Dienstleistungen
Kontaktieren

Wir haben vier führende Schwachstellenmanagement-Tools in 11 Dimensionen verglichen. Die Ergebnisse zeigen einen Markt, auf dem „Schwachstellenmanagement“ für vier Anbieter vier verschiedene Dinge bedeutet. Einige bauen CVE-zentrierte Erkennungspipelines auf; andere verfolgen die Patch-Verfügbarkeit als Proxy für das Risiko; einer delegiert das Scannen ausdrücklich an Drittanbieter-Tools.

Benchmark-Ergebnisse zum Schwachstellenmanagement

Tools
Testzugang
Erkennungslatenz
Erkennungsgenauigkeit
Patch & Behebung
Benachrichtigungen & Alarme
Endpoint-Footprint
Gerätetyp-Abdeckung
Vertriebsgeführt, Stunden–Tage
Inventar: 35s; CVE-Korrelation: ~24h
Nur Patch-Katalog; Test-CVE-Feed inaktiv
Richtlinienstruktur vorhanden; Bereitstellung nicht getestet (System Admin erforderlich)
Keine Schwachstellen-Kategorie in Aktivitäten; VM erzeugt keine Alarme
116 MB Spitze
Win/Lin/Mac + iOS/Android + Hyper-V/VMware + Cloud-Monitor
ManageEngine VMP
Self-Service, Minuten
5–6 Min. (manuell); 90 Min. auto; ~25h neuer CVE-Feed
NVD-Feed, unabhängig vom Patch-Katalog
106.973 Katalog; Assistent mit Rollback + SSP
Kein ausgehender Kanal, SMTP auf allen Ebenen nicht vorhanden
26 MB Leerlauf (bei Bedarf startend)
Windows + Linux + macOS; kein Mobile/Virtual
Automox
Self-Service, 2FA + Geschäfts-E-Mail
Keine CVE-Erkennung
Nur Patch-Katalog; LibreOffice + Firefox ESR blinde Flecken bestätigt
Patch-Tuesday-bewusst; CSV-Import von Qualys/Tenable/Rapid7
Multi-Channel angegeben; nicht in der Konsole verifiziert
8,8 MB Spitze: der leichteste in der Gruppe
Windows + Linux + macOS; kein Mobile/Virtual
Action1
Self-Service, Minuten
Windows ≤11 Min.; Linux: keine CVE-Ausgabe
Windows: vollständige CVE-Pipeline; Linux: nur Versionsdelta
1-Min.-Bereitstellung; P2P-LAN; Neustart-Orchestrierung; Windows-Übernahme
E-Mail; nur ein Empfänger; stille Unterdrückung
51,7 MB stabil; 0,013 % durchschn. CPU
Windows + Linux + macOS; kein Mobile/Virtual

Kernergebnisse

  • Automox und NinjaOne kennzeichnen Schwachstellen basierend auf der Verfügbarkeit im Patch-Katalog, nicht auf CVE-NVD-Versionsabgleich. Wenn in ihrem Katalog kein Update für eine Softwareversion existiert, meldet das Tool „Keine bekannten CVEs", unabhängig von der tatsächlichen CVE-Anzahl. LibreOffice 7.1.8.1 (über 100 dokumentierte CVEs) und Firefox ESR 115.12.0 lieferten beide „Keine bekannten CVEs" in Automox aus diesem Grund. ManageEngine und Action1 verwenden unabhängige CVE-Feeds und melden Schwachstellen, unabhängig davon, ob ein Patch verfügbar ist.
  • Kein Tool erkennt Software, die außerhalb des Paketmanagers installiert wurde. Binärdateien, die nach /opt/ extrahiert, aus dem Quellcode kompiliert oder von Anbietern außerhalb ihrer offiziellen Paket-Repositories verteilt werden, sind für alle vier Tools unsichtbar. ManageEngine und NinjaOne gleichen CVEs für dpkg-gelistete Pakete ab. Action1 inventarisiert dpkg-Pakete, liefert aber keine CVE-Daten dafür unter Linux. Automox verfügt über keinerlei unabhängige CVE-Erkennung.
  • Das VM-Modul von NinjaOne erzeugt keine Alarme und hat keine Berichtsvorlage. Das Alarm-Framework listet 13 Kategorien, darunter Windows Patch Management, Bitdefender und CrowdStrike. Schwachstelle und CVE sind nicht darunter. Der Berichtskatalog enthält eine 10-teilige Patch-Compliance-Vorlage, aber kein Äquivalent für das Schwachstellenmanagement.
  • Automox benötigt einen externen Scanner zur CVE-Erkennung. Die Seite „Remediations" importiert CSV-Exporte von Qualys, Tenable, Rapid7 oder CrowdStrike und gleicht diese CVEs dann mit dem Patch-Katalog ab. Es führt keine unabhängige Erkennung durch.
  • ManageEngine und Automox haben keinen ausgehenden Alarmkanal. ManageEngine verfügt über keine SMTP-Konfiguration auf irgendeiner Ebene – globale Einstellungen, benutzerspezifische Präferenzen oder berichtsbezogene Zustellung. Die Web-Dokumentation von Automox listet Slack-, Teams- und Webhook-Unterstützung auf, dies wurde jedoch während des Tests nicht in der Konsole verifiziert.
  • NinjaOne deinstallierte Automox zwei Minuten nach der Installation auf derselben Windows-VM. Das Aktivitätenprotokoll zeichnete auf: „Software deinstalliert: ‚Automox Agent‘, Benutzer: System." Die Deinstallation war unvollständig: Die Dienstregistrierung und die Programmdateien blieben erhalten. Unter Linux liefen ManageEngine, Action1 und NinjaOne Seite an Seite, ohne dass ein Agent einen anderen entfernte.

Gemessene Metriken

Erkennungslatenz: Eine als anfällig bekannte Binärdatei wurde auf einem sauberen Endpoint installiert, wobei der Zeitstempel des Installationsabschlusses sekundengenau aufgezeichnet wurde. Die Uhr wurde gestoppt, als die CVE im Schwachstellen-Panel des Produkts erschien.

Erkennungsgenauigkeit: Software mit gut dokumentierten CVE-Historien wurde auf Windows und Linux über drei Wege installiert: MSI/EXE (registrierungsbasiert), dpkg (Paketmanager) und als Anbieter-Tarball extrahiert nach /opt/ (außerhalb des Paketmanagers).

