Interner Schwachstellenscan: Sicherheitslücken im Netzwerk finden

Ihre Firewall läuft. Ihr Virenschutz ist aktiv. Und trotzdem: Wenn ein Angreifer erst einmal im Netzwerk ist — durch eine Phishing-Mail, ein kompromittiertes Passwort oder eine ungepatchte Software — weiß er oft mehr über Ihre IT als Sie selbst. Drucker mit offenen Ports, vergessene Testserver, Geräte ohne aktuelle Patches: In den meisten KMU-Netzwerken lauern Schwachstellen, die von außen unsichtbar sind.

Dieser Ratgeber erklärt, was ein interner Schwachstellenscan konkret prüft, wie er sich von einem externen Scan und einem Pentest unterscheidet, welche Rolle Lywand dabei spielt und wann das Thema für KMU durch NIS2 zur Pflicht wird.

Inhaltsverzeichnis

  1. Was ist ein interner Schwachstellenscan?
  2. Intern vs. extern — der entscheidende Unterschied
  3. Was scannt ein interner Netzwerk Check wirklich?
  4. Interner Schwachstellenscan und NIS2: Was KMU wissen müssen
  5. Wie funktioniert das mit Lywand?
  6. Schwachstellenscan vs. Pentest — was brauchen KMU wirklich?
  7. Was passiert nach dem Scan?
  8. Kosten eines internen Schwachstellenscans
  9. Häufige Fehler beim Schwachstellenscan
  10. Fazit
  11. Häufige Fragen

Was ist ein interner Schwachstellenscan?

Ein interner Schwachstellenscan ist eine automatisierte Sicherheitsprüfung, die innerhalb des Firmennetzwerks ausgeführt wird. Im Gegensatz zum externen Scan — der überprüft, was ein Angreifer von außen sehen kann — analysiert der interne Scan, was passiert, wenn jemand bereits drin ist.

Die Scan-Software inventarisiert dabei alle netzwerkfähigen Geräte und vergleicht deren Konfiguration, Softwarestand und offene Ports mit einer Datenbank bekannter Sicherheitslücken (CVEs — Common Vulnerabilities and Exposures). Das Ergebnis ist ein priorisierter Bericht: welche Schwachstelle ist wie kritisch, und wie wird sie behoben?

Intern vs. extern — der entscheidende Unterschied

Viele Unternehmen kennen nur den externen Scan — oder verwechseln beide. Die Unterschiede sind erheblich:

Kriterium Externer Scan Interner Scan
Perspektive
Wessen Blickwinkel?		 Angreifer von außen Angreifer bereits im Netzwerk
Was wird geprüft?
Scope		 Externe IPs, Domains, offene Ports im Internet, E-Mail-Sicherheit Alle internen Geräte: PCs, Drucker, Server, Smartphones, NAS, Switches
Typische Funde
Beispiele		 Offene RDP-Ports, unsichere TLS-Versionen, E-Mail ohne DMARC Ungepatchte Software, schwache Passwörter, Fehlkonfigurationen, Schatten-IT
Wann kritisch?
Szenario		 Vor allem für Unternehmen mit öffentlichen Diensten (VPN, Webserver) Für jedes Unternehmen — weil 80 % der Angriffe interne Ausbreitung nutzen
NIS2-Relevanz
Pflicht?		 Empfohlen Für betroffene Unternehmen zunehmend verpflichtend

Kurz: Der externe Scan schützt die Tür. Der interne Scan prüft, was passiert, wenn jemand durch ein Fenster eingestiegen ist.

Was scannt ein interner Netzwerk Check wirklich?

Ein moderner interner Schwachstellenscan — wie der Netzwerk Check von Lywand — inventarisiert zunächst alle Geräte im Netzwerk über eine Asset-Discovery-Funktion. Danach wird jedes identifizierte Gerät auf konkrete Schwachstellen geprüft. Das betrifft nicht nur Windows-PCs und -Server, sondern das gesamte Netzwerk:

Checkliste: Was ein interner Schwachstellenscan prüft

Endgeräte

Netzwerkgeräte und Peripherie

Konfiguration und Richtlinien

Besonders der letzte Punkt überrascht viele Geschäftsführer: In einem typischen KMU-Netzwerk finden sich regelmäßig Geräte, die niemand mehr auf dem Schirm hat — alte Server, private Smartphones, Faxgeräte oder IP-Kameras. Jedes dieser Geräte ist ein potenzieller Einstiegspunkt für Angreifer.

