Inhalt in Kürze
- Eine Schwachstellenanalyse scannt Ihre IT-Systeme automatisiert auf bekannte Sicherheitslücken — schnell, breit und regelmäßig wiederholbar.
- Laut BSI-Lagebericht 2025 werden täglich 119 neue Schwachstellen gemeldet — ein Anstieg von 24 % gegenüber dem Vorjahr.
- KMU sind laut BSI besonders verwundbar, weil sie ihre Angriffsflächen im Web nicht ausreichend schützen.
- Eine Schwachstellenanalyse ist nicht dasselbe wie ein Penetrationstest — beides ergänzt sich.
119 neue Schwachstellen pro Tag. Das sind die Zahlen aus dem BSI-Lagebericht 2025. Jede einzelne davon ist ein potenzielles Einfallstor in Ihre IT-Systeme. Die Frage ist nicht, ob Sie Schwachstellen haben — sondern ob Sie sie vor den Angreifern finden.
Eine Schwachstellenanalyse ist der erste Schritt. Sie dauert Stunden, nicht Wochen. Und sie zeigt Ihnen schwarz auf weiß, wo Ihre IT verwundbar ist.
119/Tag
Neue Schwachstellen (BSI 2025)
80 %
Ransomware trifft KMU
Was ist eine Schwachstellenanalyse?
Eine Schwachstellenanalyse (Vulnerability Assessment) ist ein automatisierter Scan Ihrer IT-Systeme auf bekannte Sicherheitslücken. Dabei prüft ein Scanner Ihre Server, Netzwerke, Anwendungen und Endgeräte gegen Datenbanken bekannter Schwachstellen — die sogenannten CVEs (Common Vulnerabilities and Exposures).
Das Ergebnis: Ein Bericht mit allen gefundenen Schwachstellen, sortiert nach Kritikalität (CVSS-Score), mit konkreten Empfehlungen zur Behebung.
Schwachstellenanalyse vs. Penetrationstest
Diese beiden Begriffe werden oft verwechselt. Der Unterschied ist entscheidend:
| Kriterium | Schwachstellenanalyse | Penetrationstest |
|---|
| Methode | Automatisierter Scan | Manuell + automatisiert |
| Tiefe | Bekannte Schwachstellen finden | Schwachstellen aktiv ausnutzen |
| Dauer | Stunden bis 1 Tag | Tage bis Wochen |
| Frequenz | Vierteljährlich oder häufiger | Jährlich |
| Kosten | 2.000–8.000 € (einmalig) | 5.000–30.000 € |
| Ergebnis | Schwachstellenliste mit CVSS-Scores | Nachweis realer Angriffspfade |
| Ziel | Überblick über Angriffsfläche | Simulation eines echten Angriffs |
Empfehlung:
Starten Sie mit einer Schwachstellenanalyse als Basis. Wenn Sie wissen, wo die Lücken sind, können Sie gezielt einen Penetrationstest für die kritischen Bereiche beauftragen.
Typische Schwachstellen in KMU
Das BSI stellt in seinem Lagebericht 2025 fest: „Deutschland ist zu leicht angreifbar.” Die häufigsten Funde bei KMU:
- Veraltete Software. Windows-Server ohne Sicherheitspatches, End-of-Life-Systeme (z. B. Windows Server 2012), ungepatchte Webanwendungen.
- Schwache Passwörter. Standard-Passwörter auf Netzwerkgeräten, fehlende Multi-Faktor-Authentifizierung, keine Passwort-Richtlinie.
- Offene Ports und Dienste. RDP (Port 3389) offen im Internet, SSH mit Standardkonfiguration, unnötige Dienste auf Servern.
- Fehlende Verschlüsselung. Unverschlüsselte Datenübertragung, fehlende Festplattenverschlüsselung, veraltete TLS-Versionen.
- Falsch konfigurierte Cloud-Dienste. Öffentlich zugängliche Storage-Buckets, fehlende Zugriffskontrollen, zu breite Berechtigungen.
Schwachstellenanalyse in 6 Schritten
- Scope definieren: Welche Systeme werden gescannt? Interne Server, externe Webanwendungen, Cloud-Infrastruktur? Grenzen Sie den Umfang klar ab.
