Die Häufigkeit von Schwachstellenscans sollte risikoorientiert, anlassbezogen und prozessual fest verankert sein. Für exponierte Systeme sind kurze Zyklen essentiell – bei internen Umgebungen genügt häufig ein monatlicher oder quartalsweiser Rhythmus. Entscheidend ist die Kombination aus technischer Sorgfalt, organisatorischer Planung und der Bereitschaft, bei Bedarf flexibel auf neue Bedrohungslagen zu reagieren.
Faktoren für die Scanfrequenz
Änderungsrate der IT-Systeme
Je dynamischer eine Umgebung ist, desto häufiger sollten Schwachstellenscans eingeplant werden. Neue Systeme, Updates oder Konfigurationsänderungen können ungeplante Schwächen einführen, die unbemerkt bleiben, wenn zu selten gescannt wird.
Kritikalität und Exposition
Externe, öffentlich erreichbare Systeme wie Webserver, VPN-Gateways oder E-Mail-Gateways sollten in kürzeren Abständen geprüft werden als interne, isolierte Systeme mit geringem Schutzbedarf.
Regulatorische Anforderungen
Normen und Standards wie ISO/IEC 27001 oder der BSI IT-Grundschutz empfehlen ein systematisches Schwachstellenmanagement und die Durchführung regelmäßiger technischer Schwachstellenanalysen. Während ISO 27001 keine festen Intervalle vorgibt, betont der BSI IT-Grundschutz die Bedeutung regelmäßiger sowie anlassbezogener Scans, insbesondere nach sicherheitsrelevanten Änderungen an IT-Systemen.
Empfohlene Intervalle für Schwachstellenscans (Best Practice)
| Systemtyp | Empfohlene Häufigkeit |
| Internet-exponierte Systeme | wöchentlich bis monatlich |
| Interne Systeme | monatlich bis quartalsweise |
| Kritische Infrastruktur | wöchentlich + anlassbezogen |
| Nach Systemänderungen | sofort bzw. zeitnah |
Diese Intervalle sollten nicht als starre Vorgabe, sondern als orientierende Mindestfrequenz verstanden werden. Entscheidender ist ein risikobasierter Ansatz – der Schutzbedarf des Systems bestimmt die Scanrate.
Zusätzliche Anlässe für Schwachstellenscans
Neben geplanten, zyklischen Scans sollten auch ereignisbasierte Scans durchgeführt werden, zum Beispiel:
- Nach sicherheitsrelevanten Software- oder Konfigurationsänderungen
- Nach Einspielen von System- oder Anwendungspatches
- Nach Bekanntwerden kritischer Sicherheitslücken (z. B. Zero-Day-Schwachstellen)
- Vor Produktivsetzung neuer Systeme oder Dienste
Automatisierung und Monitoring
Ein hohes Scan-Intervall lässt sich effizient durch automatisierte Schwachstellenmanagement-Plattformen umsetzen. Diese ermöglichen regelmäßige Scans nach Zeitplan, automatisierte Bewertung, Ticketing-Anbindung und Berichterstellung. Besonders effektiv ist dabei die Kombination mit authentifizierten Scans, um Fehlalarme zu minimieren und die Tiefe der Analyse zu erhöhen.
Ergänzende Maßnahmen
Ein Schwachstellenscan liefert wichtige technische Erkenntnisse – ersetzt jedoch keine umfassende Sicherheitsbewertung. Daher wird empfohlen, regelmäßige Penetrationstests und manuelle Analysen ergänzend einzuplanen. Erst das Zusammenspiel aus automatisiertem Schwachstellenmanagement und gezielten Angriffssimulationen bietet ein realistisches Lagebild und wirksamen Schutz.