Tenable's Nessus ist seit 1998 in Produktionsumgebungen im Einsatz. Kein Tippfehler. Achtundzwanzig Jahre später ist er immer noch der am weitesten verbreitete Vulnerability Scanner weltweit — Tenable gibt an, dass über 30.000 Organisationen ihn nutzen. Aber Langlebigkeit bedeutet nicht automatisch Relevanz, besonders 2026, wo Cloud-native Workloads, containerisierte Deployments und KI-generierter Code die Angriffsfläche grundlegend verändert haben.
Die ehrliche Frage lautet: Ist Nessus noch das richtige Werkzeug für Ihr Vulnerability-Assessment-Programm, oder ist es Legacy-Infrastruktur mit moderner Oberfläche? Dieser Leitfaden arbeitet sowohl die Stärken als auch die blinden Flecken heraus — ohne Vendor-Floskeln.
Was ist Nessus und wie funktioniert es wirklich?
Nessus ist ein aktiver Vulnerability Scanner. Er verbindet sich mit Zielsystemen — über ein Netzwerk oder via authentifiziertem Agenten — und führt eine Reihe von Plugins gegen sie aus. Mitte 2026 liefert Nessus über 215.000 Plugins, die CVEs, Fehlkonfigurationen, Compliance-Benchmarks und Malware-Artefakte abdecken. Jedes Plugin ist im Wesentlichen ein Test: Ist auf diesem Host diese spezifische Schwachstelle vorhanden?
Die Scan-Engine arbeitet in Phasen. Zuerst Host-Discovery und Port-Enumeration (SYN-Scans, UDP-Probes, ICMP). Dann Service-Fingerprinting — Nessus vertraut Portnummern nicht, sondern verhandelt direkt mit dem Dienst. Schließlich Schwachstellenerkennung via Plugin-Ausführung, die gegen NVD, Vendor-Advisories und Tenable's eigenen Research-Feed abgeglichen wird.
Credentialed Scans verändern das Bild dramatisch. Ein nicht-authentifizierter Scan zeigt, was ein Angreifer vom Netzwerkperimeter sieht. Ein credentialed Scan — mit SSH-Keys oder Windows-Admin-Credentials — zeigt, was tatsächlich installiert ist, welche Patches fehlen, was Konfigurationsdateien enthalten. Das Delta bei Findings zwischen beiden Modi übersteigt routinemäßig 300%.
Plugin-Architektur und NASL
Nessus-Plugins werden in NASL (Nessus Attack Scripting Language) geschrieben. Tenable veröffentlicht neue Plugins innerhalb von Stunden nach einer CVE-Veröffentlichung. EPSS-Scores sind nun direkt in Nessus-Findings integriert — die Wahrscheinlichkeit, dass ein bestimmter CVE innerhalb von 30 Tagen in der Praxis ausgenutzt wird. Teams, die nur nach CVSS priorisieren, ertrinken in falscher Dringlichkeit.
Nessus-Produktlinie: Welche Version brauchen Sie wirklich?
Tenable liefert drei Hauptvarianten. Die falsche zu wählen ist ein teurer Fehler.
Nessus Essentials (Kostenlos)
Begrenzt auf 16 IPs. Nützlich für Heimlabore, kleine Teams oder Penetrationstester. Wenn Sie Vulnerability-Scanner-Tools kostenlos evaluieren wollen, ist dies ein vernünftiger Einstiegspunkt — aber kennen Sie die Grenzen.
Nessus Professional
Unbegrenztes IP-Scanning, erweitertes Reporting, Compliance-Auditing gegen CIS Benchmarks und DISA STIGs. Das ist die Arbeitstier-Version, aktuell ca. 4.500–5.000 $/Jahr pro Scanner-Instanz.
Tenable.io / Tenable One
Hier wird Nessus Teil einer breiteren Plattform. Tenable One fügt Attack-Path-Analyse, Exposure-Scoring und MITRE ATT&CK-Integrationen hinzu. Der Preis steigt erheblich — aber auch die Fähigkeiten.
Netzwerk-Vulnerability-Assessment mit Nessus: Was gut aussieht
Ein Vulnerability-Assessment-Beispiel, das Teams oft falsch machen: einen einzelnen Scan gegen ein /16-Subnetz ausführen, die CSV exportieren und ans Ops-Team weiterleiten. Das ist kein Vulnerability-Assessment-Programm. Das ist eine Compliance-Checkbox-Übung.
