Wenn Sie schon länger mit Schwachstellenscannern arbeiten, kennen Sie das Muster: Sie führen einen Scan aus, erhalten eine riesige Liste, sortieren nach Schweregrad und beginnen, die roten Punkte abzuarbeiten.
Das funktioniert – bis es nicht mehr funktioniert.
Denn die Realität im Jahr 2026 ist folgende: Schwachstellendaten explodieren, das Verhalten von Angreifern ändert sich rasant und die knappste Ressource in den meisten IT Teams sind nicht die Tools, sondern die Zeit.
Deshalb nimmt Guardian360 zwei wesentliche Änderungen an Lighthouse vor:
- Wir ersetzen unser Scanner Arsenal, also unseren Scan Maschinenraum.
- Wir führen einen risikobasierten Ansatz ein, der technische Findings mit Geschäftsrisiken verknüpft und an ISO 27001, NIS2 und anderen Frameworks ausgerichtet ist.
Und ja, für viele Partner und Kunden wird das eine berechtigte Frage aufwerfen:
„Werden wir weniger Schwachstellen sehen und ist das tatsächlich sicher?“
Lassen Sie uns aufschlüsseln, warum wir diese Entscheidungen treffen und weshalb weniger, dafür relevantere Findings oft zu besseren Ergebnissen, besseren Einblicken und einer deutlich effizienteren Nutzung wertvoller Arbeitsstunden führen.
1. Warum wir unser Scanner Arsenal ersetzen
Wir bauen die Grundlage neu auf, um Scanning wie folgt zu gestalten:
- Zuverlässiger, mit konsistenteren Ergebnissen und weniger Überraschungen in Randfällen
- Schneller, mit weniger Wartezeiten und kontinuierlicherer Transparenz
- Leichter, mit geringerem Footprint und weniger operativem Overhead
Dahinter steckt auch ein strategischer Grund:
Weg von virtuellen Maschinen, hin zu Agenten
Viele Scan Lösungen basieren heute noch stark auf virtuellen Maschinen und schweren Deployments. Unsere Richtung ist klar: Agentenbasierte Fähigkeiten ermöglichen, sodass Partner und Kunden Abdeckung erhalten, ohne standardmäßig virtuelle Appliances betreiben zu müssen.
Das ist kein Wandel um des Wandels willen. Es geht darum, eine Scan Plattform aufzubauen, die bereit ist für die nächste Phase von Lighthouse: kontinuierliche Einblicke, geringere operative Reibung und besser umsetzbare Ergebnisse.
2. Warum wir einen risikobasierten Ansatz einführen und weshalb er besser zu ISO 27001 und NIS2 passt
Die meisten Scanner sind darauf ausgelegt, eine einzelne technische Frage zu beantworten:
„Wie schwerwiegend ist diese Schwachstelle?“
ISO 27001, NIS2 und moderne Sicherheitsgovernance verlangen jedoch die Beantwortung einer anderen Frage:
„Was bedeutet das für unsere Organisation und was sollten wir zuerst tun?“
Dieser Perspektivwechsel ist entscheidend, denn technische Schwere allein definiert kein Geschäftsrisiko. Geschäftsrisiko ist kontextabhängig: Wo befindet sich die Schwachstelle, was ist betroffen und was passiert, wenn sie ausgenutzt wird.
CIA: die fehlende Komponente bei rein schwergradbasierter Schwachstellenverwaltung
Ein praktikabler Weg, diesen Kontext greifbar zu machen, ist das klassische CIA Triad:
- Vertraulichkeit: führt eine Ausnutzung zur Offenlegung sensibler Informationen wie Kundendaten, geistigem Eigentum, Zugangsdaten oder medizinischen Daten?
- Integrität: ermöglicht eine Ausnutzung die Manipulation von Daten, Transaktionen, Konfigurationen oder Log Dateien?
- Verfügbarkeit: kann eine Ausnutzung zu Ausfällen, Ransomware Auswirkungen oder Produktionsstillstand führen?
Mit anderen Worten: Dieselbe CVE kann sehr unterschiedliche Bedeutungen haben, abhängig vom CIA Profil des betroffenen Assets.
Beispiel: gleiche Schwachstelle, unterschiedliches Geschäftsrisiko
Eine hochkritische Schwachstelle auf einem niedrig priorisierten Testserver ist ärgerlich, stellt aber möglicherweise keine reale Bedrohung für das Geschäft dar.
Dieselbe Schwachstelle wird jedoch auf:
- einem System zur Gehaltsabrechnung, Integrität
- einem Kundenportal mit personenbezogenen Daten, Vertraulichkeit
- oder einer geschäftskritischen Anwendung in einem Krankenhaus, Verfügbarkeit
plötzlich zu einem materiellen Geschäftsrisiko.
Deshalb stellt ein risikobasierter Ansatz nicht einfach alle Findings gleich und sortiert nur nach CVSS, sondern stellt Fragen wie:
- Welches Asset ist betroffen?
- Wie kritisch ist dieses Asset in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit?
- Ist die Schwachstelle in diesem Kontext erreichbar oder ausnutzbar?
- Welche reale Auswirkung hätte eine Ausnutzung?
- Was ist der effektivste nächste Schritt?