Endpoint-Footprint: Alle Messungen verwendeten pidstat auf Prozessebene, um RSS (Resident Set Size) pro Prozess zu erfassen, wobei der Page-Cache auf Cgroup-Ebene ausgeschlossen wurde. Windows-Messungen verwendeten Get-Counter (\Process(*)\Working Set - Private) mit Abtastung alle 5 Sekunden über ein 10-Minuten-Fenster. Die Scan-Engine von ManageEngine (bei Bedarf startend) wurde separat im Leerlauf und während eines aktiven Scans gemessen. Alle vier Linux-Agenten liefen gleichzeitig auf demselben Ubuntu 24.04-Host; Windows-Messungen wurden auf einer separaten Windows Server 2022-VM durchgeführt.

Patch-Bereitstellung: Die Bereitstellungszeit wurde von der UI-Bestätigung bis zur Fertigmeldung des Produkts gemessen. Der Zustand nach der Bereitstellung wurde direkt auf dem Endpoint über den Windows Update-Verlauf verifiziert, um zu unterscheiden zwischen „Binärdatei auf die Festplatte geschrieben" und „Patch übernommen und aktiv" – ein Unterschied, der wichtig ist, wenn ein Neustart zum Abschluss der Installation erforderlich ist.

Testzugang: Jeder Testzugang wurde zuerst mit einer Gmail-Adresse und dann mit einer institutionellen Adresse versucht, falls Gmail abgelehnt wurde. Die Schritte von der Landingpage bis zu einem nutzbaren Dashboard mit sichtbaren Agenten-Installern wurden gezählt. Die Zeit von der Übermittlung des Formulars bis zum ersten verbundenen Agenten wurde aufgezeichnet.

Alarmzustellung: In jedem Produkt wurde eine benutzerdefinierte Alarmregel erstellt und durch ein Software-Installationsereignis ausgelöst. Zustellzeit und Struktur des E-Mail-Inhalts wurden aufgezeichnet. Wenn Alarme nicht mehr ausgelöst wurden, wurden agentenseitige Protokolle überprüft, um die Ursache zu ermitteln.

Beste Schwachstellenmanagement-Tools

1. NinjaOne Vulnerability Management

NinjaOne ist eine UEM/RMM-Plattform, die im März 2026 ein VM-Modul hinzugefügt hat. Das Patch-Management ist ausgereift; die Schwachstellenerkennungsebene ist es nicht.

Testzugang: NinjaOne ist vertriebsgeführt. Nach dem Absenden des Testformulars lautete die Antwort: „Wir werden uns in Kürze bei Ihnen melden." Der Zugang erfolgte als Techniker, der zu einem bestehenden gemeinsamen Tenant hinzugefügt wurde, und nicht als frische, isolierte Umgebung.

Der Onboarding-Bildschirm zeigte sofort: „Sie haben keine Berechtigung, Geräte zu verwalten. Bitte wenden Sie sich an Ihren Systemadministrator." Die Gerätebereitstellung war unter der Techniker-Rolle nicht verfügbar.

Geräteabdeckung: Das Menü „Gerät hinzufügen" deckt mehr ab als jedes andere getestete Tool: Computer (Windows, Linux, Mac), mobile Geräte (Apple, Android), virtuelle Infrastruktur (Hyper-V, VMware), Cloud-Monitore (Ping, Port-Scan, DNS, HTTP/HTTPS) und Netzwerkerkennung. Kein anderes Tool in diesem Vergleich kommt dem nahe.

Gerätedetails: Jedes Gerät verfügt über stündliche Live-Diagramme für CPU, Speicher, Festplatte und Netzwerk sowie ein vollständiges Hardware-Inventar.

Der Abschnitt Details listet offene Ports inline auf – RDP auf 3389, SMB auf 445 und 10 weitere waren ohne separaten Scan sichtbar.

Das Menü „Tools" bietet Remote-Registrierung, Task-Manager, Datei-Browser und Dienst-Manager, die über den Browser live zugänglich sind. Ein vollständiger Remote-Desktop erfordert einen separaten nativen Client-Download.

CVE-Erkennung: Das Software-Inventar erfasste Firefox innerhalb von 35 Sekunden. Der Tab „Schwachstellen" zeigte nach 5 Minuten, nach 30 Minuten und nach 3 Stunden sowohl auf Windows- als auch auf Linux-Geräten und mit allen gelöschten Filtern 0 Ergebnisse. Die agentenseitige CVE-Listendatei blieb von der Installation bis über 5 Stunden hinweg unverändert 44 Bytes groß.

Die serverseitige CVE-Korrelation wurde während des Tests nie ausgelöst. Ob dies eine Einschränkung der Teststufe oder eine nicht erfüllte Konfigurationsanforderung widerspiegelt, konnte nicht festgestellt werden. Der Tab „Schwachstellen" füllte sich etwa 24 Stunden nach der Agenteninstallation mit 85 CVEs, wobei die Spalte „Quellen" „NinjaOne Patching" anzeigte – den eigenen Patch-Katalog des Tools, nicht die NVD.

Alarmintegration: Der Abschnitt Richtlinienaktivitäten listet 13 Alarmkategorien: Bitdefender, CrowdStrike, SentinelOne, Webroot, ImageManager, Backup, ShadowProtect, Software, System, Benutzer, Windows, Windows Patch Management und Raid. Es gibt keine Kategorie Schwachstelle oder CVE. Das VM-Modul erzeugt keine Alarme.

Berichterstattung: Der Berichtsvorlagen-Katalog enthält eine Patch-Compliance-Vorlage mit 10 Abschnitten, die fehlgeschlagene Patches, ausstehende Patches, installierte Patch-Prozentsätze und die Aktivierung von Betriebssystem-Patches abdeckt. Es gibt keine Schwachstellenmanagement-Vorlage.

Agentenverhalten gegenüber anderen Tools: NinjaOne registrierte sich auf der Test-Windows-VM. Um 11:31 Uhr zeichnete das Aktivitätenprotokoll auf: „Software deinstalliert: ‚Automox Agent‘, Version: ‚2.5.70‘, Benutzer: ‚<System>' – zwei Minuten nach der Registrierung, durch eine automatisierte Systemaktion. Die Entfernung war unvollständig; siehe Kernergebnisse für Details.

