Secrails LogoSECRAILS
Secrails LogoSECRAILS
Anmelden
Zurück zum BlogSchwachstellen-Management

OpenVAS in 2025: Der vollständige Leitfaden für Open-Source-Schwachstellenscans

secrails··
openvasvulnerability scanningopen source securitynetwork securityvulnerability management
OpenVAS in 2025: Der vollständige Leitfaden für Open-Source-Schwachstellenscans

Warum OpenVAS in einem von kostenpflichtigen Scannern überschwemmten Markt noch immer relevant ist

Tenables Threat Landscape Report 2024 dokumentierte über 26.000 neu offengelegte CVEs in einem einzigen Jahr – und die Zahl steigt weiter. Kommerzielle Schwachstellenscanner wie Qualys, Rapid7 und Tenable Nessus dominieren Unternehmensverträge. Für Sicherheitsteams mit begrenztem Budget – oder Security Engineers, die wirklich verstehen wollen, was unter der Haube passiert – bleibt OpenVAS eines der leistungsfähigsten Vulnerability-Management-Tools ohne Lizenzkosten.

Es als „kostenloses Nessus-Pendant" zu bezeichnen, wird dem Tool bei Weitem nicht gerecht. OpenVAS, jetzt als Teil des Greenbone Vulnerability Management (GVM) Frameworks verpackt, liefert über 100.000 Network Vulnerability Tests (NVTs). Es unterstützt authentifizierte Scans, Compliance-Auditing nach CIS Benchmarks und PCI-DSS und erzeugt strukturierte Ausgaben, die sich sauber in SIEM-Pipelines integrieren lassen. Das ist kein Spielzeug – das ist Infrastruktur.

Dieser Leitfaden beleuchtet, was OpenVAS in 2025 wirklich gut kann, wo es im Vergleich zu anderen Schwachstellen-Scan-Tools schwächelt und wie Sie einen Scan-Workflow aufbauen, der verwertbare Ergebnisse liefert.

Was OpenVAS ist – und was nicht

OpenVAS entstand 2005 als Fork von Nessus, nachdem Tenable auf ein proprietäres Lizenzmodell umgestellt hatte. Greenbone Networks übernahm die Verwaltung und pflegt das Projekt seitdem. Die aktuelle Architektur unter GVM 22.x trennt die Scanner-Engine (OpenVAS Scanner), die Management-Schicht (gvmd) und die Web-Oberfläche (GSA). Sie kommunizieren über das Greenbone Management Protocol (GMP).

Das Verständnis dieser Architektur ist wichtig, da sie beeinflusst, wie Sie Scans automatisieren, Ergebnisse in Ticketing-Systeme übertragen und in umfassendere Sicherheitsplattformen integrieren. Die GMP-API ist gut dokumentiert und wirklich nützlich – Sie können Scans auslösen, Ergebnisse abrufen und Targets programmatisch verwalten, ohne die Oberfläche zu berühren.

Was OpenVAS nicht ist: ein cloud-nativer SaaS-Scanner. Er bietet nicht die Asset-Discovery-Breite einer Plattform wie Cloud Inventory-Tools für dynamische Umgebungen. Er versteht Container-Layer nicht nativ wie Trivy und liefert keinen Laufzeit-Kontext wie Falco oder eine CSPM-Lösung. Es ist ein Netzwerk- und Host-Schwachstellenscanner – und in diesem Bereich ist er hervorragend.

Deployment in 2025: Der praktische Weg

Docker-basiertes Deployment

Der schnellste Weg, OpenVAS zum Laufen zu bringen, ist über Greenbone's offiziellen Docker Compose Stack. Der erste NVT-Sync dauert 20-40 Minuten. Dies ist kein optionaler Schritt – ohne aktuellen Feed sind Ihre Scan-Ergebnisse veraltet.

Scan-Konfiguration: Nicht die Standardeinstellungen verwenden

OpenVAS kommt mit verschiedenen Scan-Konfigurationen, von "Discovery" bis "Full and very deep". Die Versuchung ist groß, überall den tiefsten Scan zu verwenden. Widersetzen Sie sich. Ein praktischer Ansatz: Starten Sie mit "Full and fast" für die initiale Baseline, dann fügen Sie authentifizierte Scans hinzu. Der Unterschied in der CVE-Abdeckung zwischen authentifizierten und nicht authentifizierten Scans beträgt typischerweise 60-70% mehr Funde bei aktivierter Authentifizierung.

Für Compliance-Anforderungen eignet sich die Kombination mit einem Policy-as-Code-Ansatz, um eine systematische Behebung zu gewährleisten.

