Automatisierte Schwachstellenscans sind ein etabliertes Mittel zur Bewertung von IT-Sicherheitslagen um einen Überblick der Angriffsflächen zu bekommen. Sie liefern systematisch Hinweise auf potenzielle Schwächen in Netzwerken, Webanwendungen oder Betriebssystemen. In der Praxis zeigen sich jedoch auch Fehlalarme – False Positives. Diese können den Aufwand erheblich erhöhen und zu Fehlentscheidungen führen. Eine strukturierte Bewertung und Validierung ist daher notwendig. Ein Schwachstellenscan bietet daher nur einen groben Überblick der Sicherheitslage und ist nicht gleichzustellen mit einem Pentest. Ein Scan kann auch Teil eines Penetrationstests sein.
Funktion von Schwachstellenscans
Ein Schwachstellenscanner durchsucht ein Zielsystem nach bekannten Sicherheitslücken. Die Grundlage dafür bilden öffentliche Schwachstellenverzeichnisse (z. B. CVE, CPE) und definierte Prüfmuster. Typischerweise werden offene Ports gesucht, Banner ausgewertet, bekannte Endpunkte analysiert und in seltenen Fällen einfache Exploits simuliert.
Ursachen für False Positives
False Positives entstehen durch Abweichungen zwischen der automatisierten Bewertung und der tatsächlichen Bedrohungslage. Häufige Ursachen sind.
Unvollständiges Fingerprinting
Versionen werden anhand von Bannern erkannt, die nicht aktualisiert oder bewusst verschleiert sind.
Fehlender Kontextbezug
Schwachstellen werden als kritisch eingestuft, obwohl Schutzmechanismen wie Netzsegmentierung, IP-Filter oder MFA aktiv sind.
Generische Bewertung ohne Zugriffstiefe
Ohne Authentifizierung fehlen Kontextinformationen über Rechte, Zugangskontrollen oder interne Absicherung.
Auswirkungen auf den Sicherheitsbetrieb
Ungefilterte False Positives können zu folgenden Problemen führen.
- Ressourcenverschwendung durch Prüfaufwand für nicht ausnutzbare oder bereits mitigierte Schwachstellen.
- Fehlallokation von Maßnahmen mit Fokus auf technische Lücken ohne tatsächliches Angriffsrisiko.
Methoden zur Validierung und Reduktion
Um Fehlalarme zu erkennen und ein deutlicheres Bild der Lage zu erhalten, empfehlen sich folgende technische und organisatorische Maßnahmen sowie ein gezielter Pentest. Die nachstehenden Punkte werden oft im Rahmen einen Penetrationstests durchgeführt.
Validierung durch manuelle Tests
Einsatz von Tools wie Nmap, curl, Burp Suite oder direkter Exploit-Analyse zur Nachprüfung gemeldeter Findings.
Kontextanalyse auf Konfigurationsebene
Vergleich von Scannerergebnissen mit tatsächlichen Systemständen, da Scanner oftmals nur versuchen zu erraten um welche version oder welchen Dienst es sich handelt.
Einsatz authentifizierter Scans
Authentifizierte Schwachstellenscans (usename und Passwort werden mitgegeben) bieten präzisere Datenbasis, vermeiden Fehlinterpretationen und erlauben tiefere Analysen.
Kombination mit Bedrohungsmodellierung
Berücksichtigung von Erreichbarkeit, Netzarchitektur und Geschäftsrelevanz.
Schwachstellenscanner sollten regelmäßig kalibriert, mit aktuellen Prüfsignaturen versehen und auf die spezifischen Gegebenheiten der Zielumgebung abgestimmt konfiguriert werden. Die Ergebnisse sind dabei stets im Kontext des Schutzbedarfs, der erreichbaren Angriffspfade sowie der Wirksamkeit bereits implementierter Sicherheitsmechanismen zu bewerten. Eine risikoorientierte Sicherheitsbewertung ermöglicht es, irrelevante Meldungen gezielt auszufiltern und den Fokus auf tatsächlich ausnutzbare Schwachstellen zu legen.
Ein Schwachstellenscan ist kein Penetrationstest. Während der Scan automatisiert bekannte Schwachstellen erfasst, fehlt hier die tiefgehende Kontextanalyse, kreative Angriffssimulation und individuelle Ausnutzbarkeitseinschätzung, wie es ein Penetrationstest liefert. Daher wird empfohlen, Schwachstellenscans regelmäßig durchzuführen – sie sollten jedoch durch manuelle Penetrationstests ergänzt werden, um reale Angriffswege, verkettete Schwachstellen und geschäftskritische Risiken umfassend bewerten zu können.