Secrails LogoSECRAILS
Zurück zum BlogSchwachstellen-Management

Nessus Vulnerability Scanner: Der vollständige Leitfaden für Sicherheitsteams 2026

secrails··10 Min.
Vulnerability ManagementNetwork SecurityVulnerability Scanning ToolsCVSSPenetration Testing
Nessus Vulnerability Scanner Dashboard mit CVE-Schweregrad-Aufschlüsselung, Netzwerktopologiekarte und Behebungsprioritätswarteschlange auf dunkelblauer Oberfläche

Tenable's Nessus ist seit 1998 in Produktionsumgebungen im Einsatz. Kein Tippfehler. Achtundzwanzig Jahre später ist er immer noch der am weitesten verbreitete Vulnerability Scanner weltweit — Tenable gibt an, dass über 30.000 Organisationen ihn nutzen. Aber Langlebigkeit bedeutet nicht automatisch Relevanz, besonders 2026, wo Cloud-native Workloads, containerisierte Deployments und KI-generierter Code die Angriffsfläche grundlegend verändert haben.

Die ehrliche Frage lautet: Ist Nessus noch das richtige Werkzeug für Ihr Vulnerability-Assessment-Programm, oder ist es Legacy-Infrastruktur mit moderner Oberfläche? Dieser Leitfaden arbeitet sowohl die Stärken als auch die blinden Flecken heraus — ohne Vendor-Floskeln.

Was ist Nessus und wie funktioniert es wirklich?

Nessus ist ein aktiver Vulnerability Scanner. Er verbindet sich mit Zielsystemen — über ein Netzwerk oder via authentifiziertem Agenten — und führt eine Reihe von Plugins gegen sie aus. Mitte 2026 liefert Nessus über 215.000 Plugins, die CVEs, Fehlkonfigurationen, Compliance-Benchmarks und Malware-Artefakte abdecken. Jedes Plugin ist im Wesentlichen ein Test: Ist auf diesem Host diese spezifische Schwachstelle vorhanden?

Die Scan-Engine arbeitet in Phasen. Zuerst Host-Discovery und Port-Enumeration (SYN-Scans, UDP-Probes, ICMP). Dann Service-Fingerprinting — Nessus vertraut Portnummern nicht, sondern verhandelt direkt mit dem Dienst. Schließlich Schwachstellenerkennung via Plugin-Ausführung, die gegen NVD, Vendor-Advisories und Tenable's eigenen Research-Feed abgeglichen wird.

Credentialed Scans verändern das Bild dramatisch. Ein nicht-authentifizierter Scan zeigt, was ein Angreifer vom Netzwerkperimeter sieht. Ein credentialed Scan — mit SSH-Keys oder Windows-Admin-Credentials — zeigt, was tatsächlich installiert ist, welche Patches fehlen, was Konfigurationsdateien enthalten. Das Delta bei Findings zwischen beiden Modi übersteigt routinemäßig 300%.

Plugin-Architektur und NASL

Nessus-Plugins werden in NASL (Nessus Attack Scripting Language) geschrieben. Tenable veröffentlicht neue Plugins innerhalb von Stunden nach einer CVE-Veröffentlichung. EPSS-Scores sind nun direkt in Nessus-Findings integriert — die Wahrscheinlichkeit, dass ein bestimmter CVE innerhalb von 30 Tagen in der Praxis ausgenutzt wird. Teams, die nur nach CVSS priorisieren, ertrinken in falscher Dringlichkeit.

Nessus-Produktlinie: Welche Version brauchen Sie wirklich?

Tenable liefert drei Hauptvarianten. Die falsche zu wählen ist ein teurer Fehler.

Nessus Essentials (Kostenlos)

Begrenzt auf 16 IPs. Nützlich für Heimlabore, kleine Teams oder Penetrationstester. Wenn Sie Vulnerability-Scanner-Tools kostenlos evaluieren wollen, ist dies ein vernünftiger Einstiegspunkt — aber kennen Sie die Grenzen.

Nessus Professional

Unbegrenztes IP-Scanning, erweitertes Reporting, Compliance-Auditing gegen CIS Benchmarks und DISA STIGs. Das ist die Arbeitstier-Version, aktuell ca. 4.500–5.000 $/Jahr pro Scanner-Instanz.