Interner Schwachstellenscan und NIS2: Was KMU wissen müssen

Die NIS2-Richtlinie (Network and Information Security Directive 2) verpflichtet Unternehmen in bestimmten Sektoren und ab einer gewissen Größe zu nachweisbaren Sicherheitsmaßnahmen. Dazu gehören explizit: Schwachstellenmanagement, regelmäßige Sicherheitsprüfungen und die Dokumentation von Maßnahmen.

Auch Unternehmen, die selbst nicht direkt von NIS2 betroffen sind, geraten über ihre Lieferkette unter Druck: Wenn ein Auftraggeber NIS2-konform sein muss, stellt er zunehmend Anforderungen an seine Lieferanten und Dienstleister. Ein regelmäßiger interner Schwachstellenscan ist dabei ein konkreter, dokumentierbarer Nachweis — keine abstrakte Policy, sondern ein messbares Ergebnis. DSGVO Art. 32 fordert darüber hinaus ohnehin „geeignete technische und organisatorische Maßnahmen“ zum Schutz personenbezogener Daten — ein interner Scan erfüllt genau diese Anforderung.

„Wir erleben regelmäßig, dass Kunden davon ausgehen, ihre IT sei sicher — weil sie eine Firewall haben und Updates machen. Beim ersten internen Scan tauchen dann Geräte auf, die seit Jahren niemand mehr auf dem Schirm hatte. Genau das ist der Wert: Sichtbarkeit. Man kann nur absichern, was man kennt.“

— Carolin Höll, Geschäftsführerin Höll Office GmbH

Wie funktioniert das mit Lywand?

Höll setzt für interne Schwachstellenscans auf die Security-Audit-Plattform von Lywand. Das Prinzip ist so gestaltet, dass kein technisches Vorwissen auf Kundenseite erforderlich ist:

  1. Asset Discovery: Ein leichtgewichtiges Gateway wird im Netzwerk eingerichtet. Es inventarisiert automatisch alle netzwerkfähigen Geräte — inklusive Geräten ohne installierten Agenten wie Drucker, Macs oder Smartphones. Geräte werden anhand ihrer MAC-Adresse identifiziert, sodass auch bei Änderung der IP-Adresse keine Prüfung verloren geht.
  2. Netzwerk Check: Alle inventarisierten Geräte werden auf offene Ports, bekannte CVEs, Patch-Versionen, Systemhärtung und Fehlkonfigurationen geprüft. Die Scans laufen automatisch — zwei Mal pro Monat als Routine, plus auf Abruf nach Sicherheitsmaßnahmen.
  3. Agent Check (Windows): Für Windows-PCs und -Server steht zusätzlich ein Softwareagent bereit, der täglich aktualisierte Sicherheitsdaten liefert und mit Auto-Healing bis zu 80 % der gefundenen Schwachstellen automatisch beheben kann.
  4. Dashboard und Bericht: Nach dem Scan erhält die IT-Infrastruktur eine Gesamtbewertung. Kritische Systeme werden priorisiert hervorgehoben. Der Verlauf der Bewertungen zeigt, ob die Sicherheitslage besser oder schlechter wird.

Lywand Netzwerk Check passt wenn…

  • Sie 5 bis ~200 Geräte im Netzwerk haben
  • Sie regelmäßige Scans ohne manuellen Aufwand wollen
  • Sie NIS2-Konformität oder DSGVO-Nachweise brauchen
  • Sie auch Nicht-Windows-Geräte (Drucker, Macs, Smartphones) erfassen wollen
  • Sie keine eigene IT-Abteilung haben

Eher nicht geeignet wenn…

  • Sie einen manuellen Pentest mit exploitierten Schwachstellen benötigen
  • Sie eine spezifische Web-Applikation auf Eindringungsmöglichkeiten testen wollen
  • Sie KRITIS-Betreiber mit sehr hohen Compliance-Anforderungen sind (z. B. TISAX, ISO 27001 Zertifizierung)

Schwachstellenscan vs. Pentest — was brauchen KMU wirklich?