Endpoint-Footprint: Linux-Agent Spitzenspeicher: 116 MB. Windows: vier Prozesse mit insgesamt ca. 127 MB Working Set, 92 Sekunden CPU über drei Stunden.

NinjaOne ist eine UEM/RMM-Plattform, die ein VM-Modul hinzugefügt hat. Die Software-Inventarebene des Agenten funktioniert gut; die CVE-Korrelationsebene hängt von serverseitiger Verarbeitung ab, die während des Testzeitraums inaktiv war.

Wesentliche Unterschiede:

  • Software-Inventar ist genau und schnell: Firefox 115.12.0 erschien innerhalb von 35 Sekunden nach der Installation im Dashboard
  • CVE-Korrelation war während des gesamten Tests inaktiv. Die Datei NinjaWPM-cve-patch-list.json blieb über 5+ Stunden 44 Bytes groß; der Tab „Schwachstellen" füllte sich etwa 24 Stunden nach der Agenteninstallation mit 85 CVEs, inkonsistent mit der Positionierung als „echtzeitfähig und KI-gestützt"
  • Breiteste Gerätetyp-Unterstützung: Windows, Linux, macOS, iOS, Android, Hyper-V, VMware, Cloud-Ping-Überwachung und Netzwerkerkennung
  • VM-Modul erzeugt keine Alarme (keine Kategorie „Schwachstelle" im Aktivitäten-Alarmframework) und hat keine dedizierte Berichtsvorlage
  • Unter Windows entfernte der Agent Automox 2 Minuten nach der Installation durch eine Windows Server-Richtlinienregel und hinterließ verwaiste Dateien; kein entsprechendes Verhalten unter Linux

2. ManageEngine Vulnerability Manager Plus

ManageEngine VMP ist der einzige speziell entwickelte Schwachstellenscanner in diesem Vergleich. Die Erkennung läuft unabhängig von der Patch-Verfügbarkeit; Schwachstellen werden auch dann gemeldet, wenn kein Patch existiert.

Testzugang. Self-Service, kein Vertriebskontakt erforderlich. Das Anmeldeformular akzeptiert Gmail. Nach dem Absenden lädt das Dashboard sofort mit einem 30-Tage-Zähler. Ein Modal zur Demo-Anfrage erscheint, hat aber eine sichtbare Schaltfläche „Überspringen"; es ist keine Barriere. Die Benutzeroberfläche lädt basierend auf der IP-Adresse auf Türkisch – das einzige Tool in diesem Vergleich mit nicht-englischer Lokalisierung. Die EU-Region-Instanz wird automatisch zugewiesen.

Onboarding: Der Bildschirm „Erste Schritte" zeigt vier Workflow-Schritte: Voraussetzungen, Patch-Einstellungen, Bereitstellung und Patch-Management-Workflow. Drei der vier sind patch-orientiert. Der Rahmen ist „Erkennen, dann Patchen", nicht Echtzeiterkennung.

Dashboard: Öffnet auf einem Tab „Schwachstellen" mit einer Schwachstellen-Altersmatrix (Schweregrad × Altersgruppen), die zeigt, wie lange die Ergebnisse bereits offen sind. Ein Feed mit den neuesten Sicherheitsnachrichten zieht Live-Sicherheitshinweise der Anbieter in das rechte Panel.

Das linke Panel der Systemansicht unterteilt Geräte nach Betriebszustand: Hochgradig anfällig, Anfällig, Gesund, Neustart ausstehend, Patch-Bereitstellung fehlgeschlagen, Systeme ohne Agentenkontakt, EOL-Systeme und Zero-Day gefunden. Das Gerät erschien innerhalb von Sekunden nach der Agenteninstallation in der Liste.

Der erste Scan läuft in zwei Durchgängen. Ein Banner bestätigt, dass zunächst begrenzte Ergebnisse angezeigt werden; der vollständige Scan wird innerhalb von Minuten abgeschlossen. Fehlende Patches stiegen zwischen den beiden Durchgängen von 0 auf 8.

Gerätedetails: Die Gerätedetailansicht deckt mehr ab als jedes andere getestete Tool.

Der Tab „Zusammenfassung" zeigt vier Bedrohungs-Schweregrad-Donuts nebeneinander: Patch, Software-Schwachstellen, System-Fehlkonfigurationen und Webserver-Fehlkonfiguration. Der Test-Endpoint (Vanilla Windows Server 2022) zeigte 7 fehlende Patches, 28 Software-Schwachstellen und 54 Fehlkonfigurationen.

Der Tab „Software & Komponenten" listet jede installierte Komponente mit den Spalten „Fehlende Patches", „Installierte Patches" und „Schwachstellen" pro Zeile auf. Windows Server 2022 selbst wies 16 Schwachstellen auf; Curl für Windows, das mit dem Betriebssystem-Image ausgeliefert und nicht vom Benutzer installiert wurde, wies 10 auf.

Der Tab „Schwachstellen" ist eine CVE-Liste mit Exploit-Status, Patch-Verfügbarkeit, CVSS-3.0-Score, erkannter Version, Veröffentlichungsdatum und Support-Datum pro Zeile. Die CVSS-Scores reichten von 4,3 bis 9,9 auf dem Vanilla-Endpoint.

Der Tab „Patches" kategorisiert fehlende Patches in Sicherheitsupdates, Optional, Drittanbieter, Treiber, Service Pack und BIOS, mit den Aktionen „Patches installieren/veröffentlichen" und „Patch ablehnen" inline.

Der Tab „Sicherheitskonfiguration" ist eine CIS/STIG-artige Härtungs-Checkliste. Jede behebbare Zeile hat einen Link „Sichere Konfiguration bereitstellen" – die Ergebnisse sind direkt mit der One-Click-Behebung verbunden. Der Test-Endpoint hatte 30 Einträge, darunter TLSv1.1 aktiviert, BitLocker deaktiviert, Windows-Firewall nicht erkannt, Kontosperrungsschwellenwerte nicht konfiguriert und LAN Manager-Authentifizierungsstufe falsch konfiguriert.

