Von Hakan Akcan · Reepa Solutions
Wenn ein Datenschutz-Vorfall in einem mittelständischen Unternehmen aufgearbeitet wird, ist die häufigste Erkenntnis nicht „wir wussten von nichts“, sondern „wir hätten es wissen müssen“. Eine Schwachstelle, die seit Monaten in einem öffentlichen Bulletin steht, eine vergessene Internet-Adresse aus einem alten Projekt, ein Server, der nie im Scan-Bereich aufgetaucht ist — solche Lücken sind in fast jedem Vorfall-Bericht zu finden, der auf unserem Tisch landet. Für Geschäftsführung, CFO und IT-Leitung bedeutet das eine doppelte Last: Erstens drohen Bußgelder nach DSGVO Artikel 32, wenn die technischen und organisatorischen Maßnahmen nicht dem Stand der Technik entsprechen. Zweitens verpflichtet NIS2 viele mittelständische Unternehmen seit Oktober 2024 zu strukturierter Schwachstellen-Erkennung und -Behandlung. Ein passendes Vulnerability-Management-Tool ist damit kein technisches Nice-to-have mehr, sondern ein Vorstandsthema mit Haftungs-Bezug. Dieser Vergleich ordnet die Kategorien, nennt die wichtigsten Vendoren mit Kosten-Rahmen und liefert eine klare Entscheidungs-Matrix für die Frage Inhouse-Lizenz oder externer Dienstleister. Detaillierter zur Einbettung in die Gesamtstrategie siehe unseren Cybersecurity-Guide für den Mittelstand.
Warum die Tool-Auswahl heute Haftungsrelevanz hat
Schwachstellen-Management war lange eine reine IT-Disziplin, geführt vom System-Administrator. Diese Zeit ist vorbei. Mit NIS2 §21 wird die kontinuierliche Erkennung und Behandlung von Schwachstellen zur dokumentationspflichtigen Vorstands-Aufgabe — Geschäftsleitungen haften persönlich, wenn sie ihre Aufsichtspflicht nicht erfüllen. Die DSGVO verlangt mit Artikel 32, dass die technischen Maßnahmen dem Stand der Technik entsprechen. Wer in einem Audit nicht belegen kann, dass eine kontinuierliche Schwachstellen-Erkennung läuft, hat im Streitfall die schlechtere Position. Cyber-Versicherer haben darauf reagiert: Ohne nachweisbaren Schwachstellen-Management-Prozess gibt es heute keine Police mehr oder die Prämie verdoppelt sich.
Der zweite Treiber ist operativ. In den vergangenen achtzehn Monaten haben wir bei Reepa Solutions wiederholt gesehen, dass mittelständische Unternehmen mit zwischen 100 und 800 Mitarbeitenden im Schnitt zwischen 15 und 40 Prozent ihrer Internet-Assets selbst nicht kennen — alte Subdomains, Test-Systeme, Cloud-Ressourcen aus abgeschlossenen Projekten, Geräte aus Tochtergesellschaften. Diese vergessenen Bereiche sind die häufigste Ursache für Vorfälle, weil sie nie gepatcht und nie überwacht werden. Ein modernes Vulnerability-Management-Tool muss deshalb nicht nur bekannte Assets prüfen, sondern auch die Außensicht liefern — die Sicht eines externen Beobachters auf Ihr Unternehmen.
Drittens schiebt der Markt für Lieferanten-Audits die Tool-Auswahl in den Vordergrund. Industrielle Auftraggeber, Versicherer und große öffentliche Stellen fordern in ihren Sicherheits-Fragebögen heute regelmäßig den Nachweis eines kontinuierlichen Schwachstellen-Management-Prozesses inklusive Tool-Stack. Wer das nicht vorlegen kann, scheidet aus Ausschreibungen aus. Diese drei Treiber zusammen — Regulierung, Außensicht, Lieferanten-Druck — machen die Tool-Auswahl zum strategischen Entscheidungspunkt der nächsten zwölf Monate.
