Vulnerability Scanning

[ˌvʌlnərəˈbɪlɪti ˈskænɪŋ] · auch: Schwachstellenscan, Schwachstellenanalyse, Sicherheitsscan

Vulnerability Scanning bezeichnet die automatisierte Suche nach bekannten Schwachstellen in Systemen, Netzwerken und Anwendungen – durch authentifizierte Scans, die Konfigurationen und installierte Software gegen Schwachstellendatenbanken (NVD, CVE) abgleichen.

Warum Vulnerability Scanning ein Kern-Technikbegriff der IT-Compliance ist

Vulnerability Scanning ist eine technische Sicherheitsmassnahme, die in allen wesentlichen Compliance-Frameworks als Anforderung oder Best Practice gelistet ist. ISO 27001, NIS-2 und DORA setzen Vulnerability Scanning voraus – nicht als optionales Extra, sondern als Grundbestandteil eines wirksamen Sicherheitsprogramms. Im Audit wird geprüft, ob die Massnahme implementiert ist, ob sie wirksam konfiguriert ist und ob die Wirksamkeit nachgewiesen werden kann.

Wo Vulnerability Scanning gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	A.8.8	Technisches Schwachstellenmanagement: Regelmässige Scans als Kernmassnahme.
NIS-2 / BSIG	§ 30 Abs. 2	Schwachstellenmanagement als technische Mindestmassnahme.
DORA	Art. 9	IKT-Sicherheit: Vulnerability Scanning als Teil des Schwachstellenmanagements.
CIS Controls v8	Control 7	Continuous Vulnerability Management: Regelmässiges Scanning als wichtigste CIS-Massnahme.
BSI IT-Grundschutz	DER.2.3	Schwachstellenmanagement: Scanning als Grundlage für Schwachstellenidentifikation.

BAM-Objektreferenz

BAM-Objekt TECH-VS-01

BeschreibungVulnerability-Scanning-Programm mit authentifizierten Scans, Abdeckungsnachweis und Tracking

GitHubBAM Core →

Häufige Audit-Fehler

Massnahme implementiert, aber Konfiguration nicht dokumentiert
Wirksamkeit nicht regelmässig geprueft – Drift von der Baseline unbemerkt
Abdeckung unvollständig – nicht alle relevanten Systeme einbezogen
Kein Nachweis der Massnahmenwirksamkeit für den Auditor

Policy as Code: Technische Massnahmen als pruefbare Artefakte

Der Leitgedanke dieser Kategorie ist Policy as Code: Sicherheitsanforderungen werden nicht nur als Richtlinien dokumentiert, sondern als technische Konfigurationen implementiert, die automatisch pruefbar sind. Für Vulnerability Scanning bedeutet das: Die Konfiguration ist versioniert, die Wirksamkeit wird kontinuierlich gemessen und die Ergebnisse werden als Evidence archiviert. Das macht den Abstand zwischen Richtlinie und Wirklichkeit sichtbar – und schliesst ihn systematisch.

Abdeckung und Ausnahmen

Vollständige Abdeckung aller relevanten Systeme ist der kritische Punkt: Eine Massnahme, die 95 Prozent der Systeme schutzt, hinterlasst fünf Prozent als Einstiegspunkte. Ausnahmen (Legacy-Systeme, OT, Testsysteme) muessen explizit dokumentiert und mit Kompensationsmassnahmen oder risikoakzeptierten Restrisiken versehen sein. Undokumentierte Ausnahmen sind im Audit stets ein Befund.

Nächste Ebene

Vulnerability Scanning in der Praxis: Konfiguration, Abdeckung und Evidence

Was Auditoren bei Vulnerability Scanning konkret pruefen und welche Evidence benoetigt wird.

Ebene 2 lesen → Stresstest starten →