Was sind Netzwerkscans?

Netzwerkscanner erfassen alle mit Ihrem Netzwerk verbundenen Geräte, Anwendungen und Dienste. Ohne diese Scanner haben Unternehmen keinen klaren Überblick darüber, welche Elemente sie derzeit schützen.

Im Rahmen eines Netzwerkscans sendet der Scanner Signale – sogenannte „Probes“ – an Geräte und wartet auf deren Antworten. 

Anhand dieser Daten werden diverse Aspekte ermittelt, wie z. B.:

• Aktive Geräte
• Betriebssysteme und ausgeführte Dienste
• Offene bzw. geschlossene Ports
• Installierte Softwareversionen

Diese Informationen unterstützen Sie dabei, Cyber-Sicherheitslücken – sogenannte Cyber Exposures – ausfindig zu machen, bevor Angreifern dies gelingt. Ob ein Server, der veraltete Software ausführt, oder ein unnötiger Dienst mit einem offenen Port in Ihrer Umgebung – Sie sind jederzeit informiert.

Ihr Netzwerk verändert sich ständig. Neue Geräte stellen Verbindungen her, Cloud-Workloads werden hochgefahren und Nutzer ergänzen Schatten-IT-Ressourcen, ohne irgendwen zu informieren. 

Ohne aktive Scans Ihrer Angriffsfläche bleiben blinde Flecken zurück, die Angreifer ausnutzen können.

Unternehmen benötigen Netzwerkscans aus folgenden Gründen:

• Scans bringen nicht verwaltete Geräte zum Vorschein, wie etwa private Laptops, nicht autorisierte drahtlose Zugangspunkte (Wireless Access Points, WAPs) oder in Vergessenheit geratene Server.
• Angreifer scannen Umgebungen häufig auf offene Ports, um einfach zugängliche Einstiegspunkte ausfindig zu machen. Diese offenen Türen sollten als Erstes geschlossen werden.
• Scans verdeutlichen, ob kritische Patches fehlen oder schwache Sicherheitseinstellungen vorhanden sind.
• Scans unterstützen Compliance-Anforderungen – z. B. den Payment Card Industry Data Security Standard (PCI DSS), der regelmäßige interne und externe Schwachstellenscans vorschreibt, und den Health Insurance Portability and Accountability Act (HIPAA), der kontinuierliche Risikoanalysen zum Schutz von elektronische Patientenakten (ePA) vorsieht.
• Mit einer übersichtlichen Karte des Netzwerks können Unternehmen ungenutzte Dienste entfernen, Netzwerke segmentieren und kritische Assets stärker absichern.

Ohne regelmäßige Scans bleibt die Netzwerksicherheit Ihres Unternehmens reine Glückssache.

Wenn ein Netzwerkscan gestartet wird, sendet der Scanner nicht einfach wahllos Pakete durch das Netzwerk. Scanner machen von einem systematischen Ansatz Gebrauch, um Geräte zu erkennen. 

Netzwerke werden folgendermaßen auf Schwachstellen gescannt:

• Erfassung: Der Scanner prüft, welche IP-Adressen antworten. Hierbei kommen Techniken wie Ping-Sweeps, ARP-Anfragen oder DNS-Lookups zum Einsatz, um aktive Hosts ausfindig zu machen.
• OS-Fingerprinting: Der Scanner analysiert Antworten, um Betriebssysteme, ausgeführte Dienste, Softwareversionen und weitere Details zu ermitteln.
• Geräte-Enumeration: Der Scanner unterzieht offene Ports einer eingehenderen Analyse und sondiert Dienste wie HTTP, SSH oder SMB, um Informationen zur jeweiligen Konfiguration zu erfassen.
• Reporting: Der Scanner trägt die Ergebnisse in einer Bestandskarte des Netzwerks zusammen, die Detailinformationen zu Geräten, Diensten und potenziellen Schwachstellen enthält.

Aktive vs. passive Netzwerkscans

Bei aktiven Scans werden Signale gesendet, um zu ermitteln, welche Geräte auf diese Signale „antworten“. Der Nachteil besteht darin, dass diese Scans zusätzlichen Datenverkehr in Ihrem Netzwerk verursachen. Daher sollten aktive Scans entsprechend in Ihren Planungen berücksichtigt und unter Umständen außerhalb der Geschäftszeiten durchgeführt werden.

