Vulnerability Scan: listet, was verwundbar sein könnte. CHF 500 bis 5’000. Penetrationstest: beweist, was ein Angreifer tatsächlich ausnutzen kann. CHF 5’000 bis 150’000. 52% der 2024 erfolgreich angegriffenen Schweizer KMU hatten im Vorjahr einen Vulnerability Scan durchgeführt (BACS). Der Scan hatte die ausgenutzte Schwachstelle nicht als kritisch eingestuft.
Beide prüfen Sicherheitslücken. Die Methoden sind fundamental verschieden. Ein Scanner vergleicht Softwareversionen mit Datenbanken. Ein Pentester denkt wie ein Angreifer und verkettet Schwachstellen.
Der Kern-Unterschied in einem Satz
Ein Vulnerability Scan ist ein automatisierter Check: “Welche bekannten Schwachstellen gibt es?” Ein Penetrationstest ist eine manuelle, gezielte Prüfung: “Kann ein Angreifer diese Schwachstelle tatsächlich ausnutzen, und wie weit kommt er?”
Der Unterschied ist nicht akademisch. Laut dem BACS Jahresbericht 2024 hatten 52% der erfolgreich angegriffenen Schweizer KMU im Vorjahr einen Vulnerability Scan durchgeführt — dieser hatte die ausgenutzte Schwachstelle entweder nicht gefunden oder als niedrig priorisiert eingestuft. Ein Penetrationstest hätte die Ausnutzbarkeit direkt bewiesen.
Was ist ein Vulnerability Scan?
Ein Vulnerability Scan ist ein automatisierter, toolgestützter Prozess. Scanner wie Nessus, Qualys, OpenVAS oder Rapid7 InsightVM vergleichen Ihre Systeme mit Datenbanken bekannter Schwachstellen (Common Vulnerabilities and Exposures, CVE). In wenigen Stunden erhalten Sie einen Bericht mit Hunderten von potenziellen Problemen.
Stärken des Vulnerability Scans:
- Schnell und kostengünstig (Stunden statt Wochen)
- Breite Abdeckung vieler Systeme gleichzeitig
- Wiederholbar und automatisierbar (täglich, wöchentlich)
- Gute Basis für Compliance-Nachweise (ISO 27001, NIS2)
- Erkennt bekannte, ungepatchte Schwachstellen zuverlässig
Grenzen des Vulnerability Scans:
- Hohe Rate an False Positives (20–40% der gemeldeten Findings)
- Keine manuelle Verifikation der Ausnutzbarkeit
- Findet keine Zero-Day-Schwachstellen oder logischen Fehler
- Ignoriert den menschlichen Faktor (Social Engineering)
- Übersieht Angriffsketten aus kombinierten Einzelschwachstellen
- Kontextblind: Weiss nicht, welche Schwachstellen in Ihrer Umgebung kritisch sind
Ein KMU mit 200 Systemen erhält typischerweise 300–800 gemeldete Findings pro Scan. Ohne manuelle Priorisierung ist dieser Bericht schwer umsetzbar.
Was ist ein Penetrationstest?
Ein Penetrationstest (kurz: Pentest) ist eine strukturierte, manuelle Sicherheitsprüfung durch zertifizierte Experten. Die Tester versuchen aktiv, in Systeme einzudringen — mit definierten Zielen, begrenztem Scope und klaren Regeln. Sie nutzen nicht nur bekannte CVEs, sondern denken kreativ: Wie verbinden sich mehrere kleine Schwachstellen zu einem grossen Angriffspfad?
Was ein Penetrationstest liefert:
- Manuelle Verifikation: Jede kritische Schwachstelle wird tatsächlich ausgenutzt (im sicheren Rahmen)
- Angriffsketten: Kombination von Schwachstellen zu vollständigen Angriffsszenarien
- Kontextbewusstsein: Tester verstehen, was in Ihrer Umgebung wirklich kritisch ist
- Business-Impact-Bewertung: Welche Daten oder Systeme wären betroffen?
