CVE Vulnerability Scanner NIST DATABASE

CVE Vulnerability Scanner NIST DATABASE

Security

🆕 Software-Update · Lesezeit ca. 7 Min.

CVE Vulnerability Scanner v3.2

Multi-Server-Scans, Snapshot-Vergleiche und Live-Dashboard

Mit Version 3.2 verwandelt sich der CVE Vulnerability Scanner von einem fokussierten Single-System-Werkzeug in eine vollständige Vulnerability-Management-Plattform für ganze Server-Landschaften. Im Mittelpunkt dieses Updates stehen drei Funktionen, die in der Praxis täglich gebraucht werden: der Reihenscan beliebig vieler Server aus einer Profil-Liste, das portable Snapshot-Format mit Diff-Berechnung zwischen zwei Scan-Läufen, und das visuelle Live-Dashboard zur Trend- und KPI-Auswertung.

Dieser Beitrag stellt die drei Neuerungen im Detail vor — was sie technisch leisten, wie sie sich in den Arbeitsalltag einfügen und welche Probleme sie konkret lösen.

🎯 Die drei Hauptneuerungen auf einen Blick

🌐 Multi-Server-Scan
Server-Profile zentral verwalten und Dutzende Server in einem Durchlauf scannen — inklusive Bulk-Berichten.
📚 Snapshot & Vergleich
Portable JSON-Snapshots eines Scan-Laufs plus Diff-Berechnung zwischen zwei Ständen — Neu, Behoben, KEV-Eintritt.
📈 Live-Dashboard
Donut-Charts, Verlaufslinien und KEV-Hot-List für die visuelle Auswertung einzelner Scans und ganzer Server-Flotten.

🌐 Multi-Server-Scan: Eine Server-Landschaft, ein Durchlauf

Wer als IT-Administrator oder Managed Service Provider mehrere Windows-Server betreut, will nicht für jedes System einzeln eine Verbindung aufbauen, scannen und einen Bericht erstellen. Genau das war bisher die größte Reibungsstelle. Ab v5.0 wird die gesamte Server-Landschaft als Profil-Liste verwaltet und mit einem Klick gescannt.

Ein Server-Profil bündelt alle Verbindungsdaten in einer wiederverwendbaren Einheit:

  • Computer-Name oder IP-Adresse, Port (5985 / 5986), Protokoll (HTTP / HTTPS)
  • Benutzername plus AES-256-GCM-verschlüsseltes Passwort, maschinengebunden
  • Open-Timeout und Operation-Timeout für langsame WAN-Verbindungen
  • Optionale Zertifikatsvalidierung an/aus für interne Setups mit selbstsignierten Zertifikaten
  • Frei wählbarer Anzeige-Name für Dashboards und Berichte

🔐 Verschlüsselte Credentials: Passwörter werden niemals im Klartext abgelegt. Der maschinengebundene Schlüssel wird aus systemspezifischen Eigenschaften abgeleitet — die Profil-Datei lässt sich auf einem anderen Rechner zwar öffnen, aber nicht entschlüsseln.

📥 CSV-Bulk-Import: Beim Onboarding eines neuen MSP-Kunden mit zwanzig Servern werden die Profile aus einer Tabellenkalkulation in Sekunden importiert. Der Export geht ohne Passwörter raus — als reine Inventur-Doku.

Ablauf eines Multi-Server-Scans

Aus der Profil-Liste wird die zu scannende Teilmenge ausgewählt — beliebig kombinierbar (etwa nur Domain-Controller, nur Hyper-V-Hosts oder alle Kunden-Server der Mandantengruppe „Kunde A”). Pro Profil läuft ein Pre-Flight-Check (WinRM-Verbindung testen, Credentials entschlüsseln, Latenz messen), anschließend die volle CVE-Pipeline. Jeder Server-Scan erhält eine eigene Run-ID in der SQLite-History — dadurch lässt sich pro Server unabhängig auswerten, vergleichen und berichten.

📊 Risk-Score-Sortierung: Pro Server wird ein gewichteter Risk-Score (0–100) berechnet. Kritische CVEs und KEV-Treffer fließen besonders stark ein. Die Multi-Server-Übersicht sortiert absteigend — der gefährdetste Server steht ganz oben. Auf einen Blick wird klar, wo zuerst gehandelt werden muss.

Nach Abschluss aller Scans bietet das Multi-Server-Fenster die Bulk-Erzeugung aller Berichte: pro Server eine PDF-Datei und eine HTML-Datei mit einem Klick. Praktisch für das monatliche Reporting an den Kunden — ein Scan-Lauf, zwanzig Server, vierzig Berichte, fertig zum Versand.

