Greenbone Cloud Service (GCS)
Der Greenbone Cloud Service (GCS) ist die gehostete, abonnementbasierte Version des Greenbone-Schwachstellen-Managements: Du meldest dich an einer Web-Plattform an und scannst deine Systeme, ohne eine eigene Appliance installieren oder warten zu müssen. Dieses Kapitel behandelt, wie sich GCS von der selbst gehosteten Appliance unterscheidet, die Kontoerstellung und Anmeldung mit Zwei-Faktor-Authentifizierung, die Plattform-UI, die Einstellungen für Benutzer/Team/Konto und Abonnement/Abrechnung, das Ausführen externer und interner Scans (einschließlich des für interne Ziele benötigten Cloud-Gateways), authentifizierte Scans und die Credential-Anforderungen je Betriebssystem, Berichte und Schwachstellen-Management sowie die wichtigsten Netzwerk-FAQ-Punkte.
Basiert auf dem offiziellen Greenbone-Cloud-Service-Handbuch unter docs.greenbone.net (GCS-Manual, englische Ausgabe), abgerufen im Juni 2026. GCS ist die SaaS-Option - abgegrenzt von der selbst gehosteten Greenbone Enterprise Appliance und der kostenlosen Community Edition. UI-Beschriftungen, MenĂĽpfade und technische Werte unten sind diesem Handbuch entnommen; wo das Handbuch ein Detail nicht angibt, wird der Text allgemein gehalten und nicht erfunden.
1. Was GCS ist und wie es sich von der Appliance unterscheidet​
Schwachstellen-Management bedeutet im Verständnis von Greenbone, die eigene IT-Infrastruktur von außen zu betrachten - so, wie es ein potenzieller Angreifer tun würde -, um Schwachstellen zu identifizieren, ihr Risiko zu bewerten und eine Behebung zu empfehlen, und diesen Zyklus dann kontinuierlich zu wiederholen. GCS liefert das als Service: Das Handbuch beschreibt es als „einen einfach zu bedienenden, hochwertigen Service für das Schwachstellen-Management". Du registrierst dich, meldest dich an und arbeitest von überall aus über einen Browser. Abonnements sind paketbasiert und können monatlich gekündigt werden, und sie erlauben dir, externe Netze, DMZ und interne Netze zu scannen.
Der praktische Gegensatz zum selbst gehosteten Produkt:
| Aspekt | Greenbone Cloud Service (SaaS) | Selbst gehostete Appliance / Community Edition |
|---|---|---|
| Wer den Scanner betreibt | Greenbone hostet und wartet die Scan-Infrastruktur | Du installierst, betreibst und aktualisierst die Appliance oder Community Edition selbst |
| Was du betreibst | Eine Web-Plattform sowie, für interne Scans, eine kleine Gateway-VM in deinem Netzwerk | Den vollständigen Scanner-Host (physisch, virtuell oder als Container) |
| Wo du Scans startest | Die GCS-Web-Plattform (Browser) | Die Weboberfläche der Appliance (GSA) auf deinem eigenen Host |
| Interne Ziele erreichen | Erfordert eine herunterladbare Gateway-Virtual-Appliance, die nach auĂźen zur Cloud verbindet | Die Appliance steht bereits innerhalb deines Netzwerks |
| Geschäftsmodell | Abonnement-Pakete, monatlich kündbar; Abrechnung und Rechnungen werden in der Plattform abgewickelt | Appliance-Abonnement/Feed für Enterprise; die Community Edition ist kostenlos |
Die Einleitung im GCS-Handbuch fĂĽhrt selbst keinen Funktionsvergleich Punkt fĂĽr Punkt gegenĂĽber der Appliance oder der Community Edition aus, behandle die obige Tabelle also als architektonischen Unterschied und nicht als zitierte Matrix. FĂĽr die selbst gehostete Seite siehe den Greenbone / OpenVAS Guide.
2. Vor der Nutzung lesen​
Ein Schwachstellen-Scan ist eine aktive Interaktion mit dem Ziel. Das Handbuch stellt ausdrücklich klar, dass der Scanner „während eines Scans weiterhin mit den analysierten Zielsystemen interagieren und kommunizieren muss", einschließlich Protokoll-Probes (zum Beispiel HTTP und FTP) zur Identifikation von Diensten. Rechne mit Nebenwirkungen:
- Log- und Alert-Einträge auf Zielsystemen und Netzwerkgeräten.