- Scanner konfigurieren: Tool auswählen (z. B. Greenbone, Qualys, Nessus), Scan-Profile erstellen, Zugangsdaten für authentifizierte Scans hinterlegen.
- Scan durchführen: Zeitpunkt mit der IT abstimmen (Scan erzeugt Netzwerklast). Außerhalb der Kernarbeitszeit ist ideal.
- Ergebnisse priorisieren: CVSS-Score ≥ 7.0 = kritisch und sofort beheben. Score 4.0–6.9 = mittelfristig. Unter 4.0 = beobachten.
- Schwachstellen beheben: Patches einspielen, Konfigurationen anpassen, Dienste deaktivieren. Dokumentieren, was wann gefixt wurde.
- Nachscan: Nach der Behebung erneut scannen, um die Wirksamkeit zu überprüfen. Ergebnis in das IT-Sicherheitskonzept übernehmen.
Aus der Praxis
Fünf Tage vor der TÜV-Rezertifizierung hat ein Mandant uns angerufen — die hatten noch nie einen Schwachstellenscan gemacht. Wir haben das in 48 Stunden hinbekommen, inklusive Behebung der kritischen Funde. Aber der Stress war komplett vermeidbar. Einmal vierteljährlich scannen, und Sie schlafen ruhiger.
Nils OehmichenDatenschutzberater bei frag.hugo
Wie oft sollten Sie scannen?
| Anforderung | Mindestfrequenz | Anmerkung |
|---|
| BSI IT-Grundschutz | Vierteljährlich | Baustein OPS.1.1.4 |
| ISO 27001 | Regelmäßig (mind. jährlich) | Annex A.12.6.1 |
| NIS2 | Regelmäßig + anlassbezogen | Nach jeder wesentlichen Änderung |
| PCI DSS | Vierteljährlich extern | Pflicht für Kreditkarten-Verarbeitung |
| Praxis-Empfehlung | Monatlich intern, vierteljährlich extern | Kombination aus beidem |
Schwachstellenanalyse für Hamburger Unternehmen
Hamburg als internationaler Handels- und Logistikstandort ist besonders exponiert: Hafenwirtschaft, Medienunternehmen und E-Commerce-Firmen bieten große Angriffsflächen. Als Cybersicherheitsberatung in Hamburg führen wir Schwachstellenanalysen durch — vom Erstsscan bis zum laufenden Monitoring.
Das Wichtigste: 119 neue Schwachstellen pro Tag — und die meisten KMU scannen nie. Starten Sie mit einem einmaligen Schwachstellenscan, priorisieren Sie nach CVSS-Score und beheben Sie die kritischen Funde sofort. Dann vierteljährlich wiederholen. Das kostet weniger als eine einzige Datenpanne.
Wie verwundbar ist Ihre IT?
Wir führen eine professionelle Schwachstellenanalyse durch und zeigen Ihnen genau, wo Sie nachbessern müssen.
Kostenloses Erstgespräch buchen →
Häufige Fragen (FAQ)
Was ist eine Schwachstellenanalyse?
Ein systematischer Scan Ihrer IT-Systeme auf bekannte Sicherheitslücken. Server, Netzwerke und Anwendungen werden gegen CVE-Datenbanken geprüft.
Die Schwachstellenanalyse scannt automatisiert und breit. Der Pentest geht tiefer und versucht manuell, Schwachstellen auszunutzen. Beides ergänzt sich.
Wie oft sollte ein Unternehmen scannen?
Das BSI empfiehlt vierteljährlich. Nach IT-Änderungen zusätzlich. Unter NIS2 oder ISO 27001 müssen Sie regelmäßige Scans nachweisen.
Was kostet eine Schwachstellenanalyse?
Einmaliges Assessment: 2.000–8.000 Euro. Laufende Scan-Abonnements: 200–500 Euro monatlich.
Welche Schwachstellen werden am häufigsten gefunden?
Veraltete Software, schwache Passwörter, offene Netzwerk-Ports, fehlende Verschlüsselung und falsch konfigurierte Cloud-Dienste.