Der Tab „Port-Audit" ordnet jeden offenen Port der verantwortlichen Binärdatei mit vollständigem ausführbarem Pfad zu. Port 3389 ist svchost.exe zugeordnet, Port 445 ntoskrnl.exe. Chrome und Edge werden separat auf 5353 aufgeführt.

Flottenweite Bedrohungsansicht: Die Bedrohungsnavigation umfasst acht Unterabschnitte für die gesamte Flotte.

Die Ansichten „Schwachstellen" und „Erkannte CVEs" zeigen CVSS-3.0- und CVSS-2.0-Scores in parallelen Spalten. Das Produkt bewahrt den alten CVSS 2.0 für Organisationen, die sich noch darauf stützen.

System-Fehlkonfigurationen fasst Härtungslücken flottenweit mit einer Aktion „Sichere Konfiguration bereitstellen" pro Zeile zusammen.

Hochrisiko-Software verfolgt End-of-Life-Daten. Windows Server 2022 erschien mit seinem EOL-Datum 14. Oktober 2031 und einem Zähler von 1.990 verbleibenden Tagen.

Ausnahmen verwalten erlaubt es, bestimmte Bedrohungen pro Gerätegruppe zu akzeptieren. Im Test wurden keine Ausnahmen definiert; die Infrastruktur ist vorhanden.

Abschnitt Patches: Die linke Seitenleiste zeigt Live-Zähler: Fehlend 9, Installiert 3, Anwendbar 12, Unterstützt 106.973, Neueste 2.195. Jede Patch-Seite verfügt über eingebettete Quick Links mit Anleitungen, Wissensdatenbank und FAQ-Dokumentation, die in den Workflow integriert und nicht separat abrufbar sind.

Der Katalog der unterstützten Patches umfasst 106.973 Einträge von Adobe, Microsoft, Mozilla, Splunk, Oracle und anderen. Die Ansicht der neuesten Patches zeigt 2.195 kürzlich hinzugefügte Einträge, sortiert nach Veröffentlichungsdatum. Patch ablehnen blockiert bestimmte Patches pro Gerätegruppe. Ausstehende Patches hochladen akzeptiert benutzerdefinierte Patches für Software außerhalb des Katalogs.

Patch-Bereitstellung: Der Bereitstellungsassistent umfasst: Installations- vs. Deinstallationsvorgang (Rollback integriert), Direkte Bereitstellung vs. Veröffentlichung im Self-Service-Portal, Auswahl der Bereitstellungsrichtlinie, Datum „Bereitstellung erzwingen nach" für SLA-Durchsetzung und gezielte Ausrichtung nach Remote Office und einzelnem Computer.

Ein Defender-Definitionsupdate wurde im Test bereitgestellt und mit Status: Erfolgreich und Bemerkung: „Diese Version ist bereits vorhanden." abgeschlossen. Das Produkt erkannte, dass der Patch bereits angewendet worden war, und installierte ihn nicht erneut. Automatische Wiederholung bei Fehler ist standardmäßig auf 2 Versuche eingestellt.

Agentenflotten-Management. Der Abschnitt Agent zeigt den flottenweiten Agentenzustand, einschließlich Versionsaktualität, Zeitpunkt des letzten Kontakts, AD-Synchronisierungsstatus, Remote-Office-Verwaltung und Richtlinie für inaktive Computer.

Endpoint-Footprint: Fünf Prozesse im Leerlauf, kombinierter Leerlauf-RAM ca. 83 MB. Die Scan-Engine dcpatchscan startet nur während Scans – im Leerlauf nicht sichtbar. Während eines Scans verbrauchte sie ca. 160 MB RAM und 100 % eines CPU-Kerns unter Windows, im Vergleich zu ca. 144 MB und 16 % eines Kerns unter Linux. Das Design mit Start bei Bedarf bedeutet, dass der Leerlauf-Footprint deutlich unter den kontinuierlichen Baselines von NinjaOne (116–127 MB) und Action1 (51 MB) bleibt.

Erkennungslatenz: Manueller Scan jetzt: 5 bis 6 Minuten. Automatischer Zyklus: fest auf 90 Minuten eingestellt, nicht benutzerkonfigurierbar. Neue CVE-Feed-Einträge werden in bis zu 25 Stunden übernommen (tägliche DB-Synchronisierung plus ein 90-minütiger Aktualisierungszyklus). Die Seite Admin > Agenteneinstellungen hat kein Feld für das Aktualisierungsintervall; Anfragen zum Hinzufügen eines solchen sind im offiziellen Forum seit langem ohne Lösung offen.

Alarme und Benachrichtigungen: Es existiert kein ausgehender Alarmkanal auf irgendeiner Ebene: kein SMTP in den globalen Einstellungen, keine benutzerspezifischen Benachrichtigungspräferenzen, keine Berichtsplanung oder E-Mail-Zustellung. Die Seite Audit > Alarme protokolliert interne Ereignisse (Agentenkontaktverlust, fehlgeschlagene Patches, neue Endpoints), kann diese aber nicht extern weiterleiten.

Berichterstattung: Über 16 vordefinierte Berichte in sechs Kategorien (Patch, System, APD, Konfiguration, SSP, Bedrohung). Kein benutzerdefinierter Berichts-Builder. Spaltenauswahl und Filter sind innerhalb der vordefinierten Berichte verfügbar. Keine Datumsbereichsvoreinstellungen. Export: PDF, CSV, XLSX. Ein DSGVO-Haftungsausschluss-Modal erfordert vor jedem Export eine Bestätigung. Keine geplante oder per E-Mail zugestellte Berichterstattung.

Wesentliche Unterschiede:

  • 11 Module in einem einzigen Produkt: Schwachstellenbewertung, Compliance, Patch-Management, Netzwerkgeräte-Scanning, Sicherheitskonfigurationsmanagement, Zero-Day-Abwehr, Webserver-Härtung, Hochrisiko-Software-Audit, Antiviren-Audit, Port-Audit und Berichterstattung
  • 106.973 Patches im Katalog; Cloud- und On-Premise-Bereitstellungsoptionen; EU-Region-SaaS-Instanz
  • Automatischer Scanzyklus ist auf 90 Minuten festgelegt und nicht benutzerkonfigurierbar (Foren-Feature-Requests ungelöst); neuer CVE-Feed benötigt bis zu 25 Stunden zur Übernahme (DB-Sync + ein Aktualisierungszyklus)
  • Kein ausgehender Alarmkanal: SMTP fehlt auf jeder Konfigurationsebene

3. Automox

Automox ist eine Patch-Automatisierungsplattform, kein Schwachstellenscanner. Seine Schwachstellenmanagement-Fähigkeit basiert auf dem Import von Scanner-Ergebnissen von Qualys, Tenable, Rapid7 oder CrowdStrike, anstatt eine unabhängige CVE-Erkennung durchzuführen.