- Wenig False Positives: Nur validierte, wirklich ausnutzbare Schwachstellen im Bericht
Typen von Penetrationstests:
- Netzwerk-Pentest: Interne und externe Infrastruktur
- Web-Applikation-Pentest: OWASP-basierte Prüfung von Webanwendungen
- Mobile-Applikation-Pentest: iOS- und Android-Apps
- Soziale Ingenieurtechnik (Social Engineering): Phishing-Simulationen, Vishing
- Physical Pentest: Physischer Zugang zu Gebäuden und Servern
“Ein Vulnerability Scan ist wie ein Rauchmelder — er warnt Sie, wenn er etwas erkennt. Ein Penetrationstest ist wie ein Feuerwehrmann, der prüft, ob Ihr Gebäude tatsächlich brennen würde. Beide sind wertvoll, aber sie sind nicht dasselbe.” — Leitender Penetrationstester, zertifizierter Schweizer Sicherheitsanbieter
Detaillierter Vergleich: Penetrationstest vs. Vulnerability Scan
| Dimension | Vulnerability Scan | Penetrationstest |
|---|---|---|
| Methode | Automatisiert, toolbasiert | Manuell, erfahrungsbasiert |
| Dauer | 2–8 Stunden | 3–20 Tage je nach Scope |
| Tiefe | Breit, oberflächlich | Eng fokussiert, sehr tief |
| Scope | Viele Systeme gleichzeitig | Definierter, begrenzter Scope |
| Kosten (CHF) | CHF 500–5’000 pro Lauf | CHF 8’000–40’000 je Scope |
| False Positives | 20–40% der Findings | Unter 5% (alles manuell validiert) |
| Ausnutzbarkeitsnachweis | Nein (nur theoretisch) | Ja (aktiv verifiziert) |
| Angriffsketten | Keine | Kernbestandteil des Tests |
| Zero-Day-Erkennung | Nein | Möglich (limitiert) |
| Social Engineering | Nicht enthalten | Optional buchbar |
| Bericht-Qualität | Automatisch generiert, oft umfangreich | Manuell verfasst, priorisiert, handlungsorientiert |
| Frequenz | Wöchentlich bis monatlich | Jährlich oder bei grossen Änderungen |
| Zertifizierung nötig | Nein (Tool bedienbar von IT-Admin) | Ja (OSCP, CEH, GPEN empfohlen) |
| Empfohlen für | Alle KMU als kontinuierliche Basis | KMU mit sensiblen Daten, regulierte Branchen |
| Nächste Stufe | Penetrationstest | Red Teaming |
Kosten im Vergleich: Was bezahlen Schweizer KMU?
Die Kostenunterschiede sind erheblich — aber auch der Wert-Unterschied:
Vulnerability Scan:
- Einmaliger Scan (Tool-basiert, extern beauftragt): CHF 800–3’000
- Halbjährlicher Scan inkl. Reporting: CHF 3’000–8’000/Jahr
- Continuous Scanning als Service (wöchentlich): CHF 5’000–15’000/Jahr
Penetrationstest:
- Web-Applikation (mittelgross): CHF 8’000–20’000
- Netzwerk-Pentest (externes Perimeter): CHF 10’000–25’000
- Full-Scope Pentest (Netz + Web + Social Engineering): CHF 20’000–40’000
- Details und aktuelle Marktpreise in unserem Penetrationstest Kostenüberblick Schweiz
Wichtige Überlegung: Ein Vulnerability Scan für CHF 2’000 klingt günstig. Aber wenn er 400 Findings liefert, von denen 380 False Positives sind, und die verbleibenden 20 nicht priorisiert werden — dann ist er teurer als ein Penetrationstest, der Ihnen die 3 wirklich kritischen Probleme beweist.
Wo jeder Ansatz versagt — und warum das wichtig ist
Grenzen des Vulnerability Scans: Praxisbeispiel
Ein Schweizer Handelsunternehmen führt monatliche Scans durch. Der Scanner meldet eine als “Medium” eingestufte Schwachstelle in einer alten Apache-Version. Das IT-Team priorisiert sie niedrig. Was der Scanner nicht sieht: Diese Apache-Version läuft auf dem Server, der direkten Zugang zur Kundendatenbank hat. Ein Angreifer kombiniert diese “Medium”-Schwachstelle mit einem Fehlkonfigurierten S3-Bucket (auch als “Low” eingestuft) und erhält vollständigen Datenbankzugriff. Der Scan hat beide Schwachstellen gefunden — aber nicht ihre gefährliche Kombination.
Grenzen des Penetrationstests: Praxisbeispiel
Dasselbe Unternehmen beauftragt einen Penetrationstest — allerdings nur für das externe Netzwerk. Der Tester findet und validiert kritische Schwachstellen, der Bericht ist exzellent. Was der Test nicht abdeckt: Der wichtigste Angriff erfolgt drei Monate später via Spear-Phishing-Mail an den CFO. Der Penetrationstest hatte diesen Angriffsvektor nicht im Scope. Ein Red Team-Einsatz hätte genau das getestet.
Wann Penetrationstest, wann Vulnerability Scan?
