· Rexoma Team · IT-Sicherheit  · 5 min read

Schwachstellenscanner für KMU: Mit Greenbone und OpenVAS Sicherheitslücken finden

Jeden Monat erscheinen Hunderte neue CVEs. Mit Greenbone und OpenVAS finden KMU Sicherheitslücken im eigenen Netz – bevor Angreifer es tun.

Jeden Monat erscheinen Hunderte neue CVEs. Mit Greenbone und OpenVAS finden KMU Sicherheitslücken im eigenen Netz – bevor Angreifer es tun.

Jeden Monat veröffentlichen Microsoft, Google und Dutzende weitere Hersteller Sicherheitsupdates – allein das Chrome-Update vom Mai 2026 schloss über 150 Schwachstellen. Für kleine und mittlere Unternehmen stellt sich die entscheidende Frage: Welche dieser Lücken betreffen meine eigene IT-Infrastruktur, und sind sie bereits geschlossen? Genau hier setzt ein Schwachstellenscanner an.

Was ist ein Schwachstellenscanner?

Ein Schwachstellenscanner durchsucht automatisch Ihr Netzwerk nach bekannten Sicherheitslücken. Er prüft Betriebssysteme, Anwendungen, Netzwerkdienste und Gerätekonfigurationen gegen eine täglich aktualisierte Datenbank bekannter Schwachstellen – die sogenannten CVEs (Common Vulnerabilities and Exposures).

Das Ergebnis ist eine priorisierte Liste von Sicherheitsproblemen mit Schweregrad, betroffenen Systemen und konkreten Handlungsempfehlungen. Kein Raten mehr, kein „wir hoffen, dass alles gepatcht ist” – sondern ein faktenbasiertes Bild Ihrer IT-Sicherheitslage.

OpenVAS und Greenbone – leistungsfähige Open-Source-Lösung

Die bekannteste Open-Source-Lösung in diesem Bereich ist OpenVAS (Open Vulnerability Assessment System), das heute als Teil der Greenbone Community Edition verfügbar ist. Greenbone entwickelt professionelle Vulnerability-Management-Produkte und stellt die Community Edition kostenlos zur Verfügung.

Was Greenbone für KMU bietet:

  • Netzwerk-Scan nach offenen Ports, Diensten und Protokollen
  • Erkennung bekannter CVEs auf Basis täglich aktualisierter Feed-Daten
  • Analyse von Betriebssystemen, Webservern, Datenbanken und Netzwerkgeräten
  • Detaillierte Berichte mit CVSS-Score und Risikobewertung
  • Anmeldedaten-basierter Scan für tiefere Systemanalyse (Authenticated Scan)

Warum reicht Patch-Management allein nicht?

Patch-Management ist unverzichtbar – aber es löst nur einen Teil des Problems. Ein Schwachstellenscanner zeigt zusätzlich, was beim rein reaktiven Patchen unsichtbar bleibt:

  • Fehlkonfigurationen: Offene Ports, schwache TLS-Einstellungen, unsichere SSH-Parameter
  • Vergessene Systeme: Drucker, NAS-Geräte, alte Testserver, die niemand mehr aktiv betreut
  • Veraltete Softwarebibliotheken: in CMS-Instanzen, selbst entwickelten Tools oder installierten Anwendungen
  • Zeitliche Lücken: zwischen dem Erscheinen eines Patches und seiner tatsächlichen Einspielung

Für Unternehmen in Dresden und Sachsen, die unter die NIS2-Richtlinie fallen oder sich darauf vorbereiten, ist ein strukturiertes Schwachstellenmanagement zudem eine formale Anforderung – kein Nice-to-have.

Greenbone Community Edition einrichten

Voraussetzungen

  • Linux-Server (Ubuntu 22.04 LTS empfohlen), mindestens 4 GB RAM, 20 GB freier Speicher
  • Docker und Docker Compose installiert
  • Netzwerkzugang zum zu scannenden Segment

Schritt-für-Schritt: Installation per Docker

Schritt 1 – Docker-Compose-Konfiguration herunterladen:

curl -f -L https://greenbone.github.io/docs/latest/_static/docker-compose-22.4.yml \
  -o docker-compose.yml

Schritt 2 – Greenbone starten und Vulnerability-Feeds synchronisieren:

docker compose -f docker-compose.yml -p greenbone-community pull
docker compose -f docker-compose.yml -p greenbone-community up -d

Der erste Start dauert 15–30 Minuten, da aktuelle Feed-Daten heruntergeladen werden. Das ist normal.

Schritt 3 – Weboberfläche aufrufen:

Öffnen Sie im Browser http://localhost:9392. Standard-Login: admin / admin – dieses Passwort sofort ändern.

Schritt 4 – Ersten Scan konfigurieren:

  1. Configuration → Targets: Neues Ziel anlegen, z.B. den IP-Bereich 192.168.1.0/24
  2. Scans → Tasks: Neue Aufgabe mit dem Ziel und dem Profil „Full and Fast” erstellen
  3. Scan starten und Bericht abwarten (30–90 Minuten je nach Netzwerkgröße)

Scan-Ergebnisse richtig einordnen

Greenbone bewertet Schwachstellen nach dem CVSS-Score (0–10):

ScoreBewertungHandlung
9–10CriticalSofort patchen, keine Ausnahmen
7–8,9HighIn der nächsten Wartungsrunde schließen
4–6,9MediumMittelfristig adressieren
< 4Low / InfoAuf dem Radar behalten

Wichtig: Priorisieren Sie nach Erreichbarkeit. Eine kritische Lücke auf einem rein internen Server ist weniger dringend als eine mittlere Schwachstelle auf Ihrem öffentlich zugänglichen Webserver.