Testzugang: 15-tägiger Test, keine Kreditkarte erforderlich. Gmail wird abgelehnt – eine Geschäfts-E-Mail ist zwingend erforderlich. Nach dem Absenden fügt der Ablauf zwei zusätzliche Schritte vor dem Dashboard hinzu: einen separaten Anmeldebildschirm und eine obligatorische 2FA per E-Mail. Das Passwort-Minimum beträgt 12 Zeichen, das strengste der vier Tools. Einzige globale Instanz bei console.automox.com, keine regionalen Optionen.

Agenteninstallation: Das Modal „Geräte hinzufügen" zeigt die Zugriffsschlüssel-UUID, ein Betriebssystem-Dropdown, einen Button „Installer herunterladen" und die entsprechende Silent-Install-Befehlszeile: Automox_Installer-2.5.70.msi ACCESSKEY=<uuid>. Eine Binärdatei, ein Schlüssel – der einfachste Installationsablauf der vier getesteten Tools.

Der Installer führt nach der Installation einen integrierten Zustandscheck durch, bevor er sich schließt: Dienststart, Daemon-Test, IRS-Bericht (Installation Result Service). Er schließt erst, wenn er „Konfiguration erfolgreich!" bestätigt, wodurch die Unklarheit beseitigt wird, ob der Agent tatsächlich verbunden ist.

Das Gerät erschien innerhalb von 1 bis 2 Minuten in der Geräteliste mit einem Tag „Kürzlich hinzugefügt".

Gerätedetails: Die Gerätedetails haben vier Tabs: Zusammenfassung, Zustand, Netzwerk und System. Bei der Installation wurde keine Richtlinie zugewiesen; der Agent wurde in der Standardgruppe ohne angehängten Patch-Zeitplan registriert. ManageEngine wendet automatisch einen Standard-Scanbereich an; Automox erfordert eine explizite Richtlinienzuweisung, bevor etwas ausgeführt wird.

Software-Inventar und Schweregradsprache: Die gerätespezifische Software-Liste verwendet Schweregradwerte, die aus dem Microsoft-Update-Katalog entlehnt sind: Kritisch, Unbekannt oder „Keine bekannten CVEs". Es gibt keinen NVD-CVSS-Score. Die Spalte „Neueste Version" ist für alle Zeilen leer; Automox verfolgt, ob ein Update existiert, nicht die Upstream-Version. Ausgesetzte Tage misst, wie lange ein Patch aussteht, nicht wie lange es her ist, seit eine CVE veröffentlicht wurde.

Dashboard: Der Haupt-KPI ist die Matrix der ausstehenden Patch-Anzahl: Schweregrad-Zeilen (Kritisch / Hoch / Mittel / Niedrig / Unbekannt) × Altersspalten (90+ Tage, 61-89, 31-60, 16-30, ≤15 Tage). Gerätefehlerbehebung kennzeichnet: Neustart erforderlich, Fehlgeschlagene Update-Versuche, Getrennt seit 30+ Tagen, Nicht kompatibel. Keine CVE-Anzahl, kein Schwachstellen-Schweregrad-Score irgendwo auf dem Dashboard.

Richtlinienarchitektur: Drei Richtlinientypen: Patch-Richtlinie (mit Untertypen Erweitert, Alle patchen, Alle außer patchen, Nur patchen, Manuelle Genehmigungen, Schweregrad), Richtlinie für erforderliche Software und Worklet. Es gibt keinen Schwachstellen-Scan-Richtlinientyp oder CVE-basierten Richtlinientyp. Der Abschnitt Zeitplan bietet einen Patch-Tuesday-Radiobutton, der sich automatisch am Veröffentlichungszyklus von Microsoft am zweiten Dienstag ausrichtet.

Worklet-Katalog: Worklets sind Shell-Skript-Vorlagen für Konfigurationsaufgaben. Die Kategorien sind Systemeinstellungen, Sicherheit und Software-Lebenszyklus. Es existiert keine Kategorie für Schwachstellen.

Seite „Remediations": das zentrale architektonische Signal. Die Seite „Remediations" unter Automatisieren hat eine Aktion: Importieren. Der CSV-Provider-Filter listet Generic Report, CrowdStrike, Qualys, Rapid7 und Tenable Vulnerability Management. Die Tabellenspalten sind Patchbare Schwachstellen, Nicht zugeordnete Schwachstellen und Unbekannte Geräte. Automox gleicht die Ausgabe eines Drittanbieter-Scanners mit seinem eigenen Patch-Katalog ab und zeigt an, welche CVEs es beheben kann. Es führt keine eigene CVE-Erkennung durch.

Verwalten > Software: globales Flotten-Inventar. Die flottenweite Software-Ansicht fügt einen Filter „Schwachstelle oder CVE-ID" hinzu, was bestätigt, dass CVE-Daten auf irgendeiner Ebene im System existieren. Die Spalte Schweregrad zeigt jedoch weiterhin KB-Meta-Kategorien an, nicht CVSS-Scores. Die Spalten Ausgesetzte Tage, Ignoriert und Betroffen sind für die flottenweite Triage verfügbar.

Linux-Agent: Der Linux-Agent inventarisierte 746 Pakete. Die Software-Liste zeigt die Spalten Installierte Version, Verfügbare Version, Ausgesetzte Tage, Schweregrad, KEV-Liste und EPSS. Die Spalten KEV und EPSS sind für alle Einträge leer; die Spalten existieren im Schema, sind aber nicht gefüllt. Der Schweregrad spiegelt das Signal des Patch-Katalogs wider, nicht NVD.

