Reports nutzen grafische Risk Scores, Balken und Charts zur Veranschaulichung.
• Klare Handlungsempfehlungen (z. B. „Konfiguration anpassen“) sind nahezu überall vorhanden. Insbesondere Versicherer verknüpfen die Ergebnisse mit Unterstützungs- oder Folgedienstleistungen, um die erkannten Sicherheitslücken oder Schwachstellen zu beheben.
• Die Berichte sind mehrheitlich C-Level-tauglich, da Fachbegriffe erklärt oder in konkrete Risiken übersetzt werden.
• Nur reine Tech-Rating-Plattformen liefern vereinzelt noch Rohdaten ohne vereinfachte Darstellung, obwohl auch hier erklärende Tooltips und FAQs vorhanden sind, die bei der Auswertung unterstützen.

Technische Abdeckung der Scans und besondere Auffälligkeiten

Bei den technischen Features decken die Anbieter einen großen gemeinsamen Nenner ab, doch es gibt auch Ausreißer nach oben. Alle analysierten Dienste erfassen grundlegende technische Aspekte wie offene Ports, bekannte Software-Schwachstellen sowie potenziell unsichere Konfigurationen.

Abweichungen zeigen sich vor allem im Umfang der abgedeckten Risikokategorien. Während zwei der spezialisierten Rating-Anbieter mehr als 20–25 Kategorien parallel analysieren (darunter Web-Applikationssicherheit, Patchmanagement und Malware-Indikatoren), fokussieren sich Versicherungsanbieter tendenziell stärker auf unmittelbar ausnutzbare Schwachstellen (z. B. Ports, Vulnerabilities oder Leaks) und weniger auf abstrakte Bewertungsmetriken.

Besondere Stärken und Differenzierungsmerkmale

Einige Anbieter positionieren sich mit spezifischen Alleinstellungsmerkmalen innerhalb des Marktes.

• Ein Scan-Dienst hebt seine besonders hohe Präzision ohne False Positives hervor, die durch einen vollständig technischen, stark automatisierten Prüfansatz erreicht werden soll.
• Ein weiterer Anbieter integriert Threat-Intelligence-Daten zu aktuellen Angriffsmustern, wodurch Erkenntnisse über aktive Hacker-Gruppierungen und Exploit-Trends unmittelbar in die Risikobewertung einfließen.
• Ein dritter Anbieter betreibt ein globales Sensornetzwerk mit eigenen Honeypots, das eine frühzeitige Erkennung neuer Bedrohungen ermöglicht. Kunden werden beispielsweise proaktiv informiert, wenn im Darknet verstärkt über Schwachstellen in von ihnen eingesetzter Software diskutiert wird.

Schwächen und Lücken in den analysierten Angeboten

Obwohl in den öffentlich zugänglichen Informationen kaum offensiv kommunizierte Schwächen erkennbar sind, zeigen sich Unterschiede zwischen den Anbietern hinsichtlich ihres Leistungsportfolios. Zwei der untersuchten Versicherer ergänzen ihre Scan-Dienste beispielsweise um zusätzliche IT-Sicherheitsservices wie Phishing-Trainings oder Notfall-Hotlines.

Weitere Unterschiede bestehen in der Risikodarstellung. Während die reinen Rating-Anbieter (drei von elf) primär einen numerischen Score bereitstellen, setzen versicherungsorientierte Dienste auf konkrete Handlungsempfehlungen und Warnmeldungen. In einigen Fällen werden beide Formate kombiniert. Fachlich wird empfohlen, für operative Entscheidungen vorrangig die konkreten Befunde heranzuziehen, da die Berechnungsmethoden der Scores zwischen den Anbietern variieren, beispielsweise hinsichtlich der Einbeziehung von Darknet-Analysen.

Leichte Schwächen sind, wenn überhaupt, im Bereich der Leak- und Darknet-Überwachung erkennbar. Während mehr als die Hälfte der Anbieter hier über eigene Lösungen verfügt, verzichten einige klassische Versicherer auf eigenständige Darknet-Scans und konzentrieren sich auf die Analyse der internen IT-Oberfläche des Unternehmens. Diese Lücken werden teilweise durch Partnerschaften mit spezialisierten Rating-Diensten kompensiert, deren Daten im Hintergrund in die Bewertung einfließen.