Typische Funde in KMU-Netzwerken

In der Praxis – auch bei IT-Projekten in Sachsen und Ostdeutschland – findet Greenbone in KMU-Infrastrukturen regelmäßig folgende Probleme:

  • Ungepatchte Windows-Systeme: Windows 10 ohne aktuelle Updates, oft bei Drucker- oder Scan-Stationen, die „niemand anfasst”
  • Telnet und FTP aktiv: auf älteren NAS-Geräten oder Netzwerkdruckern ohne TLS-Unterstützung
  • Standard-Passwörter auf Netzwerkgeräten: Router, Switches und IP-Kameras mit unverändertem Werkspasswort
  • Veraltete OpenSSL-Versionen: auf Linux-Servern, die selten Updates erhalten
  • Offene Datenbank-Ports: MySQL oder PostgreSQL ohne Firewall-Schutz im lokalen Netzwerk

Diese Funde sind nicht spektakulär – aber genau diese einfachen Einfallstore nutzen Angreifer als ersten Schritt. Ein Schwachstellenscanner macht sie sichtbar.

Schwachstellenscanning in den IT-Betrieb integrieren

Ein einmaliger Scan ist ein guter Start, aber kein dauerhafter Schutz. Empfohlener Rhythmus für KMU:

  • Wöchentlich: Automatisierter Scan des gesamten Netzwerks
  • Nach Änderungen: Neuer Server, neue Software, Netzwerk-Umbau → Scan wiederholen
  • Monatlicher Bericht: Ergebnis-Trend dokumentieren und intern kommunizieren

Greenbone bietet integrierte Alerting-Funktionen für automatische E-Mail-Zusammenfassungen kritischer Funde. Damit bleibt der Aufwand überschaubar – auch für kleine IT-Teams.

Grenzen des Schwachstellenscanners

Greenbone ist kein Allheilmittel. Was kein automatisierter Scanner leistet:

  • Social Engineering und Phishing bleiben unsichtbar
  • Zero-Day-Lücken sind per Definition noch nicht in der CVE-Datenbank erfasst
  • Anwendungslogik-Fehler in selbst entwickelter Software werden nicht erkannt
  • Cloud-Dienste wie Microsoft 365 oder Google Workspace können nur eingeschränkt gescannt werden

Schwachstellenscanning ist eine Sicherheitsschicht – ergänzt durch Firewall (z.B. OPNsense), Endpoint Detection, MFA und regelmäßige Mitarbeiterschulungen. Nur im Zusammenspiel entsteht ein wirksames Sicherheitskonzept.

Unterstützung in Dresden gesucht?

Rexoma IT richtet Greenbone für Ihr Unternehmen in Dresden und Sachsen ein, führt einen initialen Schwachstellenscan durch und bespricht die Ergebnisse mit Ihnen – priorisiert und ohne IT-Fachjargon. Wir begleiten KMU beim Aufbau eines nachhaltigen Schwachstellenmanagement-Prozesses, der in den IT-Alltag passt. Jetzt Kontakt aufnehmen.

FAQ

Was kostet die Greenbone Community Edition?

Die Community Edition ist kostenlos und quelloffen. Kommerzielle Varianten (Greenbone Enterprise) bieten erweiterte Features wie Compliance-Reporting und Support-SLAs. Für die meisten KMU reicht die Community Edition vollständig aus.

Wie lange dauert ein Netzwerk-Scan mit Greenbone?

Das hängt vom Netzwerkumfang ab. Ein typisches KMU-Netz mit 20–50 Geräten ist in 30–90 Minuten gescannt. Größere Infrastrukturen können mehrere Stunden in Anspruch nehmen. Der erste Scan ist etwas langsamer, weil Greenbone noch keine Baseline hat.

Ist der Scan selbst ein Sicherheitsrisiko für mein Netzwerk?

Ein Netzwerk-Scan kann instabile oder schlecht konfigurierte Geräte in seltenen Fällen beeinträchtigen. Führen Sie erste Scans außerhalb der Kernarbeitszeiten durch und nutzen Sie das Profil „Full and Fast” statt aggressiverer Varianten. Kritische Produktionssysteme können gezielt aus dem Scan ausgeschlossen werden.

Was ist der Unterschied zwischen Greenbone und einem Penetrationstest?

Greenbone führt automatisierte, nicht-exploitative Scans durch – es prüft, ob eine Schwachstelle vorhanden ist, nutzt sie aber nicht aus. Ein Penetrationstest geht weiter: ein erfahrener Tester versucht aktiv, gefundene Lücken zu kompromittieren. Beide ergänzen sich: Greenbone für den laufenden Betrieb, Pentest für die vertiefte Sicherheitsüberprüfung.

Brauche ich Fachkenntnisse für die Einrichtung?

Die grundlegende Installation ist mit Docker-Kenntnissen machbar. Für die korrekte Interpretation der Ergebnisse und die Ableitung von Maßnahmen empfiehlt sich die Unterstützung eines IT-Dienstleisters – besonders wenn noch kein strukturiertes Schwachstellenmanagement vorhanden ist.

Share:
Back to Blog

Related Posts

View All Posts »
Zero Trust: Das Ende des "Vertrau dem Netzwerk"-Denkens

Zero Trust: Das Ende des "Vertrau dem Netzwerk"-Denkens

Ransomware-Banden wie Rhysida erpressen inzwischen auch Kommunen und Mittelständler. Das klassische Sicherheitsmodell mit Perimeter-Firewall reicht längst nicht mehr – Zero Trust zeigt, wie moderne IT-Sicherheit für KMU wirklich funktioniert.