Skip to content

Ein Kunde fragt, warum er für einen Pentest zahlen soll, wenn er bereits Schwachstellenscans durchführt. Wie antworten Sie?

Kurzantwort

Ein Schwachstellenscan ist eine automatisierte, in die Breite gehende Bestandsaufnahme potenzieller Schwächen, oft mit Fehlalarmen. Ein Penetrationstest ist menschengeführt: Er validiert Funde, verkettet sie und demonstriert durch tatsächliche Ausnutzung echte geschäftliche Auswirkungen.

Dies ist eine der häufigsten Interview- und Verkaufsfragen, weil Kunden die beiden wirklich verwechseln. Die ehrliche Antwort würdigt, was Scanner gut können, und erklärt zugleich, was nur ein menschlicher Tester bietet.

Schwachstellenscan

Ein Schwachstellenscan nutzt automatisierte Werkzeuge (Nessus, OpenVAS, Qualys), um Systeme abzutasten und das Gefundene mit einer Datenbank bekannter Probleme abzugleichen. Er ist:

  • Breit und schnell — er kann über Nacht Tausende Hosts bewerten.
  • Wiederholbar — ideal für kontinuierliche, geplante Abdeckung.
  • Oberflächlich — er meldet potenzielle Schwachstellen anhand von Versions-Bannern und Signaturen, was Fehlalarme und übersehene Funde bedeutet, und er nutzt im Allgemeinen nichts aus und versteht keinen Geschäftskontext.

Penetrationstest

Ein Penetrationstest ist menschengeführt. Ein Tester nimmt die Rohfunde (oft einschließlich der Scanner-Ausgabe) und:

  • Validiert sie — bestätigt, dass eine markierte CVE in dieser Umgebung tatsächlich ausnutzbar ist, und beseitigt Fehlalarme.
  • Verkettet sie — ein Informationsleck niedriger Schwere plus eine Standard-Zugangsdatum plus ein SSRF können sich zu einer vollständigen Kompromittierung verbinden, die kein einzelner Scan markiert.
  • Demonstriert die Auswirkung — statt „Port 445 könnte verwundbar sein" zeigt er „wir haben den Domänencontroller erreicht und Zugangsdaten ausgelesen", was Führungskräfte und Auditoren tatsächlich zum Priorisieren brauchen.

Die richtige Einordnung für den Kunden

Der Scan beantwortet „was könnte falsch sein?" und sollte kontinuierlich laufen. Ein Pentest beantwortet „was kann ein Angreifer tatsächlich erreichen, und wie schlimm ist es?". Sie sind komplementär, nicht konkurrierend — ein ausgereiftes Programm macht beides.

Worauf Interviewer achten

Dass Sie Scanner nicht abtun, dass Sie Validierung, Verkettung und geschäftliche Auswirkung als den menschlichen Mehrwert artikulieren können und dass Sie einen Kunden zur günstigeren Option lenken würden, wenn sie wirklich zu seinem Bedarf passt.

Wahrscheinliche Anschlussfragen

  • Wie gehen Sie während eines Einsatzes mit Fehlalarmen eines Scanners um?
  • Wann ist ein Schwachstellenscan tatsächlich das richtige Liefergut für einen Kunden?
  • Was bedeutet das „Verketten“ von Funden niedriger Schwere zu hoher Auswirkung?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.