Blinde Flecken des Patch-Katalogs: Firefox ESR 115.12.0 unter Windows zeigte Installiert 115.12.0, Verfügbar 140.10.2, Ausgesetzte Tage 9, Schweregrad „Keine bekannten CVEs" – etwa 25 Release-Versionen und Tausende von CVEs trennen diese beiden, aber der Katalog enthält kein CVE-Signal für diese Versionslücke. LibreOffice 7.1.8.1 unter Linux (14 installierte Pakete, über 100 dokumentierte NVD-CVEs) zeigte alle Pakete als „Installiert" mit leerer verfügbarer Version und leerem Schweregrad. Der Anbieter ist vom 7.1-Zweig auf die 24.x-Serie gesprungen, daher existiert kein Update-Eintrag im Katalog, und das Tool liefert kein Schwachstellensignal.

Endpoint-Footprint: Linux-Agent Spitze: 8,8 MB, der leichteste der vier getesteten Tools, trotz fehlender Marketing-Behauptung zum Footprint. Der Windows-Footprint wurde nicht gemessen: Die NinjaOne-Richtlinie entfernte den Automox-Agenten 2 Minuten nach der Registrierung von NinjaOne auf derselben VM, sodass keine Windows-Baseline erfasst wurde.

Wesentliche Unterschiede:

  • Automatisieren → Remediations: akzeptiert CSV-Exporte von Qualys, Tenable, Rapid7, CrowdStrike oder einem generischen Format; gleicht CVEs mit patchbaren Elementen ab und zeigt patchbare vs. nicht zugeordnete Zähler
  • Schweregradbezeichnungen sind aus den Klassifizierungen des Microsoft-Update-Katalogs entlehnt (Kritisch / Unbekannt / Keine bekannten CVEs), nicht NVD-CVSS-Scores
  • Patch-Katalog-Erkennung erzeugt systematische blinde Flecken: LibreOffice 7.1.8.1 und Firefox ESR 115.12.0 lieferten beide „Keine bekannten CVEs", obwohl Hunderte von dokumentierten CVEs existieren, da kein Katalog-Update für diese Versionszweige existiert
  • Leichtester Agent in der Gruppe mit 8,8 MB Spitze unter Linux – trotz fehlender Marketing-Behauptung zum Footprint
  • Drei Richtlinientypen: Patch-Richtlinie (mit Patch-Tuesday-bewusster Zeitplanung), Richtlinie für erforderliche Software und Worklet (Shell-/PowerShell-Skript-Vorlagen)
  • Testzugang erfordert eine Geschäfts-E-Mail-Adresse; Gmail abgelehnt

4. Action1

Action1 ist eine cloud-native RMM mit einer leistungsfähigen Windows-Schwachstellen-Pipeline. Unter Linux inventarisiert es Pakete und verfolgt Versionsdeltas, erzeugt aber keine CVE-Ausgabe. Die beiden Betriebssystem-Verhaltensweisen sind architektonisch unterschiedlich und müssen separat bewertet werden.

Testzugang: Self-Service, Gmail akzeptiert, kein Vertriebskontakt. Nach dem Absenden des Formulars kommt ein Bestätigungscode per E-Mail; nach Eingabe gelangt man direkt ins Dashboard mit bereiten Agenten-Installern. Kein Onboarding-Assistent, kein Testanfrageformular, keine Wartezeit.

Agenteninstallation Windows: Der Installer ist 6,9 MB groß und wird in 67 Sekunden abgeschlossen. Eine Bestätigungs-E-Mail trifft sofort danach ein, und das Panel zeigt: „Der Agent wurde erfolgreich installiert. Ihr Endpoint ist jetzt mit der Action1-Cloud verbunden."

Agenteninstallation Linux: Der Linux-Agent ist 2,3 MB (.deb) und installiert in 5 bis 6 Sekunden über einen einzigen curl + apt-Befehl. Die Organisations-ID ist im Paket eingebettet; es ist keine Konfiguration nach der Installation erforderlich. Drei Bereitstellungspfade werden angeboten: Interaktiv (für Erstbenutzer), Unbeaufsichtigt und Direkt. RPM ist auch für Red Hat-Familien-Systeme verfügbar. Nach der Installation erkannte der Agent ein ausstehendes Kernel-Upgrade und kennzeichnete den Linux-Endpoint korrekt als „Neustart erforderlich" – er las den distributionsspezifischen Betriebssystemzustand, anstatt Windows-Logik auf Linux anzuwenden.

Dashboard: Ohne manuellen Scan-Auslöser erschienen innerhalb von Minuten nach der Online-Schaltung des Windows-Agenten 114 Schwachstellen und 3 fehlende Updates. Das Dashboard dreht sich um zwei Triage-Widgets: einen Schwachstellenbehebungs-Compliance-Messer mit SLA-Bändern (Kritisch: 1-7 Tage, Hoch: 8-30 Tage, Mittel: 31-90 Tage, Niedrig: 90+ Tage) und eine Matrix zur Fristenaufschlüsselung der zu behebenden Schwachstellen, die Schweregrad × SLA-Überfälligkeitsstatus zeigt. Dasselbe Layout wird für Updates wiederholt. Ein Werbebanner für die free-Stufe und Social-Sharing-Buttons erscheinen ebenfalls auf dem Dashboard.

Schwachstellenliste und CVE-Priorisierung: Die Seite Schwachstellen zeigt CVE-ID, CVSS-Score, CISA-KEV-Kennzeichen, Veröffentlichungsdatum, Behebungsstatus, Anfällige Software (mit vollständigem Versionspfad) und Anzahl betroffener Endpoints. CISA KEV ist eine erstklassige Spalte, die CVEs hervorhebt, die aktiv in freier Wildbahn ausgenutzt werden – ein stärkeres Triage-Signal als CVSS allein. EPSS fehlt.

CVE-Detailpanel: Jede CVE öffnet ein Seitenpanel mit drei Tabs: Endpoints (betroffene Maschinen mit einem Button „Behebung starten"), Anfällige Software (betroffene Software nach Plattform) und Details. Der Tab Details enthält CVSS-Basis-Score, Impact Score, Exploitability Score, CVSS-Subvektor-Aufschlüsselung in menschenlesbarer Form, Ransomware-Assoziationskennzeichen, Multi-Source-Links (NVD, NVD++ via VulnCheck, Anbieter-Hinweis) und eine automatisch berechnete Behebungsfrist basierend auf dem Schweregrad. Kritische CVEs erhalten ein 7-Tage-SLA; Mittel-Hoch erhalten 30 Tage, rückwirkend ab dem CVE-Veröffentlichungsdatum berechnet.