- Ausgelöste Sicherheitsmaßnahmen (Firewall-Regeln, IDS/IPS-Reaktionen).
- Erhöhte Latenz auf dem Ziel und im gescannten Netzwerk.
- Mögliche Abstürze fragiler Anwendungen, insbesondere eingebetteter Systeme.
- Banner-Grabbing über SSH/FTP und mögliche Kontosperrungen durch Passwort-Tests.
Hole vor dem Scannen eine ausdrückliche Autorisierung ein und füge die Scanner-IP-Adressen deinen Allowlists hinzu. Die Begründung des Handbuchs ist unverblümt: Wenn das Auslösen von Fehlern, Abstürzen oder Sperrungen mit den Standardeinstellungen möglich ist, könnte ein Angreifer genau dasselbe tun. Für externe Ziele erzwingt GCS zusätzlich den Eigentumsnachweis über die Host Validation (Abschnitt 5.2).
3. Zugriff auf die Plattform​
3.1 Ein Benutzerkonto erstellen​
Neue Konten werden auf der Registrierungsseite erstellt:
Browser öffnen und zur Greenbone-Cloud-Service-URL gehen
-> Register
-> E-Mail und Passwort eingeben (optional "Security News" aktivieren)
-> Next
-> Unternehmensdaten eingeben
-> Next
-> die Zustimmungskästchen für Nutzungsbedingungen und Datenschutzerklärung anhaken
-> Create free account
Neue Konten beginnen als kostenlose Testkonten und können später in kostenpflichtige Konten umgewandelt werden. Der Hauptbenutzer kann weitere Benutzer in sein Team einladen.
3.2 Anmelden​
Ă–ffne den Browser, gib die GCS-URL ein und melde dich mit der E-Mail-Adresse und dem Passwort an. Nach einer erfolgreichen Anmeldung wird die Seite Scan Management angezeigt. Die Anzeigesprache kann oben auf der Seite umgeschaltet werden, und ein vergessenes Passwort wird ĂĽber Forgotten your password? zurĂĽckgesetzt.
3.3 Aufbau der Plattform​
Die Plattform ist aus zwei wiederkehrenden UI-Mustern aufgebaut:
- Listenseiten zeigen alle Objekte eines Typs - Scans, Scan-Aufgaben, Ziele, Login-Credentials, Zeitpläne und Gateways. Du kannst nach Objektnamen suchen und durch Klick auf eine Spaltenüberschrift auf- oder absteigend sortieren.
- Detail-Overlays öffnen sich, wenn du auf einen unterstrichenen Objektnamen klickst, und zeigen zusätzliche Informationen, ohne die Listenseite zu verlassen.
3.4 Support erhalten​
Das Menü Help bietet das Glossar (grundlegende Begriffe), das Benutzerhandbuch (Schritt-für-Schritt-Anleitungen) und rechtliche Informationen (Nutzungsbedingungen und Datenschutzerklärung).
4. Einstellungen für Benutzer, Team, Konto und Abonnement​
Der Einstellungsbereich (Handbuchkapitel 4) deckt die persönliche, sicherheitsbezogene, teambezogene und kommerzielle Konfiguration ab:
- Language - die Plattformsprache ändern.
- Notifications - Scan-Zusammenfassungen und Benachrichtigungen ĂĽber abgeschlossene Scans aktivieren (siehe Abschnitt 8).
- Security - dein Passwort ändern und die Zwei-Faktor-Authentifizierung einrichten.
- Teams - Benutzer hinzufügen, Teammitglieder (de)aktivieren, den Hauptbenutzer ändern und das Konto löschen.
- Subscription - den Abonnement-Umfang ändern oder das Abonnement kündigen.
- Billing - Abrechnungsinformationen ändern und Rechnungen herunterladen.
- Managed-Security-Einstellungen - die Managed-Security-Optionen konfigurieren, wo zutreffend.