Die beiden Begriffe werden häufig verwechselt, obwohl sie grundlegend unterschiedlich sind:

Ein Schwachstellenscan ist automatisiert, breit und regelmäßig. Er listet bekannte Schwachstellen auf Basis von CVE-Datenbanken auf und bewertet diese nach Kritikalität. Er exploitiert nichts — er meldet nur.

Ein Penetrationstest (Pentest) ist manuell, tief und einmalig. Ein Sicherheitsexperte versucht aktiv, Schwachstellen auszunutzen und sich im System zu bewegen — genau wie ein echter Angreifer. Er ist aufwändig, teuer (ab ca. 5.000 €) und für KMU in der Regel jährlich oder bei großen Veränderungen sinnvoll.

Für die meisten KMU gilt: Der regelmäßige interne Schwachstellenscan als Basis, kombiniert mit einem jährlichen externen Scan. Ein Pentest ergänzt das alle 2 bis 3 Jahre oder nach großen Veränderungen der IT-Infrastruktur.

Was passiert nach dem Scan?

Ein Scan ohne Nachbearbeitung ist wertlos. Was nach einem internen Scan konkret passiert:

  1. Priorisierung: Nicht jede Schwachstelle ist gleich kritisch. CVSS-Scores (Common Vulnerability Scoring System) helfen dabei, kritische von unkritischen Findings zu trennen. Ein offener Port auf einem Drucker ist anders zu bewerten als eine Remote-Code-Execution-Lücke auf einem Server.
  2. Remediation: Für jede Schwachstelle gibt es konkrete Handlungsempfehlungen: Patch einspielen, Port schließen, Konfiguration härten. Bei Lywand wird das direkt im Dashboard als Renovierungsplan abgebildet — inklusive Ticketing-Integration in Systeme wie Autotask oder TANSS.
  3. Re-Scan: Nach Umsetzung der Maßnahmen wird erneut gescannt, um zu bestätigen, dass die Schwachstelle wirklich behoben ist.
  4. Dokumentation: Der gesamte Prozess wird dokumentiert — für interne Nachweise, NIS2-Audits oder DSGVO-Dokumentationspflichten.

Kosten eines internen Schwachstellenscans

Die Kosten eines internen Schwachstellenscans hängen stark vom Umfang ab — konkret von der Anzahl der Scan-Ziele (Assets). Bei Lywand wird nach dem Consumption-Modell abgerechnet: pro gescanntem Gerät und Monat, inklusive zwei Scans monatlich. Für ein typisches KMU mit 20 bis 50 Geräten sind die laufenden Kosten überschaubar und in keinem Verhältnis zum Schadenpotenzial eines erfolgreichen Cyberangriffs — der im Schnitt zwischen 50.000 und 200.000 Euro kostet.

Was im Preis enthalten ist: automatisierte Scans, Security-Dashboard, Handlungsempfehlungen, Compliance-Berichte und die Integrationsmöglichkeit in bestehende IT-Management-Systeme. Höll erhält als zertifizierter Lywand-Partner den Zugriff auf die Plattform und kümmert sich um Einrichtung, Interpretation der Ergebnisse und Umsetzung der Maßnahmen.

Häufige Fehler beim Schwachstellenscan

  • Nur einmal scannen: Neue Schwachstellen entstehen täglich. Ein einmaliger Scan ist ein Schnappschuss, kein Schutz. Nur regelmäßige Scans erzeugen einen belastbaren Sicherheitsstatus.
  • Nur extern scannen: Viele KMU scannen ihre öffentlich erreichbaren Systeme, ignorieren aber das interne Netzwerk. Dabei beginnen die meisten erfolgreichen Angriffe mit einem internen Bewegungsablauf nach einem initialen Zugriff.
  • Findings nicht beheben: Ein Bericht, der in der Schublade landet, nützt nichts. Jede gefundene Schwachstelle braucht einen konkreten nächsten Schritt und eine Frist.
  • Schatten-IT ignorieren: Unbekannte Geräte im Netzwerk werden beim Scan häufig überraschend sichtbar. Diese müssen bewertet, autorisiert oder aus dem Netzwerk entfernt werden.
  • Scan ohne Benachrichtigung der IT: Scans erzeugen Netzwerktraffic. Die zuständigen IT-Administratoren sollten informiert sein, um Fehlalarme in Monitoring-Systemen zu vermeiden.

