Bei Security-SaaS-Unternehmen ist die Scannertechnologie das Herzstück ihrer Plattform: Ohne zuverlässige und effiziente Scanner sind Asset Discovery und Schwachstellenmanagement schlichtweg nicht zukunftssicher. Doch wie viele Sicherheitsexperten wissen, stoßen veraltete Architekturen und Scanner langsam an das Ende ihrer Nutzungsdauer. In diesem Blogbeitrag erläutern wir unsere technischen Entscheidungen und die Gründe für die Erneuerung unserer Scanner-Architektur.
Warum herkömmliche Scanner nicht mehr funktionieren
Scanner liefern oft eine ellenlange Liste gefundener Schwachstellen. Das klingt vielversprechend, doch die Erfahrung zeigt, dass irrelevante Ergebnisse die wahren Risiken verschleiern. Moderne Software und Betriebssysteme verfügen über integrierte Schutzmechanismen; nicht ausnutzbare Schwachstellen treten deutlich häufiger auf als früher. Systembetreiber konzentrieren sich zunehmend auf die Eliminierung von Fehlalarmen und Sonderfällen, während Geschwindigkeit und Relevanz entscheidend geworden sind.
Zudem sind Scans ressourcenintensiv. Das Scannen großer Netzwerke verbraucht immer mehr CPU, RAM und Speicherplatz – herkömmliche Scanner stoßen an ihre Grenzen. Die Zuverlässigkeit der Tools (z. B. OpenVAS) ist beeinträchtigt, und die Wartung wird zur täglichen Aufgabe.
Erschwerend kommt hinzu, dass viele Unternehmen mit einem Fachkräftemangel zu kämpfen haben. Scanner müssen schnell erkennen, wo begrenzte Ressourcen am besten eingesetzt werden, anstatt viel Zeit mit der Suche nach den wirklich wichtigen Schwachstellen zu verschwenden.
Kurz gesagt: Es ist Zeit für einen radikalen Wandel!
Neu, jetzt noch autonomer! Hin zu vollständig Open Source und Community-basiert
Wir ersetzen die neueste proprietäre Scanner-Technologie unserer Lighthouse-Plattform durch einen Open-Source-Stack auf Basis von Nuclei: einer extrem flexiblen Engine, zu der Sie schnell Ihre eigenen Vorlagen und Prüfungen hinzufügen können. Neue Schwachstellen in freier Wildbahn? Die Community erstellt Vorlagen, die automatisch heruntergeladen werden. Nicht abhängig von einem proprietären Anbieter, sondern von einer internationalen Community, die Updates schnell teilt. Das bedeutet, dass wir dank KI schneller auf Exploits und Trends reagieren können, die sich rasant weltweit verbreiten.
Randnotiz: Warum haben wir uns für Nuclei entschieden?
Warum haben wir Nuclei als Grundlage unseres neuen Scanner-Stacks gewählt?
- Nuclei ist eine Open-Source-Engine, entwickelt von und für die Sicherheits-Community. Dank eines globalen Netzwerks von Forschern und Experten werden neue Templates und Exploit-Checks extrem schnell veröffentlicht. Dadurch können wir (und unsere Kunden) blitzschnell auf Zero-Day-Schwachstellen und aktuelle Exploits reagieren – schneller, als viele kommerzielle Anbieter mithalten können.
- Nuclei-Vorlagen sind flexibel (YAML-basiert) und lassen sich ohne umfangreiche Programmierung extrem einfach mit kundenspezifischen Prüfungen oder benutzerdefinierter Geschäftslogik erweitern. So können Sie beispielsweise einzigartige Erkennungen für Ihre eigenen APIs hinzufügen, die für andere irrelevant sind.
- Durch die Verwendung von Feeds werden neue Prüfungen automatisch abgerufen. Wenn beispielsweise eine neue Schwachstelle in einem globalen SonicWall-Netzwerk entdeckt wird, können Sie oft innerhalb weniger Stunden einen neuen Scan auf Basis der kürzlich freigegebenen Vorlage durchführen.
- Guardian360 can also give back to the community in this way: we also add new checks to the repository ourselves
KI-Einsatz in der Scannerentwicklung und im Reporting
KI im Bereich IT-Sicherheit bedeutet oft viel Marketing-Gerede, aber wenig konkrete Umsetzung. Wir setzen KI jedoch gezielt in zwei neuen Bereichen unserer Technologie ein. Erstens hilft KI bei der Generierung und Anreicherung von Scannervorlagen und beschleunigt so die Entwicklung erheblich. Zweitens verbessert KI die Scan-Ergebnisse: mehr Kontext, zusätzliche Tipps und konkrete Überprüfungen ermöglichen es Nutzern, sofort festzustellen, ob Probleme vorliegen – relevant für alle, die nicht mehr generische CVE-Listen durchsuchen möchten. KI ist nicht nur ein cooles Schlagwort im Dashboard, sondern ein Beschleuniger für Entwickler und eine wertvolle Ressource für Endnutzer. Der Scannerwechsel ist mehr als ein technisches Upgrade: Er ist eine Vision für relevantere Erkenntnisse, geringeren Aufwand und einen offenen, flexiblen Ansatz. Als Sicherheitsingenieur, Architekt oder Asset-Verantwortlicher werden Sie den Unterschied in Geschwindigkeit, Relevanz und Zuverlässigkeit sofort bemerken. In unserem nächsten Blogbeitrag gehen wir detaillierter auf die Einführung der Agenten ein und zeigen Ihnen, wie Ihr Unternehmen diesen Schritt ohne Systemüberlastung umsetzen kann.
Wie sieht unser Zeitplan aus?
Wir testen derzeit die neue Scannertechnologie an Sonden in unserer Testumgebung. Die ersten Ergebnisse sind vielversprechend, aber es bleibt noch viel zu tun. Dazu gehören die Vorbereitung unserer zentralen Scannerumgebung, die Bereitstellung neuer APIs und die Vorbereitung unserer Backend-Infrastruktur zur Verarbeitung der Scan-Ergebnisse. Wir gehen derzeit davon aus, die neuen Scanner Mitte des ersten Quartals 2026 auszuliefern. Aufgrund vieler Unsicherheiten kann sich dieser Liefertermin jedoch verschieben.
Sobald die neuen Scanner ausgeliefert und produktiv im Einsatz sind, werden wir die Entwicklung der Agenten fortsetzen. Da bereits viel Grundlagenarbeit geleistet wurde, erwarten wir, dass die ersten Agenten kurz nach der Auslieferung der Scanner einsatzbereit sein werden. Feste Zusagen können wir jedoch noch nicht machen: Wir wissen nicht, was wir nicht wissen.
evolution){kind=link}