Praxis-Beispiel: Eine Kundenumgebung mit 25 Windows-Servern wird sequenziell in unter einer Stunde komplett gescannt — inklusive aller PDF- und HTML-Berichte. Der Hauptfenster-Zustand bleibt während des Multi-Laufs unangetastet (Memento-Schutz) und wird nach Abschluss exakt wiederhergestellt.

📚 Snapshot & Scan-Vergleich: Was hat sich seit letzter Woche geändert?

Ein Scan zeigt den Zustand zu einem Zeitpunkt. Die wirklich interessanten Fragen aus dem Tagesgeschäft sind aber zeitlicher Natur: Was hat sich seit dem letzten Scan verändert? Hat der Patch-Tuesday wirklich alle kritischen CVEs geschlossen — oder sind neue dazugekommen? Welche Schwachstelle ist plötzlich in den KEV-Katalog gewandert und wird jetzt aktiv ausgenutzt? Genau dafür gibt es ab v3.2 das Snapshot-Format und den Vergleichs-Service.

Das Snapshot-Format

Ein Snapshot ist die persistente, dateibasierte Form eines kompletten Scan-Laufs — als JSON in zwei Varianten:

DC01_2026-05-04.cvescan.json ← lesbares JSON, ~50–500 KB pro Scan
DC01_2026-05-04.cvescan.json.gz ← gzipped, Faktor 10–20 kleiner

Inhalt: Run-Header (Computer-Name, Zeitstempel, Tool-Version, Counts), alle Findings mit CVE-ID, Severity, CVSS, EPSS, KEV-Status, Beschreibung und betroffenen KBs. Die Schema-Version ist Teil der Datei — spätere Tool-Versionen können ältere Snapshots lesen.

Die Erstellung geht auf zwei Wegen: direkt nach einem Scan aus dem Hauptfenster („Snapshot exportieren”) oder nachträglich aus der SQLite-History — auch Wochen später, solange der Scan in der Datenbank steht.

📁 Compliance-Archiv: Quartalsweise Snapshots der produktiven Server zur Vorlage bei Audits oder Cyber-Versicherungen.

📤 Datenaustausch Kunde → MSP: Der Kunde sendet einen Snapshot per Mail, der MSP wertet ohne eigenen Scan aus.

🤖 Automation: Snapshots aus geplanten Scans landen in einem Netzwerkordner — externe Tools (PowerBI, Splunk) lesen das JSON direkt.

Der Vergleich zweier Snapshots

Der ScanComparisonService berechnet das Diff zweier Snapshots. Identifiziert wird ein Finding über den Match-Key SoftwareName + CVE-ID — bewusst ohne die Software-Version. Begründung: Wird eine Anwendung aktualisiert, ändert sich die Versionsnummer, aber dieselbe CVE kann weiterhin (oder eben nicht mehr) im neuen Stand auftauchen. Würde die Version Teil des Match-Keys sein, würde jedes Update als „CVE entfernt + neue CVE entstanden” erscheinen — und der eigentliche Status (gepatcht oder noch offen) ginge verloren.

Heraus kommt ein Diff mit klaren Kategorien:

🆕 Neu
CVEs, die im neueren Scan auftauchen — neu erkannt oder durch neu installierte Software gekommen.
✅ Behoben
CVEs, die verschwunden sind — gepatcht oder Software deinstalliert.
⬆️ Eskaliert
Severity ist gestiegen (z. B. HIGH → CRITICAL). Die Bedrohung hat zugenommen.
🔥 KEV-Eintritt
Die CVE wurde seit dem letzten Scan in den CISA KEV-Katalog aufgenommen — sie wird aktiv ausgenutzt.

⚠️ KEV-Transitionen sind oft die wichtigste Erkenntnis: Eine seit Monaten bekannte HIGH-Severity-Lücke, die plötzlich aktiv ausgenutzt wird, hat eine andere Eskalationspriorität als eine bislang nur theoretische Schwachstelle. Das Tool zählt diese Übergänge separat und hebt sie in der Vergleichs-Übersicht prominent hervor.

Die Reihenfolge der Snapshots wird automatisch nach Timestamp normalisiert — werden A und B versehentlich verkehrt herum übergeben, werden sie chronologisch sortiert. „Neu” bedeutet damit immer „im neueren Scan dazugekommen”, „Behoben” immer „im neueren nicht mehr da”. Aus der Diff-Übersicht öffnet ein Doppelklick die Detail-Ansicht mit Side-by-Side-Vergleich aller Felder beider Snapshots.