Erkennungslatenz: Firefox ESR 115.0esr wurde mit einem Silent-Flag installiert, und der Zeitstempel des Installationsabschlusses wurde sekundengenau aufgezeichnet. Der Agent lud das Software-Inventar bei T+4 Minuten 33 Sekunden in die Cloud hoch; die Cloud bestätigte 1 Sekunde später; die Schwachstellenliste wurde innerhalb von 11 Minuten nach der Installation mit Firefox-CVEs gefüllt. Der Agent verwendet ein 5-Minuten-Abfrageintervall. Die Marketing-Bezeichnung „Echtzeit" ist ungenau; „Nahezu-Echtzeit / 5-Minuten-Abfrage" ist die korrekte Beschreibung. Es ist kein manueller Scan-Auslöser erforderlich, was es von geplanten Scan-Tools unterscheidet.

Linux-CVE-Erkennung (nicht vorhanden): Ein bewusst anfälliges Firefox ESR 102.15.1-Paket (EOL seit September 2023, über 50 ungepatchte CVEs) wurde über dpkg installiert. Der Agent erkannte die Installation innerhalb von 66 Sekunden und sendete die korrekte Version an die Cloud. Die Cloud-Nutzlast zeigte: "CVE": "", "Security Severity": "Unspecified". Die Schwachstellenseite zeigte „Keine anfällige Software". Dieselbe Firefox-Version unter Windows erzeugte über 11 CVEs mit CVSS-Scores von 9,8 bis 10. Der Linux-Agent von Action1 ist ein Versionsdelta-Tracker: Er zeichnet die installierte Version, die neueste Version und die Update-Verfügbarkeit auf, führt aber keine CVE-Datenbank-Abfrage für Linux-Pakete durch.

Patch-Bereitstellung: Es existieren zwei parallele Abläufe. Der schwachstellengesteuerte Ablauf geht: CVE-Detail > Behebung starten > 3-Schritte-Assistent. Drei Strategien sind verfügbar: Updates bereitstellen, Software deinstallieren und Ausgleichende Kontrollen dokumentieren. Die dritte ist bemerkenswert; sie erlaubt die Dokumentation der Risikoakzeptanz für Software, die nicht gepatcht werden kann. Der update-gesteuerte Ablauf über Update-Genehmigung fügt LAN-basierte P2P-Dateifreigabe für Zweigstellen, Neustart-Orchestrierung (automatischer Neustart mit konfigurierbarem benutzerseitigen Popup und Timeout) und die Option hinzu, native Windows-Updates vollständig zu deaktivieren, sodass nur von Action1 genehmigte Patches bereitgestellt werden. Diese Fähigkeiten existieren nur im update-gesteuerten Ablauf; der schwachstellengesteuerte Assistent bietet sie nicht.

Patch-Bereitstellungszeit für KB5082142: 1 Minute von Jetzt ausführen bis zum Status Erfolgreich. „Erfolgreich" bedeutet in der Automatisierungs-Engine jedoch, dass die Binärdatei auf die Festplatte geschrieben wurde, nicht dass der Patch aktiv ist. Ohne Neustart zeigte die Schwachstellenseite die gepatchte CVE weiterhin als Überfällig an, da das Betriebssystem die Änderung noch nicht übernommen hatte. Die Automatisierungs-Engine bezeichnete den Vorgang als Erfolg; der Schwachstellenscanner zeigte die CVE weiterhin als Überfällig an – das korrekte Verhalten, da der Patch einen Neustart erfordert, um wirksam zu werden. Nach dem Neustart wurde die CVE aus der Liste entfernt.

Alarme und Benachrichtigungen: Alarme basieren auf Berichten: Ein Benutzer abonniert Änderungen (Erstellt / Gelöscht / Geändert) in den Daten eines benannten Berichts. Alarm-E-Mails treffen schnell ein und enthalten strukturierte Felder: Anbieter, Version, Installationstyp und Installiert für. Das Empfängerfeld akzeptiert nur eine E-Mail-Adresse; es gibt keinen Slack-, Teams- oder Webhook-Kanal. Ein stiller Unterdrückungsmechanismus existiert: Nach dem N-ten Auslösen derselben Regel innerhalb eines Zeitfensters hört die Regel auf zu feuern, ohne jegliche UI-Anzeige. Der Unterdrückungszustand ist nur im lokalen Protokoll des Agenten sichtbar. Benutzer, die auf Alarme warten, nachdem der Unterdrückungsschwellenwert überschritten wurde, haben keine Möglichkeit, die Ursache über die Benutzeroberfläche zu entdecken.

Endpoint-Footprint: Gemessen über 10 Minuten während einer Firefox-Installation, eines Scans und eines Alarmauswertungszyklus: durchschnittliche CPU 0,013 %, Spitzen-CPU 1,56 % zum Zeitpunkt des Abfragezyklus, RAM stabil bei 51,7 MB mit einem Band von 0,14 MB über das gesamte Fenster, Festplatten-IO nahe null, abgesehen von kurzen Scan-Cache-Schreibvorgängen. Die Behauptung „keine Endpoint-Belastung" wird durch die Messung gestützt. Es wurde keine schwere synthetische Last getestet.

Berichterstattung: Der Berichts-Builder bietet zwei Typen (Zusammenfassung mit Gruppierung, Einfach für flache Tabellen), einen Spaltenwähler, einen Filterschritt, geplante Zustellung, Abonnieren, CSV-Export und PDF-Export. Fünf integrierte Berichtskategorien umfassen Schwachstellenmanagement mit fünf Unterberichten: Schwachstellen auswählen, Alle kritischen Schwachstellen, Dokumentierte ausgleichende Kontrollen, Bekannte ausgenutzte Schwachstellen und Schwachstellen-Zusammenfassung. Alle sind Momentaufnahmen des aktuellen Zustands. Es gibt keinen integrierten Bericht „Behobene CVEs im Zeitverlauf" oder „Patch-Verlauf nach CVE". Eine gepatchte CVE wird aus der Liste entfernt; sie wechselt nicht in einen behobenen Zustand. Die Rekonstruktion, welche CVE an welchem Datum geschlossen wurde, erfordert manuelles Querverweisen des Automatisierungsverlaufs, der selbst ein Problem der Verlaufsverschmutzung durch doppelte „Jetzt ausführen"-Einträge hat.