Passive Scans überwachen einfach nur den Datenverkehr, der bereits in Ihrem Netzwerk auftritt.  

Wenn es um sensible Systeme wie Werksanlagen oder Netzwerke in Krankenhäusern geht, bei denen Sie keine Unterbrechungen riskieren können, sind diese Scans hervorragend geeignet. Der Haken dabei? Nicht kommunizierende („stille“) Geräte könnten bei passiven Scans unbemerkt bleiben.

Für ein Höchstmaß an Sichtbarkeit sollten beide Ansätze miteinander kombiniert werden.

Nicht alle Scans dienen demselben Zweck. In vielen Fällen kommen unterschiedliche Arten von Scans gemeinsam zum Einsatz, um ein ganzheitliches Bild der Umgebung zu erhalten.

Scans zur Host-Erfassung

Diese Scans beantworten eine einfache Frage: „Was ist in diesem Netzwerk aktiv?“ Mithilfe von Ping-Sweeps oder ARP-Anfragen erkennen diese Scans Geräte – auch solche, von denen Sie zuvor keine Kenntnis hatten.

Port-Scans

Sobald Sie wissen, dass ein Host aktiv ist, sollten Sie dessen Ports scannen. Ein offener Port bedeutet, dass ein Dienst auf Anfragen wartet, beispielsweise ein Webserver (Port 80) oder eine Datenbank (Port 3306). Port-Scans tragen dazu bei, unnötige oder unsichere Dienste ausfindig zu machen. Angreifer nutzen diese Technik zu Auskundschaftungszwecken – und das sollte auch für Sie gelten.

Schwachstellenscans

Schwachstellenscans gehen über Ports hinaus. Sie werden eingesetzt, um in Umgebungen nach fehlenden Patches, veralteter Software, unzureichenden Konfigurationen und bekannten CVEs zu suchen. Folgende Scans können durchgeführt werden:

• Authentifizierte Scans: Loggen Sie sich über Zugangsdaten ein, um sämtliche Softwareversionen und Sicherheitseinstellungen anzuzeigen.
• Nicht authentifizierte Scans: Scannen Sie die Umgebung von außen (wie auch Angreifer vorgehen würden), um Sicherheitslücken ausfindig zu machen.

Mit jedem Scan kommt eine zusätzliche Detailebene zu Ihrem Netzwerk hinzu.

Tools für Netzwerkscans variieren – das Spektrum reicht von einfachen Discovery-Hilfsprogrammen bis hin zu umfassenden Schwachstellenmanagement-Lösungen. Ein klares Verständnis der verfügbaren Optionen hilft Ihnen bei der Auswahl einer Lösung, die zu Ihren Sicherheitsanforderungen passt.

• Grundlegende Discovery-Tools helfen Ihnen, Geräte, offene Ports, Hosts und Dienste in Ihrem Netzwerk schnell zu erkennen. Sie eignen sich hervorragend, um sich einen ersten Überblick zu verschaffen, liefern jedoch keine detaillierten Informationen zu konkreten Schwachstellen.
• Quelloffene Schwachstellenscanner prüfen Umgebungen auf bekannte Sicherheits- und Konfigurationsprobleme. Unternehmen profitieren von Funktionalität, ganz ohne zusätzliche Kosten.
• Scanner der Enterprise-Klasse bieten umfassende Abdeckung – mitsamt zuverlässiger Schwachstellenerkennung, laufender Überwachung und reibungslosen Integrationsoptionen. Sie helfen Ihnen herauszufinden, welche Risiken zuerst anzugehen sind, und sind mit der vorhandenen Sicherheitsarchitektur problemlos interoperabel.
• Cloudbasierte Scanning-Plattformen sind flexible Lösungen, die dynamische, verteilte Umgebungen bewältigen können. Sie eignen sich ideal, wenn Sie große oder gemischte Infrastrukturen verwalten.

Wenn Ihr Unternehmen präzise, kontinuierliche Schwachstellenbewertungen für On-Prem- wie auch Cloud-Systeme benötigt, sollten Sie einen Scanner wählen, der sich in Ihre aktuellen Cybersecurity-Tools und in Ihren Risikomanagementansatz einbinden lässt.