4.1 Zwei-Faktor-Authentifizierung​
Die Zwei-Faktor-Authentifizierung (2FA) wird unter den Sicherheitseinstellungen konfiguriert (Setting up Two-Factor Authentication). Ihre Aktivierung fügt zusätzlich zum E-Mail/Passwort-Login einen zweiten Faktor hinzu.
Der Hauptbenutzer steuert das Team, den Abonnement-Umfang und die Abrechnung. Dieses Konto mit 2FA zu schĂĽtzen begrenzt den Schadensradius, falls ein Passwort durchsickert.
4.2 Abonnement und Abrechnung​
Abonnements sind paketbasiert und monatlich kündbar. Über die Einstellungen kannst du den Abonnement-Umfang ändern (zum Beispiel die Größe des Netzwerks, für dessen Scan du lizenziert bist), das Abonnement kündigen, Abrechnungsinformationen bearbeiten und Rechnungen herunterladen. Was beim Ende eines Abonnements passiert, wird im FAQ behandelt (Abschnitt 10).
5. Scans ausführen​
GCS bietet zwei Einstiegspunkte: einen gefĂĽhrten Task Wizard und eine manuelle Konfiguration mit voller Kontrolle. Beide bauen auf denselben Objekten auf - Ziel, Aufgabe, Credentials, Gateway und Zeitplan.
5.1 Der Task Wizard​
Scan Management
-> + Prepare New Scan Task with Wizard
-> Let's go!
-> einen Aufgabennamen eingeben und eine Scan-Konfiguration wählen -> Save and Continue
-> ein vorhandenes Ziel auswählen ODER + Create New Target -> Save and Continue
-> (optional) Login-Credentials auswählen oder erstellen -> Save and Continue
-> (optional) einen Zeitplan auswählen oder erstellen -> Save and Continue
-> fĂĽr ein externes Ziel: Request Host Validation
-> Prepare Scan
Die Aufgabe erscheint dann auf Scan Management mit dem Status Available; klicke auf das Start-Symbol, um sie auszuführen. Die Seite aktualisiert sich automatisch, während der Scan fortschreitet.
Der Task Wizard unterstĂĽtzt nur externe (zum Internet hin gerichtete) Ziele. Um interne Systeme zu scannen, musst du ein Ziel und ein Gateway manuell konfigurieren (Abschnitte 5.3 und 5.4).
5.2 Externe Ziele und Host Validation​
Externe Ziele werden unter Scan Configuration > Targets > External Targets > + Create New External Target erstellt. Zu den wichtigsten Feldern gehören der Zielname, eine optionale Beschreibung, der Target mode (IP Address oder Hostname, nach der Erstellung fixiert), die zu scannenden Hosts, eine optionale Liste ausgeschlossener Hosts, die Methode für den Alive test, eine Port list sowie optionale Login-Credentials für SSH, SMB und ESXi.
Hosts können als einzelne Adressen, Bereiche, CIDR-Blöcke oder IPv6-Adressen eingegeben werden, zum Beispiel:
192.168.15.5
192.168.15.5-192.168.15.27
192.168.15.0/24
fe80::222:64ff:fe76:4cea
Das Scannen eines externen Ziels ist erst möglich, wenn dessen Eigentum validiert ist. Es gibt drei Validierungswege:
- Owner self-validation - öffne
Request Host Validation, hakeI Am The Owneran, dannValidate Host. Du bestätigst, dass du autorisiert bist, und übernimmst die Verantwortung für die Auswirkungen des Scans. - Contact via RIPE NCC - GCS schlägt den registrierten Kontakt für die Adresse im RIPE-NCC-Register nach und sendet eine Anfrage an diesen Kontakt.
- Manual check by the security team - eine manuelle PrĂĽfung durch das Greenbone-Sicherheitsteam anfordern.
Die Spalte Verified zeigt den Status als ausstehend, verifiziert oder abgelehnt.
5.3 Interne Ziele​
Interne Ziele werden unter Targets > Internal Targets > + Create New Internal Target erstellt. Die Felder entsprechen denen externer Ziele, aber es ist keine Host Validation erforderlich - stattdessen erreicht der Scan das interne Netzwerk ĂĽber ein Gateway.