Tenable.io / Tenable One

Hier wird Nessus Teil einer breiteren Plattform. Tenable One fügt Attack-Path-Analyse, Exposure-Scoring und MITRE ATT&CK-Integrationen hinzu. Der Preis steigt erheblich — aber auch die Fähigkeiten.

Netzwerk-Vulnerability-Assessment mit Nessus: Was gut aussieht

Ein Vulnerability-Assessment-Beispiel, das Teams oft falsch machen: einen einzelnen Scan gegen ein /16-Subnetz ausführen, die CSV exportieren und ans Ops-Team weiterleiten. Das ist kein Vulnerability-Assessment-Programm. Das ist eine Compliance-Checkbox-Übung.

Effektives Netzwerk-Vulnerability-Assessment hat einige nicht verhandelbare Eigenschaften. Scan-Abdeckung muss verifiziert werden. Scan-Frequenz sollte der Asset-Kritikalität entsprechen: wöchentlich für internet-exponierte Systeme, zweiwöchentlich für interne Server, monatlich für Workstations. CIS Control 7.1 ist hier eindeutig.

Scan-Policy-Tuning

Standard-Scan-Policies sind ein Ausgangspunkt, kein Ziel. Deaktivieren Sie destruktive Plugins in Produktionsumgebungen, passen Sie Port-Bereiche an Ihre Asset-Profile an und aktivieren Sie Compliance-Plugins entsprechend Ihrem regulatorischen Kontext — PCI DSS, HIPAA, DSGVO Artikel 32.

Wie Nessus im Vergleich zu den Top Vulnerability Scanning Tools abschneidet

Das Vulnerability-Scanning-Tools-Landscape 2026 umfasst starke Konkurrenten. OpenVAS/Greenbone ist der Open-Source-Nachfolger des ursprünglichen Nessus-Codes. Qualys VMDR ist Cloud-nativ mit gutem Cloud-zu-On-Prem-Coverage. Rapid7 InsightVM bietet Live-Dashboards und Metasploit-Integration. Trivy, Grype und Syft sind container- und SBOM-fokussiert — keine direkten Nessus-Konkurrenten, sondern Ergänzungen für DevSecOps-Pipelines.

Nessus in ein modernes Vulnerability-Management-Programm integrieren

Der Scanner ist nicht das Programm. NIST SP 800-40 Rev. 4 und NIST CSF 2.0 betonen, dass Scanning ein Input für einen größeren Prozess ist. Die Ausgabe von Nessus fließt in Ihr Risikoregister, Ihre SLA-Verfolgung und Ihr Patch-Management-Workflow ein.

Für Teams in Cloud-Umgebungen deckt Nessus allein nicht das vollständige Bild ab. Cloud Security Posture Management adressiert Fehlkonfigurationen, die ein traditioneller Scanner nicht erkennen kann. Unsere Vulnerability-Management-Lösung und CSPM-Plattform sind speziell dafür ausgelegt, diese Lücken zu schließen und einheitliche Sichtbarkeit über traditionelle Infrastruktur-Findings und Cloud-native Posture-Issues zu bieten.

Vulnerability Assessment in CI/CD-Pipelines

Nessus ist kein natives CI/CD-Tool. Für Anwendungsschicht und Code-Level-Issues ist SAST-Tooling direkt in der Pipeline schneller. Container-Image-Scanning vor dem Deployment ist ein separates Anliegen — unser Container Image Scanning deckt CVEs in Container-Layern ab. Hartcodierte Secrets in Images werden besser durch dediziertes Secret Detection Tooling behandelt.

Was Nessus nicht gut macht

Cloud-native blinde Flecken sind das größte Problem 2026. Nessus kann eine EC2-Instanz scannen — aber es kann nicht bewerten, ob die angehängte IAM-Rolle übermäßige Berechtigungen hat, ob Ihre S3-Bucket-Policy Daten exponiert oder ob Ihre Kubernetes-RBAC-Konfiguration das Least-Privilege-Prinzip verletzt.

Web-Application-Coverage ist oberflächlich. Nessus schließt einige Web-App-Prüfungen ein, ist aber kein DAST-Tool. Das Reporting ist technisch vollständig, aber operativ dicht. Findings, die keine Maßnahmen auslösen, sind funktional gleichwertig mit keinen Findings.

