Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Security Scan

Was ist ein Security Scan?

Ein Security Scan ist ein automatisierter technischer Vorgang zur Erkennung von potenziellen Schwachstellen, Fehlkonfigurationen oder bekannten Sicherheitslücken innerhalb von IT-Systemen, Netzwerken oder Applikationen. Solche Scans bilden die Grundlage vieler Sicherheitsprüfungen und dienen der Früherkennung verwundbarer Komponenten.

Security-Scans unterscheiden sich nach Anwendungsbereich (z. B. Netzwerk, Web, Cloud) und Tiefe des Zugriffs (Credentialed vs. Uncredentialed). Sie greifen meist auf öffentlich verfügbare Schwachstellenquellen wie die CVE-Datenbank zurück und priorisieren Funde nach CVSS-Schweregrad.

Wichtige Security-Scan-Ressourcen

  • Vulnerability Scanner (z. B. Nessus, OpenVAS)
    → Tools zur Netzwerk- und Systemprüfung auf Schwachstellen.

  • Web Application Scanning (z. B. OWASP ZAP, Nikto)
    → Prüfung von Webapps auf OWASP Top 10 Schwachstellen.

  • Cloud- & Container-Scanner (z. B. Amazon Inspector, Anchore)
    → Bewertung cloudbasierter Ressourcen oder Container-Images.

  • Credentialed vs. Uncredentialed Scans
    → Mit oder ohne gültige Zugriffsdaten – beeinflusst Scan-Tiefe und Genauigkeit.

  • CVSS-Integration & False Positive Management
    → Bewertung der Kritikalität und Reduktion fehlerhafter Ergebnisse.

Anwendung in der Praxis

  • Regelmäßigkeit: Monatliche oder wöchentliche Schwachstellenscans als Teil des ISMS.

  • Patch-Zyklus: On-Demand-Scans nach sicherheitsrelevanten Softwareupdates.

  • Asset Management: Abgleich erkannter Schwachstellen mit Asset-Inventaren.

  • Risikobewertung: CVSS-Scores ermöglichen gezielte Priorisierung von Maßnahmen.

  • Audit-Vorbereitung: Dokumentation von Scan-Reports dient als Nachweis für Compliance.

Verwandte Begriffe

Beispiel aus der Praxis

Ein Unternehmen führt wöchentliche Credentialed Network Scans mit Nessus durch, um Schwachstellen in Servern, Routern und Druckern zu identifizieren. Zusätzlich werden monatlich Web Application Scans über OWASP ZAP in der CI/CD-Pipeline ausgeführt. Nach der Behebung kritischer Findings durch das IT-Team erfolgt ein Validierungsscan. Die Scan-Reports mit CVSS-Werten und False-Positive-Markierungen werden in den Schlussbericht des Quartals-Audits integriert.

zum Glossar