Fazit: Ein Scan reicht nicht — eine Routine schon

Ein interner Schwachstellenscan ist kein Luxus für Konzerne, sondern ein praktisches Werkzeug für jedes Unternehmen, das seine IT kennen möchte. Wer weiß, was in seinem Netzwerk läuft, kann absichern. Wer es nicht weiß, verliert im Ernstfall wertvolle Zeit und Geld.

Höll bietet internen Schwachstellenscan für KMU in der Region Karlsruhe, Baden-Baden, Rastatt und Offenburg an — eingerichtet, interpretiert und nachverfolgt durch unser IT-Team. Kein technisches Vorwissen erforderlich, keine Überraschungsrechnungen, regelmäßige Berichte. Sprechen Sie uns an, wenn Sie wissen möchten, wie es um Ihr Netzwerk steht.

Das könnte Sie auch interessieren

Häufige Fragen zum internen Schwachstellenscan

Was ist der Unterschied zwischen einem internen und einem externen Schwachstellenscan?

Ein externer Scan prüft, was ein Angreifer von außen über das Internet an Ihrem Netzwerk sehen und angreifen kann — zum Beispiel offene Ports, unsichere VPN-Zugangspunkte oder E-Mail-Sicherheitskonfigurationen. Ein interner Scan wird innerhalb des Netzwerks ausgeführt und analysiert, was ein Angreifer tun könnte, der bereits Zugang hat — durch eine Phishing-Mail, ein gestohlenes Passwort oder ein kompromittiertes Gerät. Beide Scans ergänzen sich; für KMU ist der interne Scan häufig der aufschlussreichere.

Wie oft sollte ein interner Schwachstellenscan durchgeführt werden?

Experten empfehlen für KMU mindestens monatliche interne Scans, da neue Schwachstellen (CVEs) täglich veröffentlicht werden. Mit Lywand werden Scans automatisch zweimal im Monat durchgeführt; zusätzliche Scans sind jederzeit möglich, zum Beispiel nach größeren Änderungen an der IT-Infrastruktur oder nach dem Einspielen neuer Systeme.

Ist ein Schwachstellenscan das Gleiche wie ein Penetrationstest?

Nein. Ein Schwachstellenscan ist automatisiert und meldet bekannte Sicherheitslücken auf Basis von CVE-Datenbanken — er exploitiert nichts. Ein Penetrationstest wird manuell von einem Sicherheitsexperten durchgeführt, der aktiv versucht, Schwachstellen auszunutzen, genau wie ein echter Angreifer. Für KMU ist der regelmäßige Schwachstellenscan die sinnvolle Basis; ein Pentest ergänzt das alle zwei bis drei Jahre oder nach großen IT-Veränderungen.

Was passiert, wenn der Scan Schwachstellen findet?

Jede gefundene Schwachstelle wird nach Kritikalität bewertet (CVSS-Score) und mit konkreten Handlungsempfehlungen versehen: Patch einspielen, Konfiguration anpassen, Port schließen. Höll begleitet die Umsetzung und führt nach Behebung einen Re-Scan durch, um zu bestätigen, dass die Lücke geschlossen ist. Der gesamte Prozess wird für NIS2- und DSGVO-Dokumentationszwecke festgehalten.

Brauche ich einen internen Schwachstellenscan wegen NIS2?

Wenn Ihr Unternehmen direkt von NIS2 betroffen ist, sind nachweisbare Sicherheitsmaßnahmen inklusive Schwachstellenmanagement verpflichtend. Aber auch Unternehmen, die nicht direkt betroffen sind, geraten über ihre Lieferkette unter Druck: Auftraggeber, die NIS2-konform sein müssen, stellen zunehmend Anforderungen an ihre Lieferanten. Ein regelmäßiger Scan ist dabei ein konkreter, dokumentierbarer Nachweis. Darüber hinaus verlangt DSGVO Art. 32 ohnehin geeignete technische Schutzmaßnahmen für personenbezogene Daten.