5.4 Das Gateway für interne Ziele​
GCS selbst läuft in der Cloud und kann private Adressen nicht direkt erreichen. Um interne Ziele zu scannen, stellst du eine kleine Gateway-Virtual-Appliance innerhalb deines Netzwerks bereit; sie verbindet nach außen zur Cloud und leitet den Scan in das interne Netzwerk weiter.
Das Gateway ist eine Virtual Appliance mit bescheidenen Anforderungen: mindestens 1 vCPU, mindestens 512 MB RAM und mindestens 8 GB Disk, lauffähig auf Microsoft Hyper-V v5.0+ oder VMware vSphere ESXi v6.0+.
Einrichtung im Ăśberblick:
Gateways -> Download (deinen Hypervisor wählen) -> die Appliance importieren und booten
CLI-Login: user admin / password admin
-> Gateway configuration -> Web-Passwort setzen (>=8 Zeichen, GroĂź-/Kleinbuchstabe, Ziffer, Sonderzeichen)
-> Network configuration -> die Gateway-IP-Adresse notieren
In der Plattform: Gateways -> + Create New Gateway
-> Location (den Netzwerkstandort beschreiben)
-> IP address/network (eine freie IP im Zielnetzwerk mit Prefix, z. B. 10.0.1.50/24)
-> DNS Server (ein DNS-Server im Zielnetzwerk)
-> Use MAC-NAT (standardmäßig aktiviert; nur bei Bedarf deaktivieren)
-> (optional) + Create New Route fĂĽr Routing ĂĽber mehrere Subnetze
-> das neue Gateway speichern
Die IP, die du dem Gateway-Objekt zuweist, muss sich von der eigenen Management-IP der Appliance unterscheiden, die du während der Netzwerkkonfiguration notiert hast. Das Gateway wird anschließend mit einem API-Schlüssel registriert (über seine Web-UI unter https://<gateway-ip>, Settings > API-Schlüssel einfügen > Save) oder über das Verbindungstoken der CLI. Nach der Registrierung wechselt sein Status in der Plattform auf CONNECTED.
5.5 Authentifizierte Scans und Credentials​
Ein authentifizierter Scan meldet sich am Host an (Local Security Checks, LSC), um deutlich genauere Ergebnisse zu liefern als ein reiner Netzwerk-Scan - er kann Patch-Stände, Registry-Schlüssel und installierte Pakete auslesen und erzeugt weniger Falsch-Negative. Credentials werden unter Scan Configuration > Login Credentials > + Create New Login Credentials verwaltet, in zwei Typen:
- Login and password - fĂĽr SMB (Windows), SSH (Linux/Unix), ESXi und Cisco.
- Login, passphrase, and private key - fĂĽr SSH-SchlĂĽssel-Authentifizierung unter Linux/Unix.
Das Handbuch weist darauf hin, dass deutsche Umlaute in Credentials nicht funktionieren - verwende ae, oe, ue und ss anstelle der Umlautformen. Ein Credential kann nicht gelöscht werden, solange es noch in Verwendung ist.
Anforderungen je Betriebssystem​
| Ziel-Betriebssystem | Credential-/Zugriffsanforderung (laut Handbuch) |
|---|---|
| Microsoft Windows | Der Dienst Remote Registry muss starten; File and Printer Sharing aktiviert; für lokale Konten in der Registry LocalAccountTokenFilterPolicy=1 setzen. Ein Domänen-Admin bietet den besten Registry-Zugriff; die empfohlene Einrichtung ist ein dediziertes Domänen-Konto in einer Gruppe Greenbone Local Scan, dem über eine GPO lokale Admin-Rechte gewährt werden, während lokale und Remote-Desktop-Anmeldung verweigert werden. |
| Linux / Unix | SSH-Zugriff über Passwort oder Schlüssel. PubkeyAuthentication darf nicht auf no gesetzt sein. Ed25519- oder RSA-Schlüssel (RFC 4716-konform) werden empfohlen. Ein regulärer Benutzer ist meist ausreichend; einige Policy-Checks benötigen möglicherweise erweiterte Rechte. |
| VMware ESXi | Ein lokal je ESXi-Host erstellter Benutzer (nicht ĂĽber vCenter). Entweder das Admin-Konto oder eine eigene Rolle mit Read-only plus dem Privileg System > Global > Settings, die dem Scan-Benutzer auf dem Host zugewiesen wird. |
| Cisco OS | Ein SSH-Benutzer mit geringsten Rechten (zum Beispiel beschränkt auf show version), erstellt mit AAA und einer Parser-View; füge ihn als SSH-Credential hinzu und weise ihn dem Ziel zu. |
5.6 Zeitpläne​
Geplante Scans werden unter Scan Configuration > Schedules > + Create New Schedule definiert, mit einem Namen, einer optionalen Beschreibung, einer Start Time, einer optionalen End Time, einem Execution Interval (Daily, Weekly oder Monthly) und einer Interval Spacing (zum Beispiel läuft 2 bei Weekly alle zwei Wochen). Der Zeitplan wird dann beim Erstellen einer Aufgabe ausgewählt.