Sie sind an einer robusten, integrierten Lösung für Netzwerkscans interessiert, die im Gleichschritt mit Ihrer Umgebung wächst? Sehen Sie selbst, wie Tenable Vulnerability Management Ihnen vollständige Sichtbarkeit und praktische Erkenntnisse zu Schwachstellen liefert, damit Sie Cyberbedrohungen stets einen Schritt voraus sind.

Ein klares Verständnis der Unterschiede zwischen Netzwerkscans und Schwachstellenscans ist von entscheidender Bedeutung, um Cyber-Sicherheitslücken aufzuspüren und die riesige Angriffsfläche Ihres Unternehmens abzusichern. 

Netzwerkscans übernehmen die Funktion einer detaillierten „Anwesenheitskontrolle“. Sie erfassen sämtliche Geräte, Dienste und offenen Ports in Ihrem Netzwerk, einschließlich nicht autorisierter und nicht verwalteter Assets. 

Schwachstellenscans untersuchen diese Geräte dann auf fehlende Patches, veraltete Software, Fehlkonfigurationen und bekannte Sicherheitsmängel.

Im Verbund bieten diese Scans:

• Ein umfassendes, stets aktuelles Bestandsverzeichnis sämtlicher Assets in Ihrem Netzwerk
• Erkenntnisse zu Schwachstellen, damit Ihnen stets klar ist, von welchen Sicherheitslücken basierend auf Ihrer individuellen Umgebung die größten Risiken ausgehen
• Die Fähigkeit, Bedrohungen zu erkennen und zu priorisieren, bevor Angreifer sie ausnutzen können

Netzwerkscans bilden die Grundlage für Schwachstellenscans und stellen dabei sicher, dass Sie keine Geräte oder Dienste übersehen. Durch die Kombination von nicht authentifizierten Scans (externe Perspektive) mit authentifizierten Scans (interner Systemzugriff) ergibt sich darüber hinaus ein vollständigeres, präziseres Bild der Sicherheitslage.

Befolgen Sie Best Practices, um den größtmöglichen Nutzen aus beiden Scan-Typen zu ziehen. Hier einige Beispiele:

• Führen Sie Schwachstellenscans anhand Ihres Bestandsverzeichnisses durch, um sicherzustellen, dass Sie sämtliche Aspekte abdecken, die Angreifer ins Visier nehmen könnten.
• Fokussieren Sie Behebungsmaßnahmen mithilfe von risikobasierter Priorisierung auf die kritischsten Probleme.
• Richten Sie automatisierte Scans und Warnmeldungen ein, um die Abdeckung ganz ohne manuellen Aufwand kontinuierlich aufrechtzuerhalten.
• Passen Sie Ihre Richtlinien für Scans an unterschiedliche Gerätetypen und Netzwerkbereiche an.
• Verknüpfen Sie Scan-Ergebnisse mit Ihren vorhandenen Sicherheitstools, um die Vorfallsreaktion (Incident Response) zu beschleunigen.
• Schulen Sie Ihre Teams hinsichtlich der Frage, wie sie Scandaten interpretieren und bei Korrekturmaßnahmen zusammenarbeiten können.
• Bringen Sie Ihren Scanning-Ansatz stets auf den neuesten Stand, sobald es zu Veränderungen in Ihrem Netzwerk und in der Bedrohungslandschaft kommt.

Durch die strategische Kombination von Netzwerkscans und Schwachstellenscans erzielen Sie vollständige Sichtbarkeit, gewinnen handlungsorientierte Informationen und versetzen Ihr Sicherheitsteam in die Lage, Risiken zu reduzieren und Abwehrmaßnahmen zu stärken.

Unter folgendem Link finden Sie ausführlichere Informationen zu diesem Thema: Netzwerkscans vs. Schwachstellenscans.

Ihr Netzwerk besteht inzwischen nicht mehr nur aus einer Reihe von On-Prem-Servern – darüber hinaus kommen hybride Cloud-Workloads, Remote-Endgeräte und operative Technologien (OT) hinzu. 

Netzwerkscans verknüpfen sämtliche Aspekte miteinander, indem sie Ihnen ein Bestandsverzeichnis in Echtzeit liefern.

Darüber hinaus sind Netzwerkscans Bestandteil einer Zero-Trust-Strategie: Da sämtliche Elemente in Ihrem Netzwerk sowie deren Verhaltensweisen kontinuierlich verifiziert werden, begrenzen Sie den Wirkungsradius von Angriffen.