Vier Kategorien — was deckt welches Werkzeug ab
Vor dem Vendor-Vergleich braucht es Klarheit über die Kategorien. „Vulnerability Management“ ist ein Oberbegriff für vier unterschiedliche Werkzeug-Klassen, die sich überlappen, aber nicht ersetzen. Die folgende Übersicht ordnet die Funktion einer Kategorie zu, nicht einem Produkt-Namen — Vendoren bedienen meistens mehrere Kategorien gleichzeitig.
| Kategorie | Was sie liefert | Wer braucht sie |
|---|---|---|
| Klassischer Schwachstellen-Scanner | Authentifizierte und nicht-authentifizierte Prüfung bekannter Systeme gegen eine CVE-Datenbank | Jedes Unternehmen mit eigenen Servern, Endgeräten oder Cloud-Workloads |
| Attack Surface Management (ASM) | Externe Discovery aller Internet-Assets über Domains, Zertifikate, Cloud-Bereiche — auch der unbekannten | Unternehmen mit Webpräsenz, Cloud-Diensten oder verteilten Standorten |
| Priorisierungs-Engine (VPT, EPSS, KEV) | Konsolidiert Befunde aus mehreren Scannern, gewichtet nach Threat-Intelligence und Geschäftsrelevanz | Unternehmen mit mehreren parallelen Tools und mehr als 5.000 offenen Befunden |
| Threat-Intelligence-Feed | Aktuelle Informationen, welche Schwachstellen aktiv ausnutzbar sind und in welcher Branche | Als Add-on jedes größeren Tools — selten als reines Standalone |
Die wichtige Trennung in der Praxis lautet: Schwachstellen-Scanner sehen das, was Sie ihm zeigen. Attack-Surface-Management sieht das, was Sie vergessen haben. Beide sind komplementär. Wir empfehlen mittelständischen Unternehmen, mit einem klassischen Scanner für die interne Inventur zu starten und parallel eine ASM-Lösung für die Außensicht einzuführen — sobald das Unternehmen mehr als 30 Internet-Domains, mehrere Cloud-Anbieter oder Tochtergesellschaften betreibt.
Sechs Vendoren im Direktvergleich
Der Markt ist konsolidiert, aber nicht monolithisch. Die folgende Liste fasst die für deutsche Mittelständler relevanten Vendoren kurz zusammen — keine vollständige Markt-Analyse, sondern die Auswahl, die in unseren Mandaten regelmäßig auf der Bewerter-Liste steht. Die Kosten-Angaben sind Richtwerte aus realen Mandaten 2024 bis 2026 und können je nach Verhandlung deutlich abweichen.
- Tenable Nessus / Tenable Vulnerability ManagementMarktführer im klassischen Scanner-Segment. Nessus Professional als Stand-alone-Werkzeug für kleinere Umgebungen, Tenable Vulnerability Management als Cloud-Plattform mit Asset-Discovery und Priorisierung über das Vulnerability Priority Rating. Stärken: breite Erkennungstiefe, ausgereifte Berichte. Kosten: Nessus Professional rund 4.000 Euro pro Jahr, Tenable VM ab etwa 15 Euro pro Asset und Jahr.
- Qualys VMDRCloud-native Plattform mit Modulen für Asset-Discovery, Patch-Verwaltung und Endpoint-Detection. Stärken: gute Integration in Patch-Werkzeuge, solide Cloud-Compliance-Module. Schwächen: kann bei kleinen Setups überdimensioniert wirken. Kosten: meistens IP-basiert, in deutschen Mittelstands-Setups zwischen acht und zwanzig Euro pro IP und Jahr.
- Rapid7 InsightVMStark in der Risiko-Bewertung mit der RealRisk-Score-Methode. Gute Integrationsbreite zu SIEM, ITSM und Container-Tools. Stärken: aussagekräftige Vorstands-Berichte, klare Trend-Visualisierung. Kosten: ab etwa 12 Euro pro Asset und Jahr im Standard-Tier, mit InsightConnect-Automation deutlich mehr.
- Nucleus SecurityReine Priorisierungs-Engine ohne eigenen Scanner. Konsolidiert Befunde aus Tenable, Qualys, Rapid7, Snyk, Burp und mehr in einer Risiko-Sicht. Stärken: ideal bei drei oder mehr parallelen Scannern, schnelle Konsolidierung. Schwächen: braucht bestehende Scanner als Datenquelle. Kosten: pro Asset, Spanne sechs bis fünfzehn Euro pro Jahr.