5.7 Port-Listen​
Eine Port-Liste schränkt den Scan auf die relevanten Ports ein, was die Scan-Zeit verkürzt. GCS liefert vordefinierte Listen, darunter:
| Port-Liste | Abdeckung |
|---|---|
| All IANA assigned TCP | Bei der IANA registrierte TCP-Ports (ein gängiger Standard) |
| All privileged TCP | TCP 0-1023 |
| All privileged TCP and UDP | TCP und UDP 0-1023 |
| All TCP | TCP 0-65535 (vollständig, langsam) |
| OpenVAS Default | Der Standard-Portsatz des Scanners |
| All IANA assigned TCP and UDP | Registrierte TCP- und UDP-Dienste |
| All TCP and Nmap top 100 UDP | Alle TCP plus die 100 häufigsten UDP-Ports |
| All TCP and Nmap top 1000 UDP | Alle TCP plus die 1000 häufigsten UDP-Ports |
| Web services | HTTP/HTTPS und zugehörige Ports |
UDP-Scans sind langsamer als TCP, sodass das AusschlieĂźen von UDP-Ports eine Stellschraube fĂĽr schnellere Scans ist.
5.8 Benachrichtigungen​
Benachrichtigungen werden in den Benutzereinstellungen aktiviert (Abschnitt 4): eine periodische Zusammenfassung der konfigurierten Scans und eine Benachrichtigung, wenn ein Scan abgeschlossen ist.
5.9 Fehlerbehebung bei Scans​
- Hosts als tot gemeldet - wenn Ziele nicht auf Ping antworten, behandelt der Scanner sie als tot. Ändere die Methode für den Alive test am Ziel auf
TCP ack service,TCP syn serviceoderConsider alive. - Scans dauern zu lange - Firewalls, die Pakete verwerfen (statt sie abzulehnen), verursachen Port-Timeouts. Reduziere die Port-Liste, prüfe die Firewall-Richtlinien und erwäge, UDP-Ports auszuschließen. Auch ein vorgelagerter Discovery-Scan zum Überspringen inaktiver Adressen hilft.
6. Berichte und Schwachstellen-Management​
Scan-Ergebnisse werden in Berichten gesammelt, die auf drei Arten betrachtet und in mehreren Formaten exportiert werden können.
6.1 Dashboard-, Grid- und Tabellenansichten​
- Dashboard - eine Zusammenfassung: Gesamtzahl der Schwachstellen, Verteilung nach Lösungstyp und nach Schweregrad, die beiden Lösungen mit dem höchsten Behebungsanteil, das Gesamtrisikoniveau (höchster gefundener Schweregrad) und die Top 10 Hosts nach Anzahl der Schwachstellen.
- Grid overview - jedes Ergebnis nach Schweregrad absteigend sortiert, jeweils mit Name, Schweregrad, Quality of Detection (QoD), Lösungstyp, Host, Port und Protokoll, Hostname und Betriebssystem.
- Table overview - drei Tabellen: eine Overview-Tabelle aller Ergebnisse; eine Host-Tabelle gruppiert nach Host (IP, höchster Schweregrad, Anzahl je Schweregrad); und eine Vulnerability-Tabelle gruppiert nach Schwachstelle (Name, Schweregrad, betroffene Hosts und Ports, Lösungstyp).