Zusammenfassende Bewertung

Insgesamt zeigt sich ein weitgehend homogenes Leistungsniveau im Bereich des technischen Schwachstellen-Scannings. Neun von elf Anbietern decken ein vergleichbares Fundament ab, das die Analyse von Netzwerk-, System- und Web-Schwachstellen umfasst. Sechs Anbieter erweitern dieses Basisspektrum durch ergänzende Module wie Threat-Intelligence-Integration und Leak-Erkennung.

Die Unterschiede zwischen den Anbietern liegen im Detail. Insbesondere darin, ob und in welchem Umfang Darknet-Daten in die Bewertung einfließen und ob das Ergebnis als reiner Scan-Report oder im Rahmen eines umfassenderen Servicepakets mit Beratung und Handlungsempfehlungen bereitgestellt wird.

Übergreifend ist ein klarer Trend erkennbar. Die Angebote entwickeln sich hin zu einer höheren technischen Tiefe, stärkerer Automatisierung und einer engeren Integration in das übergeordnete Cyber-Risk-Management der Kunden.

Wie aus den Ergebnissen der Analyse hervorgeht, verfügen die meisten Scan-Anbieter über eine weitgehend ähnliche technische Basis und unterscheiden sich vor allem in Zusatzfunktionen, Serviceumfang und Ergebnisaufbereitung. Für Unternehmen und Makler wird daher entscheidend sein, welcher Anbieter den größten praktischen und wirtschaftlichen Mehrwert bietet.

Wer Schwachstellenscans außerhalb einer Cyberversicherung beauftragt, sollte neben Preis-Leistung, Datenqualität und Verständlichkeit der Ergebnisse auch auf den technischen Umfang, die Aktualität der Scan-Engine, den Unterstützungsservice sowie die Integration in bestehende Sicherheitsprozesse achten. Nachfolgend finden Sie eine Liste an Kriterien, auf die Makler und Unternehmen bei der Auswahl eines geeigneten Scan-Anbieters achten sollten.

1. Welche Arten von Schwachstellen werden abgedeckt?

Prüfen Sie, ob der Anbieter neben klassischen Netzwerk- und Server-Scans auch Webanwendungen, Cloud-Umgebungen und mobile Geräte berücksichtigt. Achten Sie außerdem darauf, ob auch Fehlkonfigurationen (z. B. SSL, Firewalls, unsichere Protokolle) erkannt werden.

2. Wie aktuell ist die Schwachstellendatenbank des Anbieters?

Die Scan-Engine sollte kontinuierlich mit den neuesten CVEs und Bedrohungsinformationen versorgt werden. Idealerweise pflegt der Anbieter eine umfangreiche Wissensdatenbank, die mehrmals täglich um neue Prüfmechanismen erweitert wird. Fragen Sie, ob auch Zero-Day-Exploits und externe Threat-Intelligence-Feeds (z. B. aus Darknet-Quellen) einbezogen werden.

3. In welchem Intervall und Umfang erfolgen die Scans?

Erkundigen Sie sich, ob die Scans kontinuierlich, regelmäßig (täglich, wöchentlich) oder nur on-demand durchgeführt werden. Ein professioneller Anbieter sollte automatische Rescans nach Behebung von Schwachstellen ermöglichen und optional ein kontinuierliches Monitoring bieten. Ein Scan nach wesentlichen Systemänderungen sollte jederzeit möglich sein.

4. Wie werden die Ergebnisse des Scans aufbereitet?

Bitten Sie um Musterberichte oder Demo-Dashboards, um die Qualität der Ergebnisdarstellung zu prüfen. Achten Sie darauf, dass die Reports auch für Nicht-Techniker verständlich sind. Ein guter Bericht priorisiert Risiken und erläutert in verständlicher Sprache, welche Maßnahmen erforderlich sind, anstatt nur technische Codes auszugeben.

5. Gibt es einen Gesamt-Risikoscore?

Einige Anbieter stellen zusätzlich einen Gesamtscore (z. B. 0–100 oder ähnlich einer Bonitätsskala) bereit, der das Sicherheitsniveau zusammenfasst. Klären Sie, auf welcher Grundlage dieser Wert berechnet wird und welche Faktoren in die Bewertung einfließen.

6. Wie hoch ist die erwartete Genauigkeit (False-Positive-Rate)?

Erkunden Sie sich, wie häufig Fehlalarme auftreten und wie viel manuelle Nacharbeit dadurch erforderlich ist. Seriöse Anbieter geben offen zu, dass bestimmte Befunde überprüft werden müssen, und stellen gegebenenfalls Filter- oder Validierungstools bereit, um die Ergebnisqualität zu verbessern.