Insbesondere bieten Ihnen Scans umfassende und kontinuierliche Asset-Sichtbarkeit – eine Grundvoraussetzung für ein Modell, das auf der Maxime „Traue niemandem, überprüfe alles“ beruht.

Mithilfe von Scans werden die erforderlichen Daten in Ihre Systeme eingespeist, um Ihre Gefährdung im Kontext von Exposure Management zu messen und allmählich zu reduzieren. Moderne Plattformen kombinieren Netzwerkscans sogar mit Container-Sicherheit, IaC-Scans (Infrastructure as Code) und CI/CD-Integrationen, sodass Sie sämtliche Aspekte von der Entwicklung bis zur Produktion absichern können.

Tenable Research beispielsweise hat bis dato über 257.000 Plugins veröffentlicht, die mehr als 101.731 CVE-IDs abdecken.

Netzwerkscans spielen im Bereich Schwachstellenmanagement eine entscheidende Rolle. Sie bilden die Grundlage, um zu ermitteln, wo Risiken in Ihrer Umgebung vorliegen. 

Schwachstellenmanagement (Vulnerability Management, VM) stützt sich auf präzise, stets aktuelle Informationen zu sämtlichen Geräten, Anwendungen und Diensten in Ihrem Netzwerk. Aus diesem Grund müssen Netzwerkscans über elementare Erfassungsmechanismen und Port-Checks hinausgehen und zudem gründliche Untersuchungen und eine detaillierte Schwachstellenerkennung beinhalten.

Zum Management von Schwachstellen setzen Netzwerkscanner aktive Scans und Credentialed-Scans ein. Aktive Scans untersuchen Geräte auf direktem Wege, um offene Ports und ausgeführte Dienste zu ermitteln. Bei Credentialed-Scans erfolgt zunächst ein Login im System, um dann Softwareversionen, Konfigurationen und Revisionsnummern zu analysieren. Dieser Ansatz deckt verborgene Schwachstellen auf, die Teams bei alleiniger Nutzung von externen Scans übersehen würden.

Beim Schwachstellenmanagement kommen Risikobewertungen als zusätzliche Ebene zu diesen Scanergebnissen hinzu, um Sie bei der Priorisierung von Behebungsmaßnahmen zu unterstützen. 

Anstatt jeder einzelnen Warnmeldung hinterherzujagen, können Sie sich auf Schwachstellen fokussieren, die Ihr Unternehmen gefährden.

Wenn Sie Scandaten mit Vulnerability Intelligence kombinieren, erkennen Sie neuartige Bedrohungen noch schneller.

Netzwerkscans fließen in das Schwachstellenmanagement ein und liefern Ihnen die erforderlichen Rohdaten, um Cyber-Sicherheitslücken aufzuspüren und deren Veränderungen nachzuverfolgen. 

Ohne Scanning verfügen Unternehmen weder über Sichtbarkeit noch Kontext, um Cyberrisiken zu reduzieren.

Exposure Management geht über Schwachstellenmanagement hinaus, da einzelne Schwachpunkte und Ihre gesamte Angriffsfläche im Fokus stehen. 

Netzwerkscans sind hier unerlässlich, denn sie bieten Ihnen ein Live-Bestandsverzeichnis sämtlicher Assets und Verbindungen, die Ihren digitalen Fußabdruck bestimmen.

Umfassendes Exposure Management erfordert kontinuierliche Netzwerkscans, die On-Prem-Geräte, Cloud-Workloads, virtuelle Maschinen, operative Technologie (OT) und kurzlebige bzw. mobile Assets erfassen. Diese Sichtbarkeit entlang des gesamten Spektrums bringt Schatten-IT und nicht verwaltete Geräte zum Vorschein, die in vielen Fällen unentdeckt bleiben.

Über die Erfassung hinaus erfolgt beim Exposure Management eine Integration von Scandaten mit Risikobewertungen und Threat-Intelligence. Dadurch werden gefährdete Bereiche Ihres Unternehmens hervorgehoben, die Bedrohungsakteure als Pfade für gezielte Angriffe nutzen könnten. Dies hilft Ihnen zu erkennen, welche Zusammenhänge zwischen Schwachstellen bestehen und wo Angreifer sich seitwärts durch Ihre Systeme fortbewegen könnten (Lateral Movement).