Ein vollständiges Vulnerability-Assessment-Programm aufbauen

Die Architektur sieht so aus: Nessus für Infrastruktur-Scanning, Cloud Posture Management für Cloud-native Exposure, SAST und SCA für Code-Level-Risiken, Container-Scanning für die Software-Supply-Chain. Die Cloud-Security-Lösungen bei SECRAILS sind genau um diese Architektur herum aufgebaut. Compliance-Programme unter NIS2, ISO 27001 und PCI DSS v4.0 erfordern alle nachweisbare Vulnerability-Management-Prozesse — unsere Compliance-Lösungen adressieren die Prozessschicht, die Tooling allein nicht lösen kann.

Frequently Asked Questions

Wofür wird der Nessus Vulnerability Scanner verwendet?

Nessus wird verwendet, um Schwachstellen, Fehlkonfigurationen und fehlende Patches auf Netzwerk-Hosts, Servern und Endpunkten zu identifizieren. Es führt Tausende von Plugin-basierten Prüfungen gegen Zielsysteme durch und ordnet Findings CVEs mit CVSS- und EPSS-Scores zu. Organisationen nutzen es auch für Compliance-Auditing gegen CIS Benchmarks, PCI DSS und DISA STIGs.

Ist Nessus kostenlos nutzbar?

Nessus Essentials ist die kostenlose Stufe, begrenzt auf das Scannen von 16 IP-Adressen. Sie eignet sich für kleinere Assessments, Heimlabore und Evaluationszwecke. Für Produktionsumgebungen, die unbegrenztes IP-Scanning, Compliance-Auditing und erweiterte Berichte erfordern, ist Nessus Professional erforderlich — zu ca. 4.500–5.000 $ pro Jahr.

Was ist der Unterschied zwischen authentifizierten und nicht-authentifizierten Nessus-Scans?

Ein nicht-authentifizierter Scan zeigt, was ein externer Angreifer sieht — offene Ports, exponierte Dienste und Schwachstellen auf Netzwerkebene. Ein authentifizierter (credentialed) Scan verwendet SSH-Keys oder Windows-Admin-Credentials, um installierte Software, Patch-Levels und Konfigurationsdateien von innen zu prüfen. Der Unterschied in den Findings zwischen beiden Ansätzen übersteigt routinemäßig 300%.

Kann Nessus Cloud-Umgebungen und Container scannen?

Nessus kann Cloud-gehostete virtuelle Maschinen und EC2-Instanzen auf Betriebssystemebene scannen, kann aber keine Cloud-nativen Fehlkonfigurationen wie IAM-Policy-Drift, S3-Bucket-Exponierung oder Kubernetes-RBAC-Probleme bewerten. Für Container-Image-Schwachstellen und Software-Supply-Chain-Risiken bieten spezialisierte Tools wie Trivy oder dedizierte Container-Image-Scanning-Plattformen eine deutlich tiefere Abdeckung.

Wie oft sollten Nessus Vulnerability Scans durchgeführt werden?

Die Scan-Frequenz sollte der Asset-Kritikalität und regulatorischen Anforderungen entsprechen. CIS Control 7.1 empfiehlt wöchentliche Scans für internet-exponierte Systeme, zweiwöchentliche für interne Server und monatliche für Workstations als Basis. PCI DSS verlangt vierteljährliche externe Scans durch einen ASV und interne Scans nach signifikanten Infrastrukturänderungen.

Was sind die wichtigsten Alternativen zu Nessus für das Vulnerability Scanning?

Die wichtigsten Alternativen sind OpenVAS/Greenbone (Open-Source, kostenlos, aber langsamere Plugin-Updates), Qualys VMDR (Cloud-nativ mit starkem Asset-Management und TruRisk-Scoring) und Rapid7 InsightVM (exzellente Metasploit-Integration und Remediations-Workflows). Für Container- und Cloud-native Workloads adressieren Tools wie Trivy, Grype und dedizierte CSPM-Plattformen die Lücken, die traditionelle hostbasierte Scanner nicht abdecken können.

Über den Scanner hinausgehen

Nessus deckt Ihre Hosts ab. SECRAILS deckt alles andere ab — Cloud Posture, Container Images, Secrets und Code. Vollständiges Vulnerability Management in einer Plattform.

Vulnerability Management entdecken