Wesentliche Unterschiede:

  • Windows-Erkennung in ≤11 Minuten ab Agenteninstallation (5-Minuten-Abfrage); Installation-bis-Cloud-Upload gemessen bei 4 Minuten 33 Sekunden
  • CVE-Detailpanel: CVSS + CISA-KEV-Kennzeichen + Ransomware-Assoziation + schweregradbasiertes SLA (Kritisch 7 Tage, Mittel/Hoch 30 Tage, automatisch ab Veröffentlichungsdatum berechnet) + Multi-Source-Links (NVD, NVD++, Anbieter-Hinweis)
  • Linux-Agent: 2,3 MB .deb, installiert in 5–6 Sekunden, systemd automatisch aktiviert; RPM ebenfalls verfügbar. Inventarisiert dpkg-Pakete in ~66 Sekunden, erzeugt aber keine CVE-Ausgabe – Agenten-Nutzlast liefert "CVE": "", "Security Severity": "Unspecified". Die Installation von Firefox 102 EOL unter Linux ließ die Schwachstellenliste leer.
  • Agenten-Footprint verifiziert durch pidstat: 51,7 MB stabil, durchschn. 0,013 % CPU, Spitze 1,56 % während des Scans
  • Alarmbenachrichtigungen auf eine einzige E-Mail-Adresse beschränkt; kein Slack, Teams oder Webhook; Alarmregeln hören nach N Auslösungen still auf zu feuern, ohne UI-Anzeige
  • Berichterstattung: Benutzerdefinierter Builder + 5 VM-Unterberichtskategorien (Auswählen / Kritisch / Ausgleichend / KEV / Zusammenfassung) + Zeitplan + Abonnieren; kein integrierter Bericht „Behobene CVEs im Zeitverlauf"
Entdecken Sie weitere unserer Benchmarks und datengestützten Erkenntnisse in der Google-Suche.
GoogleAls bevorzugte Quelle hinzufügen

Methodik

Endpoints: Windows Server 2022 Standard 21H2 (Build 20348.3207) und Ubuntu 24.04.4 LTS (Kernel 6.8.0-111). Alle vier Agenten liefen gleichzeitig auf dem Linux-Host. Unter Windows wurden NinjaOne und Automox nacheinander auf derselben VM installiert.

Anfällige Software: Firefox ESR 115.12.0, 7-Zip 19.00, Edge 148 (Windows); Node.js 18.19.1, vsftpd 3.0.5, Apache 2.4.58, LibreOffice 7.1.8.1, /opt/firefox-115.0esr/ Anbieter-Tarball (Linux).

Messung: pidstat (prozessbezogener RSS und CPU), Get-Counter (Windows-Leistungsindikatoren), pywinrm und paramiko (Remote-Befehlsausführung). Metriken auf Cgroup-Ebene ausgeschlossen, um Page-Cache-Aufblähung zu vermeiden.

Umfang: macOS ausgeschlossen. Die Tests folgten der Reihenfolge: Test-Onboarding → Agenteninstallation → erstes Dashboard → Gerätedetails → Richtlinie/Scan → Schwachstellen-Inventar → Patch-Ablauf → Alarmkonfiguration → Endpoint-Leistung → Berichterstattung.

FAQs

Schwachstellenmanagement-Tools erkennen Software- und Betriebssystem-Schwachstellen auf verwalteten Endpoints, priorisieren sie nach Schweregrad und verbinden die Ergebnisse mit Patch-Workflows. Das Ziel ist es, das Zeitfenster zwischen der Veröffentlichung einer CVE und dem Patchen der betroffenen Version zu verkürzen.
In der Praxis unterscheiden sich diese Tools erheblich darin, wie sie Schwachstellen erkennen. Einige fragen direkt die NVD ab; andere leiten das Risiko aus der Verfügbarkeit im Patch-Katalog ab. Dieser architektonische Unterschied bestimmt, was sie finden können und was nicht.

Diese Forschung zitieren

Wählen Sie das Format, das zu Ihrem Veröffentlichungsort passt. Wenn Sie die Link-Version in Ihr CMS einfügen, bleibt der Backlink erhalten.

Sedat Dogan and Sena Sezer (2026) - "Beste Schwachstellenmanagement-Tools". Online veröffentlicht auf AIMultiple.com. Abgerufen am 2. Juni 2026, von: https://aimultiple.com/vulnerability-management-tools [Online-Ressource]

Dogan, S., & Sezer, S. (2026, 2. Juni). Beste Schwachstellenmanagement-Tools. AIMultiple. https://aimultiple.com/vulnerability-management-tools

@misc{dogan2026,
  author = {Dogan, Sedat and Sezer, Sena},
  title  = {{Beste Schwachstellenmanagement-Tools}},
  year   = {2026},
  month  = jun,
  howpublished    = {\url{https://aimultiple.com/vulnerability-management-tools}},
  note   = {AIMultiple. Abgerufen am 2. Juni 2026}
}
Sedat Dogan
Sedat Dogan
CTO
Sedat ist ein führender Experte für Technologie und Informationssicherheit mit Erfahrung in Softwareentwicklung, Web-Datenerfassung und Cybersicherheit. Sedat: – Verfügt über 20 Jahre Erfahrung als White-Hat-Hacker und Entwicklungsexperte mit umfassenden Kenntnissen in Programmiersprachen und Serverarchitekturen. – Berät Führungskräfte und Vorstandsmitglieder von Unternehmen mit hohem Datenverkehr und geschäftskritischen Technologieanwendungen wie Zahlungsinfrastruktur. – Besitzt neben seiner technischen Expertise auch ausgeprägtes betriebswirtschaftliches Verständnis.
Vollständiges Profil anzeigen
Recherchiert von
Sena Sezer
Sena Sezer
Branchenanalyst
Sena ist Branchenanalystin bei AIMultiple. Sie hat ihren Bachelor-Abschluss an der Bogazici-Universität erworben.
Vollständiges Profil anzeigen

Seien Sie der Erste, der kommentiert

Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich. Kommentare werden in ihrer Originalsprache belassen.

0/450