CVE Vulnerability Scanner v4.1: Welche Lücke muss ich zuerst patchen?

Allgemein
IT-SERVICE WALTER  •  WINDOWS-SECURITY-TOOLS

ISW CVE Vulnerability Scanner v4.1: Welche Lücke muss ich zuerst patchen?

Versionsgenaue Schwachstellen-Erkennung für Windows-Server – mit KEV-, EPSS- und WSUS-Priorisierung.

Tausende neuer CVEs pro Jahr, hunderte Programme im Bestand – und am Ende bleibt für jeden Administrator dieselbe Frage: Was muss ich wirklich zuerst patchen? Genau diese Frage beantwortet die neue Version 4.1 des ISW CVE Vulnerability Scanners.

Das Problem: „installiert“ ist keine Aussage

Viele Tools melden eine Schwachstelle bereits, wenn ein Produkt überhaupt installiert ist. Das Ergebnis sind hunderte Treffer, von denen ein Großteil längst gepatcht ist – Rauschen statt Übersicht.

Der ISW CVE Scanner geht den genauen Weg: Er prüft jede CVE gegen die tatsächlich installierte Software-Version. Sie sehen damit nicht „Produkt X hatte irgendwann Lücken“, sondern die belastbare Aussage: Diese Version auf diesem System ist verwundbar – oder eben nicht.

Priorisierung statt Panik

66 offene CVEs auf einem Server klingen dramatisch. Aber welche gehört ins heutige Wartungsfenster, welche kann warten? Dafür kombiniert der Scanner mehrere Threat-Intelligence-Quellen:

✓ CISA KEV – wird die Lücke nachweislich aktiv ausgenutzt? Dann hat sie Vorrang.

✓ EPSS (FIRST.org) – wie wahrscheinlich ist ein Exploit in den nächsten 30 Tagen?

✓ Ransomware-Bezug – steht die CVE im Zusammenhang mit bekannten Kampagnen?

✓ WSUS-Abgleich – bereits ausgerollte Patches werden erkannt und nicht doppelt gemeldet.

Aus einer langen Trefferliste wird so eine klare Aufgabenliste nach Risiko.

Vom Einzelplatz bis zur ganzen Server-Flotte

  • Remote-Scan per WinRM – HTTP/HTTPS, eigener Port, Zertifikatsprüfung. Kein Agent auf dem Zielsystem nötig.
  • Multi-Server über Profile – ein einziger geplanter Task scannt nachts die gesamte Flotte.
  • Serverübergreifende CVE-Übersicht – pro Schwachstelle sehen Sie sofort, welche Server betroffen sind. Das ist Ihre Patch-Roadmap.
  • Geplante Scans als Windows-Task (SYSTEM, gMSA oder dediziertes Konto) – einmal eingerichtet, läuft es automatisch.

Berichte, die man auch dem Management zeigen kann

Jeder Scan wird zu sauberen Berichten in den Formaten HTML, PDF und CSV – mit übersichtlichen Kennzahlen-Karten, Severity-Farben, CVSS-Erklärung und einer KEV-Hotlist der aktiv ausgenutzten Lücken. Die automatischen E-Mail-Reports kommen pünktlich nach dem Nacht-Scan ins Postfach – auf Wunsch nur dann, wenn wirklich Handlungsbedarf besteht.

Praxis-Workflow: Ein Task scannt nachts alle Kundenserver, schreibt die Ergebnisse in die zentrale Historie und verschickt morgens eine serverübergreifende Übersicht – fertig priorisiert. Sie starten den Tag mit einer konkreten To-do-Liste statt mit einer Rohdaten-Wüste.

Warum das gerade jetzt zählt: NIS2, ISO 27001 & Co.

Schwachstellen-Management ist längst keine Kür mehr. NIS2, ISO 27001, BSI IT-Grundschutz und die DSGVO verlangen einen nachvollziehbaren Umgang mit Sicherheitslücken. Der ISW CVE Scanner liefert genau diesen Nachweis: dokumentiert, wiederholbar und prüffähig.

Dazu kommt Sicherheit im Werkzeug selbst: AES-256-verschlüsselte Zugangsdaten, keine Klartext-Passwörter, lokale Datenhaltung ohne Cloud-Zwang. Entwickelt in Deutschland, aus über 30 Jahren Windows-Administration heraus.

Sie betreuen Windows-Server oder ein Kunden-Portfolio?

Ich zeige Ihnen den CVE Scanner gerne in Aktion – melden Sie sich einfach.

Mehr auf isw-adtools.de ↗

© 2026 IT-Service Walter · Jörn Walter · isw-adtools.de