6.2 Quality of Detection und Schweregrad​
QoD ist ein Zuverlässigkeitswert von 0-100 % für eine Erkennung. Der Standardfilter zeigt nur Ergebnisse mit 70 % oder höher. Standardmäßig werden Low- und Log-Ergebnisse herausgefiltert, sodass du dich zuerst auf die Ergebnisse mit höherem Schweregrad konzentrierst; behebe Critical vor Medium. Lösungstypen werden als Official Fix, Temporary Fix, Risk Reduction, No Fix Available und Searching for Fix gemeldet.
6.3 Filtern und Export​
Filter werden über Filter + angewendet und umfassen einen QoD-Bereichsregler, einen Schweregrad-Regler, Lösungstyp-Buttons und Drop-downs für Port, Host, Hostname und Betriebssystem. Berichte werden exportiert als:
- Executive report (PDF oder JSON) - allgemeine Scan-Informationen und nach Schweregrad sortierte Hosts.
- Technical report (PDF oder JSON) - Scan-Informationen plus Host- und Schwachstellendetails.
- XML - zur weiteren Verarbeitung.
IP-Adressen können im Download anonymisiert werden.
6.4 Bericht-Benachrichtigungen​
GCS kann periodische Bericht-Zusammenfassungen oder eine Benachrichtigung senden, wenn ein Bericht fertig ist; konfiguriert in den Benutzereinstellungen.
Für das Appliance-Äquivalent dieses Workflows siehe Berichte und Schwachstellen-Management.
7. Häufig gestellte Fragen​
7.1 Welche Firewall-Regeln benötigt GCS?​
Das Handbuch listet Ausgangsregeln für die Kommunikation Gateway-zu-Cloud und Cloud-zu-Ziel auf. Behandle die konkreten Adressen unten als die zum Abrufzeitpunkt im Handbuch veröffentlichten Werte und prüfe das aktuelle FAQ erneut, bevor du Regeln öffnest, da sich gehostete Endpunkte ändern:
Gateway -> Cloud (ausgehend 443/TCP):
GCS 45.135.106.140
Greenbone Cloud 217.72.202.36
Update service gpublic.azurecr.io
Azure Blob storage *.blob.core.windows.net
DNS (bei Verwendung eines externen DNS-Servers): 53/UDP und 53/TCP
Cloud -> externe Ziele:
Quellbereich des Scan-Traffics 45.135.106.0/25
Zielports folgen der konfigurierten Port-Liste
7.2 Welche VPN-Technologie verwendet das Gateway?​
Ein auf SSH Layer 2 basierendes VPN, das ausgehend auf 443/TCP zu GCS (45.135.106.140) verbindet.
7.3 Fehlerbehebung bei Gateway und NAT​
Mit Gateway v1.5 und höher ist MAC-NAT in der Regel unproblematisch. Falls nötig, deaktiviere MAC-NAT und nimm die passenden Hypervisor-Anpassungen vor - aktiviere unter VMware ESXi Promiscuous Mode und Forged Transmits; Oracle VirtualBox hat eine entsprechende Einstellung.
7.4 Was passiert mit meinem Konto, wenn das Abonnement endet?​
Benutzer können sich weiterhin anmelden und bereits erstellte Berichte herunterladen, aber neue Scans sind nicht mehr möglich. Das Konto wird nach einem definierten Zeitraum gelöscht, mit vorheriger Benachrichtigung.
7.5 Warum sind Scans langsam?​
Langsame Scans entstehen meist durch Zeit, die auf inaktive IP-Adressen verwendet wird. FĂĽhre vorab einen Discovery-Scan durch, um aktive Hosts zu identifizieren, und kĂĽrze die Port-Liste.
8. Verweise auf das Glossar​
Das Plattform-Menü Help enthält ein Glossar, das die durchgängig in GCS verwendeten Kernbegriffe abdeckt - Ziel, Aufgabe, Credential, Gateway, Zeitplan, Port-Liste, QoD, Schweregrad und Bericht. Wenn dir ein Begriff in diesem Kapitel unbekannt ist, ist das produktinterne Glossar die maßgebliche Definition.