Durch kontinuierliche Überwachung und Bewertung Ihrer Angriffsfläche trägt Exposure Management dazu dabei, Behebungsmaßnahmen zu priorisieren, die das Gesamtrisiko Ihres Unternehmens reduzieren. Darüber hinaus unterstützt Exposure Management die Einhaltung von Vorschriften (Compliance): Sie erhalten Nachweise, die belegen, dass in Ihrer gesamten Umgebung eine kontinuierliche Asset-Erfassung und Überwachung auf Schwachstellen erfolgt.

Folglich fungieren Netzwerkscans als „Sinnesorgane“ für Exposure Management. Sie liefern Echtzeit-Erkenntnisse, die risikobasierte Entscheidungen vorantreiben und Ihre Sicherheitslage auf die sich wandelnde Bedrohungslandschaft abstimmen.

Netzwerkscans helfen Ihnen, Geräte, offene Ports und Schwachstellen zu erkennen, bevor Bedrohungsakteure sie ins Visier nehmen.

Hier einige solide Best Practices für Netzwerkscans:

• Planen Sie Scans für Zeiträume ein, in denen Ihr Netzwerk nicht stark ausgelastet ist.
• Kombinieren Sie aktives und passives Scanning, um sämtliche Aspekte in Ihrer Umgebung zu erfassen.
• Führen Sie Credentialed-Scans durch, um sich ein vollständiges Bild Ihrer Systeme und Patches zu machen.

Wenn Sie Schwachstellen nach dem tatsächlichen Risiko priorisieren und Ihr Asset-Bestandsverzeichnis auf dem neuesten Stand halten, fokussieren Sie sich dadurch auf das Wesentliche – anstatt willkürlichen Schwachstellenbewertungen hinterherzujagen, die kein vollständiges Gesamtbild liefern.

Durch Integration von Scans in allgemeine Cybersecurity-Programme, Anpassung von Scan-Richtlinien an unterschiedliche Umgebungen und Team-Schulungen zur Interpretation von Scandaten können Unternehmen eine Maximierung der Effektivität bewirken. 

Automatisierung und Warnmeldungen beschleunigen die Erkennung und Behebung – und reduzieren parallel dazu manuelle Aufgaben. 

Sie möchten sich eingehender mit Best Practices befassen? Auf unserer ausführlichen Webseite zu Best Practices für Netzwerkscanner erfahren Sie mehr.

Wenn Sie ein Tool für Netzwerkscans in Erwägung ziehen, sollten Sie sich für eine Lösung entscheiden, die Ihnen erweiterte Funktionen bietet. Hierzu zählen beispielsweise:

1. Schwachstellenerkennung, um fehlende Patches, veraltete Software und Konfigurationsprobleme ausfindig zu machen.
2. Credentialed-Scans, die Zugangsdaten verwenden, um Ihre Systeme eingehender zu analysieren.
3. Risikobasierte Priorisierung und anpassbare Berichterstellung, damit Sie sich auf das Wesentliche fokussieren und Stakeholdern tatsächliche Auswirkungen aufzeigen können.

Achten Sie außerdem auf Folgendes:

• Stellen Sie sicher, dass das Tool im Gleichschritt mit Ihrem Unternehmen wachsen kann:
• Skalierbarkeit – um größere Netzwerke zu scannen, ohne den Betrieb auszubremsen.
• Compliance-Unterstützung – für sämtliche Vorschriften, die Ihr Unternehmen einhalten muss.
• Einfache Integration mit Ihren vorhandenen Sicherheitstools, sodass alles ineinandergreift.

Auf unserer ausführlichen Cluster-Seite Auswahl eines Tools für Netzwerkscans finden Sie einen umfassenden Leitfaden, mit dessen Hilfe Sie das für Ihre Anforderungen am besten geeignete Tool für Netzwerkscans auswählen.

Bei einfachen Netzwerkscannern ist es mit der Erfassung bereits getan: Sie teilen Ihnen mit, was sich in Ihrem Netzwerk befindet, helfen jedoch nicht dabei, Risiken nachzuvollziehen oder Prioritäten bei der Behebung zu setzen. 

Tenable geht darüber hinaus.