Effektives Netzwerk-Vulnerability-Assessment hat einige nicht verhandelbare Eigenschaften. Scan-Abdeckung muss verifiziert werden. Scan-Frequenz sollte der Asset-Kritikalität entsprechen: wöchentlich für internet-exponierte Systeme, zweiwöchentlich für interne Server, monatlich für Workstations. CIS Control 7.1 ist hier eindeutig.
Scan-Policy-Tuning
Standard-Scan-Policies sind ein Ausgangspunkt, kein Ziel. Deaktivieren Sie destruktive Plugins in Produktionsumgebungen, passen Sie Port-Bereiche an Ihre Asset-Profile an und aktivieren Sie Compliance-Plugins entsprechend Ihrem regulatorischen Kontext — PCI DSS, HIPAA, DSGVO Artikel 32.
Wie Nessus im Vergleich zu den Top Vulnerability Scanning Tools abschneidet
Das Vulnerability-Scanning-Tools-Landscape 2026 umfasst starke Konkurrenten. OpenVAS/Greenbone ist der Open-Source-Nachfolger des ursprünglichen Nessus-Codes. Qualys VMDR ist Cloud-nativ mit gutem Cloud-zu-On-Prem-Coverage. Rapid7 InsightVM bietet Live-Dashboards und Metasploit-Integration. Trivy, Grype und Syft sind container- und SBOM-fokussiert — keine direkten Nessus-Konkurrenten, sondern Ergänzungen für DevSecOps-Pipelines.
Nessus in ein modernes Vulnerability-Management-Programm integrieren
Der Scanner ist nicht das Programm. NIST SP 800-40 Rev. 4 und NIST CSF 2.0 betonen, dass Scanning ein Input für einen größeren Prozess ist. Die Ausgabe von Nessus fließt in Ihr Risikoregister, Ihre SLA-Verfolgung und Ihr Patch-Management-Workflow ein.
Für Teams in Cloud-Umgebungen deckt Nessus allein nicht das vollständige Bild ab. Cloud Security Posture Management adressiert Fehlkonfigurationen, die ein traditioneller Scanner nicht erkennen kann. Unsere Vulnerability-Management-Lösung und CSPM-Plattform sind speziell dafür ausgelegt, diese Lücken zu schließen und einheitliche Sichtbarkeit über traditionelle Infrastruktur-Findings und Cloud-native Posture-Issues zu bieten.
Vulnerability Assessment in CI/CD-Pipelines
Nessus ist kein natives CI/CD-Tool. Für Anwendungsschicht und Code-Level-Issues ist SAST-Tooling direkt in der Pipeline schneller. Container-Image-Scanning vor dem Deployment ist ein separates Anliegen — unser Container Image Scanning deckt CVEs in Container-Layern ab. Hartcodierte Secrets in Images werden besser durch dediziertes Secret Detection Tooling behandelt.
Was Nessus nicht gut macht
Cloud-native blinde Flecken sind das größte Problem 2026. Nessus kann eine EC2-Instanz scannen — aber es kann nicht bewerten, ob die angehängte IAM-Rolle übermäßige Berechtigungen hat, ob Ihre S3-Bucket-Policy Daten exponiert oder ob Ihre Kubernetes-RBAC-Konfiguration das Least-Privilege-Prinzip verletzt.
Web-Application-Coverage ist oberflächlich. Nessus schließt einige Web-App-Prüfungen ein, ist aber kein DAST-Tool. Das Reporting ist technisch vollständig, aber operativ dicht. Findings, die keine Maßnahmen auslösen, sind funktional gleichwertig mit keinen Findings.
Ein vollständiges Vulnerability-Assessment-Programm aufbauen
Die Architektur sieht so aus: Nessus für Infrastruktur-Scanning, Cloud Posture Management für Cloud-native Exposure, SAST und SCA für Code-Level-Risiken, Container-Scanning für die Software-Supply-Chain. Die Cloud-Security-Lösungen bei SECRAILS sind genau um diese Architektur herum aufgebaut. Compliance-Programme unter NIS2, ISO 27001 und PCI DSS v4.0 erfordern alle nachweisbare Vulnerability-Management-Prozesse — unsere Compliance-Lösungen adressieren die Prozessschicht, die Tooling allein nicht lösen kann.