- Holm SecuritySchwedischer Anbieter mit DSGVO-konformem Hosting in der EU und kombiniertem Angebot aus Schwachstellen-Scan und Phishing-Simulation. Stärken: starke EU-Datenschutz-Story, vergleichsweise günstige Einstiegs-Pakete. Schwächen: kleinere Erkennungs-Datenbank als die US-Marktführer. Kosten: ab etwa 6.000 Euro pro Jahr für mittlere Umgebungen.
- Greenbone OpenVAS / Greenbone EnterpriseOpen-Source-Wurzeln, kommerzielle Enterprise-Edition mit BSI-Nähe und Hosting in Deutschland. Stärken: keine Lizenzkosten bei der OpenVAS-Variante, hohe Akzeptanz bei deutschen Compliance-Auditoren. Schwächen: weniger Komfort, mehr Betriebs-Aufwand inhouse. Kosten: OpenVAS kostenlos plus Betriebs-Aufwand; Enterprise-Appliances ab etwa 8.000 Euro pro Jahr.
Für die Vollständigkeit erwähnt: Anbieter wie Microsoft Defender Vulnerability Management decken Endgeräte sehr gut ab und sind in vielen Microsoft-365-E5-Lizenzen bereits enthalten — eine sinnvolle Ergänzung, ersetzt aber keinen umfassenden Server- und Netzwerk-Scanner. Für reines Cloud-Schwachstellen-Management spielt zudem Wiz eine zunehmend wichtige Rolle.
Was kostet das Ganze realistisch?
Die Lizenz-Kosten sind nur ein Teil der Gesamtkosten. Wer für ein mittelständisches Unternehmen mit 500 bis 1.500 Mitarbeitenden ein Vulnerability-Management aufbaut, sollte die folgenden drei Kosten-Blöcke einkalkulieren:
| Kosten-Block | Spanne pro Jahr | Anmerkung |
|---|---|---|
| Tool-Lizenz (Scanner + ASM) | 10.000 – 60.000 € | Stark abhängig von Asset-Anzahl und Add-ons |
| Implementierung und Tuning (Jahr 1) | 15.000 – 40.000 € | Asset-Inventur, Scan-Profile, Berichts-Vorlagen |
| Laufender Betrieb (intern) | 0,3 – 1,0 FTE | Triage, Berichtswesen, Reaktion auf Befunde |
| MSSP-Variante statt FTE | 20.000 – 80.000 € | Inkludiert Tool-Lizenz, Triage und Monats-Bericht |
Die häufigste Fehl-Annahme in Mittelstands-Projekten lautet, die Lizenz sei der Hauptkosten-Punkt. In der Realität liegen die Betriebs- und Triage-Kosten in den ersten zwei Jahren typischerweise doppelt so hoch wie die Lizenz selbst — schlicht weil Befunde nicht von selbst zu Tickets, zu Patches und zu Berichten werden. Wer die laufende Pflege nicht einplant, kauft ein Tool, das ohne Wirkung in der Ecke steht.
Kostenlose Tool-Auswahl-Bewertung
Sie überlegen, welches Tool oder Modell zu Ihrer Umgebung passt? Wir bieten eine kostenlose Erst-Bewertung an: 30 bis 45 Minuten Gespräch, fokussierte Bestands-Aufnahme, eine ehrliche Empfehlung pro Kategorie und ein realistischer Aufwand-Rahmen.
Kostenlose Tool-Auswahl-Bewertung anfordern
Kompakter Einstieg ohne Kosten und ohne Verpflichtung. Sie erhalten eine fundierte Außensicht auf Ihre aktuelle Schwachstellen-Management-Reife und konkrete Empfehlungen, welche Tool-Klasse Priorität hat.
Kostenlose Tool-Auswahl-Bewertung anfordernInhouse oder MSSP — wann lohnt sich welcher Weg?
Die Frage, ob ein Vulnerability-Management-Tool inhouse betrieben oder über einen Managed Security Service Provider bezogen wird, ist die wichtigste Weichenstellung in der Tool-Auswahl. Sie hängt weniger vom Geschäftsmodell ab als von drei Faktoren: vorhandene Personalkapazität, Asset-Anzahl und Reife der bestehenden Sicherheits-Prozesse.