Warum das besser zu ISO 27001 und NIS2 passt
ISO 27001 ist kein Standard zum Sammeln von Schwachstellen. Es geht darum, ein ISMS zu betreiben, das Risiken kontrolliert, nachvollziehbar und wiederholbar identifiziert, bewertet und behandelt. Ein risikobasierter Ansatz unterstützt genau das: Sie können zeigen, warum Sie etwas priorisieren, was Sie tun und wie sich das Risiko reduziert.
NIS2 lenkt Organisationen weg von rein technischen Outputs hin zu messbarer Resilienz und verantwortbarer Risikosteuerung. Ein risikobasierter Ansatz hilft Partnern und Kunden, in der Sprache des Geschäfts zu kommunizieren, denn Vorstände und Auditoren wollen nicht hören „wir hatten 8000 Findings“, sondern „wir haben das Risiko für kritische Services reduziert“.
Das Ergebnis: bessere Entscheidungen, bessere Nachweise und weniger verschwendeter Aufwand
Indem Lighthouse Findings mit CIA und Geschäftskontext verknüpft, kann es sich von:
- „Hier ist eine beängstigende Liste“
hin zu:
- „Das sind die Themen, die wirklich das gefährden, was Ihnen wichtig ist, und hier ist die sinnvollste Reihenfolge zur Behebung.“
Das ist der Kern eines risikobasierten Ansatzes: nicht weniger Kontrolle, sondern bessere Priorisierung und stärkere Governance.
3. Die unbequeme Wahrheit: nicht jede CVE ist für Ihre Umgebung relevant
Ein oft übersehener Punkt im Schwachstellenmanagement ist folgender: Das CVE Universum ist riesig und ein großer Teil davon wird für Ihre spezifische Umgebung niemals relevant sein.
- Die National Vulnerability Database listet Hunderttausende CVEs, zum Zeitpunkt des Schreibens über 326.000.
- Im Vergleich dazu enthält der CISA Known Exploited Vulnerabilities Katalog, der aktiv ausgenutzte Schwachstellen abbildet, rund 1484 Einträge Ende 2025.
Dieser Gegensatz bedeutet nicht, dass man alles ignorieren sollte. Er bedeutet:
Schweregrad ist nicht gleich Risiko
Ein CVSS Score sagt Ihnen, wie schlimm etwas unter bestimmten Annahmen sein könnte. Er sagt Ihnen nicht, wie wahrscheinlich eine Ausnutzung in den nächsten Tagen oder Wochen ist.
Deshalb gibt es Modelle wie EPSS, die auf beobachteten Signalen und Mustern basieren, um Ausnutzungswahrscheinlichkeiten abzuschätzen.
Kurz gesagt: Schwachstellen sind wichtig, aber nicht alle gleich und nicht alle zur gleichen Zeit.
4. Warum weniger Schwachstellen zu besseren Sicherheitsergebnissen führen können
Eine riesige Findings Liste führt zu drei vorhersehbaren Problemen:
1) Rauschen überdeckt das Signal
Wenn alles dringend wirkt, ist nichts dringend. Teams verlieren Zeit damit, technisch korrekte, aber praktisch irrelevante Punkte zu filtern.
2) Zeit wird auf das Einfache statt auf das Riskante verwendet
Ohne Geschäftskontext wird Remediation zu einem Patch Wettbewerb nach CVSS, selbst wenn das betroffene System weder kritisch noch erreichbar ist.
3) Reporting wird zur Show
Statt zu belegen, dass Risiko reduziert wurde, belegen Sie nur, dass viel gearbeitet wurde.
Ein risikobasierter Ansatz kehrt das um:
- Fokus auf ausnutzbare, erreichbare und materielle Risiken
- Verknüpfung von Findings mit Geschäftsauswirkungen
- Remediation messbar, erklärbar und prüfbar machen
So wird Schwachstellenmanagement nicht heroisch, sondern nachhaltig.
5. Was Partner in Lighthouse erwarten können
Mit der neuen Scan Grundlage und dem risikobasierten Ansatz erhalten Partner:
- Bessere Einblicke in Geschäftsrisiken zusätzlich zu technischen Schweregraden
- Relevantere Scan Ergebnisse mit weniger verschwendetem Aufwand
- Wirksamere Remediation, da Maßnahmen nach realem Risiko und Geschäftskontext priorisiert werden
- Stärkere Compliance Nachweise, da Entscheidungen und Maßnahmen erklärbar und mit Governance Anforderungen verknüpfbar sind
Wir geben unserer Mission eine greifbare Bedeutung:
„Digitale Governance und Resilienz sind zugänglich.“
Und unsere Vision:
„Entscheidungsträger mit Einblicken befähigen, um zu sichern, zu erfüllen und zu optimieren.“
6. Fazit
Unser Ziel ist es nicht, mehr Findings zu zeigen.
Unser Ziel ist es, die richtigen Findings zur richtigen Zeit und im richtigen Kontext zu zeigen, damit Partner und Kunden ihre begrenzte Zeit dort einsetzen können, wo Risiko am stärksten reduziert wird.
Wenn Sie an Scanner gewöhnt sind, die stolz verkünden „10.000 Probleme gefunden“, mag sich dieser Wandel zunächst kontraintuitiv anfühlen.
In der Praxis bedeutet weniger Rauschen plus mehr Relevanz bessere Einblicke und schnellere Risikoreduktion.
Und genau dorthin entwickelt sich Lighthouse.