Mit Tenable können Sie:

• Jedes Asset erfassen – in On-Prem-, Cloud- und OT-Umgebungen und selbst auf temporären BYOD-Geräten
• Credentialed-Scans in Netzwerken durchführen, um ausführlichere Erkenntnisse zu Softwareversionen, Fehlkonfigurationen und fehlenden Patches zu erhalten
• Datenverkehr passiv überwachen, um Schwachstellen und blinden Flecken zu erkennen, ohne dabei sensible Systeme wie medizinische Geräte oder industrielle Steuerungssysteme (ICS) zu stören
• Bedrohungen in Echtzeit erkennen – mit kontinuierlichen Plugin-Updates, die neue CVEs umgehend identifizieren
• Behebungsmaßnahmen priorisieren – mithilfe der Risikobewertungen von Tenable können Sie sich auf die Behebung der wichtigsten Probleme fokussieren, anstatt mit Warnmeldungen überschwemmt zu werden
• Konformität wahren – mithilfe von integrierten Vorlagen, die Reporting-Aufgaben erleichtern

Darüber hinaus integriert Tenable auch passives Scanning in das breiter gefasste Schwachstellenmanagement, wodurch Ihnen ein zentraler Überblick über Ihre gesamte Angriffsfläche vorliegt.

Tenable teilt Ihnen nicht einfach nur mit, was mit Ihrem Netzwerk verbunden ist – wir zeigen auf, welche Schwachstellen Angreifer zuerst ins Visier nehmen. Dadurch können Sie diese Schwachstellen beheben, bevor sie sich als Problem erweisen.

Sehen Sie selbst, wie Tenable Vulnerability Management versteckte Risiken in Netzwerken zum Vorschein bringt.

Wir haben die am häufigsten gestellten Fragen zum Thema Netzwerkscans zusammengestellt. Hier finden Sie hilfreiche Antworten zu Beispielen, Hacking und anderen wichtigen Faktoren:

Welche Beispiele gibt es für Netzwerkscanner?

Ein Beispiel für einen weit verbreiteten Netzwerkscanner, der zur Erfassung und Schwachstellenbewertung eingesetzt wird, ist Tenable Nessus.

Können Hacker Netzwerkscans für ihre Zwecke nutzen?

Ja. Angreifer setzen dieselben Scantechniken ein, um Ihr Netzwerk abzubilden und Schwachpunkte auszumachen. Aus diesem Grund müssen Sie Angreifern mit Ihren eigenen Scans zuvorkommen.

Beeinträchtigen Netzwerkscans die Performance?

Aktive Scans können kurzzeitige Störungen im Netzwerk verursachen. Passive Scans haben keinerlei Auswirkungen, da sie Datenverkehr einfach nur überwachen.

Wie häufig sollten Netzwerkscans durchgeführt werden?

Idealerweise sollten Sie Ihr Netzwerk kontinuierlich scannen. Führen Sie Scans zumindest wöchentlich durch, um neue Geräte und Schwachstellen zu erkennen – doch stets in ausreichender Regelmäßigkeit, um die Compliance-Anforderungen Ihres Unternehmens zu erfüllen.

Worin besteht der Unterschied zwischen Netzwerkscans und Netzwerküberwachung?

Scans untersuchen Geräte aktiv auf Schwachstellen. Im Rahmen der Überwachung wird Datenverkehr hingegen passiv beobachtet, um Probleme im zeitlichen Verlauf zu erkennen.

Wie funktionieren Netzwerkscans in einer Hybrid Cloud-Umgebung?

In einer Hybrid Cloud-Umgebung kombinieren Scanner aktive Signale (Probes) mit passiver Überwachung und Cloud-API-Integrationen, um On-Prem-, Cloud- und virtuelle Assets zu erkennen. Dies stellt sicher, dass vollständige Sichtbarkeit besteht – selbst bei kurzlebigen Ressourcen wie Containern oder virtuellen Maschinen.

Sie möchten sich ein klareres Bild Ihrer gesamten Angriffsfläche machen? Starten Sie mit einem Netzwerkscan, der Ihnen sämtliche Assets, offenen Ports und Schwachstellen aufzeigt. Sehen Sie selbst, wie Tenable Vulnerability Management Ihnen noch heute dabei hilft, Risiken in Netzwerken aufzudecken und zu reduzieren.