7. Werden auch Leaks und externe Bedrohungen überwacht?

Prüfen Sie, ob ein Darknet-Monitoring oder Leak-Scanning Teil des Angebots ist. Wichtig ist, welche Arten von Datenlecks erfasst werden, wie zum Beispiel kompromittierte Zugangsdaten, personenbezogene Informationen oder Kreditkartendaten.

8. Wie sicher ist der Scanvorgang?

Klären Sie, ob der Anbieter passive bzw. externe Prüfungen durchführt oder ob aktive Exploit-Tests Teil des Scans sind. Auch wenn Tests wie Port-Scans und Banner-Grabbing in der Regel keine Auswirkungen auf die gescannten Systeme haben, sollten Sie sich diesbezüglich rückversichern. Seriöse Anbieter setzen auf Mechanismen zur Lastbegrenzung und vermeiden riskante Verfahren, die zu Ausfällen führen könnten.

9. Welche Ressourcen oder Vorbereitungen sind nötig?

Ermitteln Sie, ob alle zu prüfenden IPs bzw. Hosts manuell übermittelt werden müssen oder ob der Scanner automatisch weitere verbundene Assets entdeckt (sog. Asset Discovery). Fragen Sie auch nach, ob interne Sensoren oder Agenten installiert werden müssen oder ob der Scan vollständig extern erfolgt. Manche Anbieter, insbesondere Versicherer, führen ausschließlich externe Scans durch (auf Basis der angegebenen Domain). Andere stellen bei Bedarf zusätzliche Programme oder Geräte bereit, um auch interne Systeme im Unternehmensnetzwerk genauer zu prüfen.

10. Wie häufig und in welcher Form werden Warnungen versendet?

Fragen Sie, ob Echtzeit-Benachrichtigungen bei kritischen Funden bereitgestellt werden oder ob lediglich regelmäßige Reports verfügbar sind. Optimalerweise bietet der Anbieter ein Dashboard mit Live-Updates und zusätzlichen E-Mail-Alerts bei Hochrisiko-Funden. Prüfen Sie, ob der Schweregrad, ab dem eine Sofort-Benachrichtigung getriggert wird, individuell eingestellt werden kann.

11. Welche Unterstützung gibt es bei der Interpretation und Behebung?

Bringen Sie in Erfahrung, ob der Anbieter lediglich die Ergebnisse liefert oder auch beratende Unterstützung bietet. Viele Anbieter, insbesondere Cyberversicherer, stellen Teams bereit, die bei der Interpretation der Ergebnisse und bei der Umsetzung von Gegenmaßnahmen helfen. Erkundigen Sie sich nach Support-Optionen (z. B. 24/7-Erreichbarkeit, dedizierte Ansprechpartner) sowie nach möglichen SLAs für Reaktionszeiten auf Support-Anfragen.

12. Ist eine Integration in bestehende Prozesse und Tools möglich?

Klären Sie, ob der Anbieter Schnittstellen (APIs) oder Integrationen zu gängigen Systemen wie Ticket-Systemen oder SIEM-Tools anbietet, um das Schwachstellenmanagement und die Nachverfolgung zu erleichtern.

13. Verfügt der Anbieter über branchenspezifische Erfahrung oder Referenzen?

Erkundigen Sie sich nach Erfahrungen in Ihrer Branche sowie nach nachweisbaren Erfolgsgeschichten oder Referenzkunden, um die Praxistauglichkeit der Lösung für Ihr Unternehmen bzw. Ihren Kunden besser einschätzen zu können.

14. Wie gestaltet sich das Preismodell?

Vergleichen Sie, ob die Kosten nach Anzahl der IPs/Domains, Unternehmensgröße oder pauschal pro Jahr berechnet werden. Achten Sie darauf, ob Zusatzleistungen wie Darknet-Scanning oder Beratungs-Services im Preis enthalten sind oder separat berechnet werden.

Wichtig ist, die Anbieter gezielt mit den oben genannten Fragen zu konfrontieren. Ein seriöser Dienstleister wird transparente und nachvollziehbare Antworten geben. Auf diese Weise lässt sich strukturiert beurteilen, welcher Schwachstellenscan-Service am besten zu den Anforderungen des Unternehmens passt.