| Indikator | Inhouse-Lizenz sinnvoll | MSSP-Modell sinnvoll |
|---|---|---|
| Asset-Anzahl gesamt | Über 2.000 Assets | Unter 2.000 Assets |
| Dediziertes Personal | Mindestens 0,5 FTE verfügbar | Unter 0,3 FTE realistisch |
| Bestehende SIEM-/SOC-Anbindung | Vorhanden | Nicht vorhanden |
| Compliance-Berichts-Bedarf | Eigenes Reporting möglich | Externer Bericht hilfreich |
| Branchenkontext | Hohe Sonderanforderungen (Gesundheit, KRITIS) | Standard-Branchen ohne KRITIS-Status |
| Geografische Streuung | Ein zentraler IT-Standort | Verteilte Niederlassungen |
Eine eigene Beobachtung aus jüngeren Mandaten: In mittelständischen Unternehmen mit unter 500 Mitarbeitenden ist das MSSP-Modell in etwa drei Viertel der Fälle die wirtschaftlichere Wahl, weil der Triage-Aufwand intern unterschätzt wird. Ab etwa 1.500 Mitarbeitenden kippt das Bild — dann wird die laufende Eigen-Verantwortung in der Regel kosteneffizienter, vorausgesetzt das interne IT-Team hat die nötige Kapazität. Wer Hybrid fährt — Lizenz inhouse, Triage und Reaktion über externen Dienstleister — bekommt häufig das Beste aus beiden Welten, zahlt aber für die Koordination zwischen den beiden Seiten.
Sechs Auswahl-Kriterien für die finale Entscheidung
Wer einen Anbieter testet, sollte die Auswahl auf wenige harte Kriterien stützen statt auf Funktions-Listen. Die folgende Liste fasst die sechs Fragen zusammen, die in unseren Beratungs-Mandaten regelmäßig den Unterschied zwischen passendem und unpassendem Tool ausmachen.
- Asset-Discovery: erkennt das Tool unsere unbekannten Assets? Lassen Sie das Werkzeug in einer Test-Phase laufen und vergleichen Sie die Ergebnisse mit Ihrer offiziellen Asset-Liste. Wenn das Tool weniger findet als Sie selbst kennen, ist es kein ASM-Werkzeug.
- Priorisierung: liefert das Tool eine begründbare Risiko-Reihenfolge? Ein Befund von 5.000 ist ein Stapel, eine Top-50-Liste mit Begründung ist eine Roadmap. Prüfen Sie, ob das Tool diese Reduktion automatisch leistet.
- Compliance-Berichte: passen die Vorlagen zu DSGVO, NIS2, ISO 27001? Vorgefertigte Berichts-Vorlagen für deutsche Auditoren sparen mehr Tage als die Lizenz kostet. Fragen Sie nach Beispiel-Berichten aus deutschen Mandaten.
- Integration: spricht das Tool mit Jira, ServiceNow und Ihrem SIEM? Befunde, die nicht automatisch zu Tickets werden, bleiben offen. Prüfen Sie die Integrations-Tiefe konkret an einem End-to-End-Workflow.
- Daten-Hoheit und EU-Hosting: wo liegen die Scan-Ergebnisse? Für viele deutsche Mittelständler ist EU- oder DACH-Hosting eine harte Anforderung. Klären Sie das vor dem Pilot, nicht danach.
- Support: wie schnell kommt eine deutschsprachige Antwort? Stellen Sie eine inhaltliche Frage über das Support-Portal vor Vertrags-Abschluss. Die Antwort-Zeit ist ein verlässlicher Indikator für die spätere operative Erfahrung.
Diese sechs Fragen sind bewusst pragmatisch — sie ersetzen keinen vollständigen Auswahl-Prozess, aber sie schließen die häufigsten Fehlentscheidungen aus. Wer alle sechs gegen drei Anbieter laufen lässt, hat in der Regel innerhalb von vier Wochen eine fundierte Empfehlung. Für die Einbettung in den breiteren Cybersecurity-Plan empfehlen wir den Querverweis zu unserem Cluster zur ISO 27001 Zertifizierung Kosten und zur DSGVO IT-Sicherheits-Checkliste.
Häufige Fragen
Was ist der Unterschied zwischen einem Schwachstellen-Scanner und einer Attack-Surface-Management-Plattform?
Ein klassischer Scanner prüft Systeme, die Sie ihm bekannt machen — Sie pflegen IP-Bereiche, Hostnamen und Anmeldedaten ein, der Scanner liefert eine Schwachstellen-Liste. Attack-Surface-Management dreht die Logik um: Die Plattform findet eigenständig Ihre Internet-Assets über Domains, Zertifikate und Cloud-Discovery — auch die, die Sie vergessen haben. In der Praxis brauchen mittelständische Unternehmen beides: einen Scanner für die bekannten Server intern und ein ASM-Werkzeug für die unvollständige Außensicht.