📈 Live-Dashboard: Visuelle Trend-Auswertung

Tabellen sind für die Detail-Arbeit unverzichtbar — für die Geschäftsführung oder das wöchentliche Service-Meeting braucht es aber visuelle Sprache. Das in v5.0 integrierte Live-Dashboard nutzt die LiveCharts-Bibliothek und bietet zwei Sichten:

Single-Scan-Sicht

Aus dem aktuell im Hauptfenster geladenen Scan oder einem History-Eintrag werden generiert:

  • Severity-Donut: Verteilung Critical / High / Medium / Low als Ringdiagramm
  • KEV-Hot-List: Erste KPI-Kachel zeigt aktiv ausgenutzte CVEs mit CISA-Patch-Deadline
  • Top-10-Software: Welche zehn Anwendungen schleppen die meisten offenen CVEs mit?
  • EPSS-Risiko-Verteilung: Wie viele CVEs liegen in welchem Wahrscheinlichkeits-Bucket?

Multi-Scan-Sicht (Trend-Auswertung)

Über mehrere Scans aus der SQLite-History entstehen die wirklich aussagekräftigen Auswertungen:

  • CVE-Verlaufslinie: Wie hat sich die Anzahl offener Findings auf einem PC über Wochen entwickelt?
  • Multi-Server-Vergleich: Welcher der 50 betreuten Kunden-Server hat den höchsten Risk-Score?
  • Severity-Heatmap: Welche Schwere-Klassen dominieren bei welchem Server?
  • Patch-Erfolg über Zeit: Sieht man am Verlauf, dass die monatlichen Patch-Rounds wirken?

💡 Praxis-Tipp: Die Multi-Scan-Sicht entwickelt erst nach drei bis vier Wochen ihre volle Aussagekraft. Wer ab v3.2 startet, baut sich die Datenbasis ab Tag eins automatisch auf — jeder Scan landet in der History. Schon nach einem Monat regelmäßiger Scans entstehen Verlaufslinien, mit denen sich gegenüber Vorgesetzten und Kunden klar argumentieren lässt: „Wir haben in den letzten vier Wochen 38 kritische CVEs geschlossen, die KEV-Trefferquote ist um 71 % gesunken.”

Das gesamte Dashboard ist als HTML exportierbar — inline-styled und damit eigenständig versendbar. Praktisch für die monatliche Mail an die Geschäftsleitung oder als Beilage zum Quartals-Bericht.

🔄 Wie die drei Funktionen zusammenwirken

Multi-Server-Scan, Snapshot-Vergleich und Dashboard sind nicht drei isolierte Funktionen — sie ergänzen sich zu einem geschlossenen Workflow, der typischerweise so aussieht:

Sonntag 03:00 Uhr — Der geplante Multi-Server-Scan läuft über alle 50 Kunden-Server der Mandantengruppe. Pro Server entsteht ein Snapshot in einem Netzwerk-Ablageordner.

Montag 06:00 Uhr — Ein automatisierter Vergleich gegen die Snapshots der Vorwoche läuft. KEV-Eintritte und neue kritische Findings werden hervorgehoben.

Montag 08:00 Uhr — Im Posteingang des Service-Managers liegt der Diff-Bericht: „4 neue kritische Findings seit letzter Woche, davon 1 mit KEV-Status — sofortige Aktion erforderlich auf SRV-EXCH-01.”

Montag 09:00 Uhr — Im Service-Meeting wird das Dashboard projiziert. Die Verlaufslinie zeigt, dass die Risk-Score-Summe über die letzten vier Wochen gesunken ist — die Patch-Strategie wirkt.

Aus reaktivem „Patch-Tuesday-Abarbeiten” wird damit proaktive, datenbasierte Sicherheitsarbeit — mit klaren Reports, nachvollziehbaren Trends und einer Sprache, die auch außerhalb der IT-Abteilung verstanden wird.

🚀 Fazit

Mit v3.2 ist der CVE Vulnerability Scanner kein Single-System-Tool mehr, sondern ein vollständiges Vulnerability-Management-Werkzeug für Windows-Umgebungen. Multi-Server-Scan, Snapshot-Vergleich und Live-Dashboard adressieren genau die Anforderungen, die in der Praxis von IT-Administratoren und Managed Service Providern täglich gestellt werden — ohne Cloud-Zwang, ohne Abo-Modell, ohne Telemetrie.

© 2026 IT-Service Walter — Jörn Walter
it-service-walter.com ·
isw-adtools.de ·
der-windows-papst.de