Vulnerability Scan wählen, wenn:
- Sie noch keine systematische Schwachstellenübersicht haben
- Budget unter CHF 5’000 für Sicherheitsüberprüfungen vorgesehen ist
- Sie Compliance-Anforderungen erfüllen müssen (ISO 27001 A.12.6.1)
- Ihr IT-Team Unterstützung bei der Patch-Priorisierung braucht
- Sie eine regelmässige, automatisierte Grundüberprüfung etablieren wollen
Penetrationstest wählen, wenn:
- Sie sensible Kundendaten (Finanz-, Gesundheits-, Personaldaten) verarbeiten
- Neue Applikationen oder Systeme vor dem Produktivsystem geprüft werden sollen
- Regulatorische Anforderungen (FINMA, ISO 27001, PCI DSS) manuelle Tests vorschreiben
- Ihre IT-Infrastruktur sich wesentlich verändert hat (Migration, neue Systeme)
- Sie verstehen wollen, welche Ihrer Schwachstellen tatsächlich ausnutzbar sind
- Sie Ergebnisse für Ihr Management oder Ihren Verwaltungsrat benötigen
Red Teaming als nächste Stufe, wenn:
Beide Methoden testen Systeme. Nur Red Teaming testet das gesamte Unternehmen unter realen Angriffsbedingungen — inklusive Mitarbeitende, Prozesse und die Reaktionsfähigkeit Ihres Sicherheitsteams. Sobald Vulnerability Scanning und Penetrationstests Teil Ihrer regulären Sicherheitspraxis sind, ist Red Teaming der logische nächste Schritt. Mehr dazu in unserem Vergleich Red Teaming vs. Penetrationstest.
“Unsere Erfahrung zeigt: KMU, die ausschliesslich auf automatisierte Scans setzen, haben im Schnitt 2,3 kritische, ausnutzbare Schwachstellen, die der Scanner bewertet hat — aber als ‘Medium’ oder ‘Low’ klassifiziert hat. Das ist der Unterschied zwischen einem Scan und einem echten Test.” — Principal Security Researcher, Schweizer Cybersecurity-Unternehmen
Die richtige Reihenfolge für Ihr KMU
Das Ziel ist nicht entweder/oder — es ist eine aufbauende Sicherheitsstrategie:
Phase 1 — Sichtbarkeit schaffen: Implementieren Sie regelmässige Vulnerability Scans aller exponierten Systeme. Richten Sie automatisiertes Patch-Management ein. Prüfen Sie die Cybersecurity-Checkliste für KMU, um keine Grundlagen zu vergessen.
Phase 2 — Risiken validieren: Beauftragen Sie jährliche Penetrationstests für Ihre kritischsten Systeme und Applikationen. Nutzen Sie die Ergebnisse zur gezielten Investitionssteuerung. Lesen Sie dazu unseren Leitfaden zu Red Teaming vs. Penetrationstest.
Phase 3 — Verteidigung testen: Wenn Ihre Sicherheitsorganisation reifer wird, testen Sie mit Red Teaming, ob Ihre gesamte Verteidigung einem echten Angriff standhält. Informieren Sie sich über Red Team Anbieter in der Schweiz und die damit verbundenen Kosten.
Häufige Fragen aus der Praxis
Kann ich Penetrationstests durch Vulnerability Scans ersetzen? Nein. Scans und Pentests erfüllen unterschiedliche Zwecke. Scans sind die kontinuierliche Hygiene, Pentests die periodische Tiefenprüfung. Eines ohne das andere ist unvollständig.
Wie oft sollte ich welches Tool einsetzen? Vulnerability Scanning: Mindestens monatlich für extern exponierte Systeme, wöchentlich empfohlen. Penetrationstest: Mindestens jährlich, zusätzlich bei grossen Infrastrukturänderungen, neuen Applikationen oder nach Sicherheitsvorfällen.
Welche Zertifizierungen sollten Penetrationstester haben? In der Schweiz sind OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) und GPEN (GIAC Penetration Tester) anerkannte Qualifikationen. Fragen Sie potenzielle Anbieter nach Zertifizierungen Ihrer Tester.
Sind Vulnerability Scans für die ISO 27001 Zertifizierung ausreichend? ISO 27001 Annex A.12.6.1 fordert technische Überprüfungen — Scans sind eine anerkannte Methode. Für kritische Systeme empfehlen ISO-Auditoren jedoch ergänzende manuelle Tests. Mehr dazu in unserem Framework-Vergleich ISO 27001 vs. NIST.
Fazit
Vulnerability Scans und Penetrationstests sind keine Konkurrenten, sondern Schichten einer Verteidigungsstrategie. Scans liefern breite Sichtbarkeit — schnell, günstig und kontinuierlich. Penetrationstests liefern beweisbare Sicherheit — manuell, tief und handlungsorientiert.
Für Schweizer KMU lautet die Empfehlung klar: Starten Sie mit regelmässigen Scans als Hygienebasis. Ergänzen Sie diese mit jährlichen Penetrationstests für kritische Systeme. Und wenn Sie wirklich wissen wollen, ob Ihr Unternehmen einem gezielten Angriff standhält, ist der nächste Schritt Red Teaming.
Ist Ihr KMU bereit für den realsten Sicherheitstest? Unsere zertifizierten Red Teams testen Ihre gesamte Verteidigung — Technik, Menschen und Prozesse — unter realen Angriffsbedingungen. Klar, diskret und mit direkt umsetzbaren Ergebnissen.