Welches Tool eignet sich für 50 bis 200 Mitarbeitende?
Für diese Größenordnung sind Tenable Nessus Professional, Qualys VMDR Express oder eine Greenbone-Lösung mit eigener Verwaltung üblich. Entscheidend ist die Asset-Anzahl, nicht die Mitarbeiterzahl. Wer unter 500 IT-Assets hat — Server, Endgeräte, Cloud-Workloads zusammen — kommt mit einem klassischen Scanner aus. Ab etwa 1.000 Assets oder bei verteilten Cloud-Umgebungen lohnt sich eine größere Plattform mit Cloud-Discovery und Priorisierungs-Engine.
Lohnt sich ein MSSP statt einer eigenen Tool-Lizenz?
Ein Managed Security Service Provider lohnt sich, wenn Sie weniger als eine Vollzeit-Stelle für Schwachstellen-Management bereitstellen können. Reine Tool-Lizenzen sind günstiger als ein MSSP, aber Tools ohne Bedienung liefern keinen Mehrwert. Wir empfehlen Inhouse-Tooling erst ab etwa 2.000 Assets und einer dedizierten Person mit 50 Prozent Zeit. Darunter ist ein MSSP-Modell mit monatlicher Berichts-Kadenz in der Regel die wirtschaftlichere Wahl.
Wie sind die Lizenzkosten der großen Vendoren strukturiert?
Tenable und Rapid7 rechnen meistens pro Asset und Jahr ab, Qualys oft pro IP-Adresse. Realistische Spannen für mittelständische Umgebungen liegen bei zehn bis dreißig Euro pro Asset und Jahr im Standard-Tier, höher bei Enterprise-Editionen mit Threat-Intelligence-Add-ons. Hinzu kommen Implementierungs-Aufwand und laufende Pflege — Tool-Lizenz allein ist erfahrungsgemäß nur ein Drittel der Gesamtkosten der ersten zwei Jahre.
Brauchen wir wirklich eine Priorisierungs-Engine wie Nucleus Security?
Sobald Sie mehrere Scanner parallel betreiben — etwa Tenable für interne Server, Burp Suite für Web-Anwendungen, Snyk für Code-Abhängigkeiten — wird die Konsolidierung der Befunde zum Engpass. Eine Priorisierungs-Engine sortiert Tausende von Befunden nach Geschäftsrelevanz, Threat-Intelligence und Exploit-Verfügbarkeit. Für Unternehmen mit nur einem Scanner-Anbieter und einer überschaubaren Asset-Liste ist eine separate Priorisierungs-Engine in der Regel überdimensioniert.
Reicht ein Open-Source-Tool wie Greenbone OpenVAS aus?
Für eine reine Bestands-Aufnahme und das technische Scannen — ja, Greenbone liefert solide Ergebnisse, insbesondere im deutschen Markt durch die BSI-Nähe. Was kommerzielle Plattformen zusätzlich liefern, ist die Priorisierung nach Threat-Intelligence, die Cloud-Native-Integration, der Asset-Discovery-Komfort und der professionelle Support. Wer das selbst aufbauen kann oder will, fährt mit Greenbone gut. Wer schnelle Time-to-Value braucht, zahlt für die kommerziellen Werkzeuge meist gerne.
Bereit, das passende Tool für Ihre Umgebung auszuwählen?
Sprechen wir 30 Minuten unverbindlich. Wir gehen mit Ihnen Ihre Asset-Landschaft durch, ordnen Ihre Anforderungen den vier Tool-Kategorien zu und liefern eine ehrliche Empfehlung — Inhouse oder MSSP — und einen realistischen Fahrplan. Eine umfassende Einbettung in den Sicherheits-Prozess beschreibt unser Cybersecurity-Pillar-Guide.
30-minütiges Gespräch vereinbaren
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Entwickelt mit seinem Team Reepa Security, eine offensive Audit-Plattform für den Mittelstand. Schreibt regelmäßig über Schwachstellen-Management, NIS2, DSGVO-Compliance und Tool-Auswahl im DACH-Markt.
Geprüft am: 22. Mai 2026 · Mehr über Hakan