Ergebnisse interpretieren ohne sich zu verlieren

OpenVAS verwendet ein CVSS-basiertes Schweregradssystem. Allerdings sind CVSS-Basiswerte allein ein schlechter Priorisierungsmechanismus. Ein CVSS 9.8 RCE auf einem isolierten internen Server ist weniger dringend als eine CVSS 7.2-Schwachstelle mit öffentlichem Exploit auf einem internet-zugänglichen Asset. EPSS-Scores (Exploit Prediction Scoring System) sind ein besseres Priorisierungssignal in Kombination mit Ihren Asset-Expositionsdaten.

OpenVAS zeigt EPSS-Scores nicht nativ an. Für eine umfassende Lösung bietet SECRAILS Vulnerability Management integrierte Risikopriorisierung mit Kontextanreicherung.

Echte Grenzen, die Sie kennen müssen

OpenVAS hat echte Schwächen. Web-Application-Scanning ist oberflächlich – es ist kein DAST-Tool. Die Scan-Performance bei großen Umgebungen ist eine Herausforderung; das Community-Edition ist im Wesentlichen Single-Node. Falsch-Positivrate ist real und erfordert aktives Tuning.

Für cloud-native Umgebungen stößt OpenVAS an seine Grenzen. Cloud Security-Tooling hat sich aus gutem Grund getrennt von traditionellen Netzwerkscannern entwickelt. Die richtige Antwort für die meisten Organisationen ist OpenVAS und cloud-natives Scanning – angewendet auf den jeweils geeigneten Scope.

CTA: Gehen Sie beim Vulnerability Management weiter

OpenVAS ist ein leistungsstarker Ausgangspunkt, aber Vulnerability Management im großen Maßstab erfordert mehr als einen Scanner. SECRAILS Vulnerability Management integriert Findings über Ihre gesamte Cloud-Infrastruktur, Container, Code und Netzwerk – mit einheitlichem Risikokontext und Behebungs-Workflows. Erkunden Sie unsere VM Scans Plattform und bauen Sie ein kontinuierliches Vulnerability-Management-Programm auf.

Frequently Asked Questions

Ist OpenVAS wirklich kostenlos für den Produktionseinsatz?

Ja, die Greenbone Community Edition von OpenVAS ist unter der GPL-Lizenz vollständig kostenlos und Open Source. Es gibt keine IP-Limits, keine Feature-Paywalls für die Kernscan-Funktionalität und keine zeitlichen Einschränkungen. Greenbone bietet kostenpflichtige Enterprise-Appliances und Support-Verträge für Organisationen an, die SLAs und dedizierten Support benötigen.

Wie schneidet OpenVAS im Vergleich zu Nessus Essentials für kleine Teams ab?

Nessus Essentials ist auf 16 IPs begrenzt, was es für die meisten realen Umgebungen unpraktisch macht. OpenVAS hat keine solche Beschränkung und bietet vergleichbare NVT-Abdeckung für Netzwerk- und Host-Schwachstellenscans. Der Kompromiss besteht darin, dass Nessus Essentials eine deutlich ausgefeiltere Benutzeroberfläche hat und Tenables Plugin-Qualität generell als etwas präziser gilt.

Kann OpenVAS Cloud-Infrastruktur wie AWS oder Azure scannen?

OpenVAS kann Cloud-Instanzen als Netzwerk-Targets scannen, wenn sie erreichbar sind. Es nutzt jedoch keine Cloud-Provider-APIs für die Asset-Discovery, sodass ephemere oder auto-skalierte Instanzen möglicherweise nicht erfasst werden. Für umfassendes Cloud-Vulnerability-Management wird die Kombination mit cloud-nativen Tools empfohlen.

Wie oft sollte ich den NVT-Feed in OpenVAS aktualisieren?

Tägliche Updates sind die Standardempfehlung. Greenbone veröffentlicht kontinuierlich NVT-Updates, wenn neue Schwachstellen offengelegt werden. Ein Scanner mit einem eine Woche alten Feed bedeutet, dass Sie möglicherweise kürzlich offengelegte hochschwere CVEs verpassen. Automatisieren Sie die Feed-Synchronisierung als Teil der täglichen Wartungsroutine Ihres Scanners.

Was sind die Systemanforderungen für OpenVAS über Docker?

Greenbone empfiehlt mindestens 4 CPU-Kerne, 8 GB RAM und 20 GB Festplattenspeicher für den Community Edition Docker Stack. In der Praxis wächst die PostgreSQL-Datenbank für die Speicherung von Scan-Ergebnissen erheblich, daher ist die Zuweisung von 50-100 GB für den Produktionseinsatz realistischer. SSD-Speicher wird dem herkömmlichen Festplattenspeicher stark vorgezogen.