Home

Ops One AG

Weststrasse 77
8003 Zürich

+41 44 559 79 79
team@opsone.ch

  • Home
  • Blog
  • Security-Scan-Warnung: Warum das bei uns kein Grund zur Sorge ist

Security-Scan-Warnung: Warum das bei uns kein Grund zur Sorge ist

  • Mario Rimann
  • Sereina Näf
Mario Rimann Sereina Näf
16. September 2025 – 4 min read
David im Ops One Büro vor seinem Bildschirm, auf dem Bildschirm offenes Test-Program, GitLab, und Terminal.

Von automatisierten Security Scans erhalten unsere Kundinnen und Kunden immer mal wieder Warnungen, die sich auf vermeintlich veraltete Software auf unseren Managed Servern beziehen. 

In diesem Artikel erklären wir, warum es zu solchen Meldungen kommen kann, und wieso das kein Grund zur Beunruhigung ist.

Externe Sicherheitsprüfungen oder automatisierte Security Scans lösen teilweise Fehlalarme zu vermeintlich veralteter Software auf unseren Managed Servern aus. Die Warnungen in diesen Reports sind dabei meist sehr allgemein gehalten (z. B. “veraltete SSH-Version entdeckt”). Oft führen diese Meldungen zu Verunsicherungen, vor allem wenn sie ohne weitere technische Details daherkommen. 

Wirklicher Grund zur Sorge besteht dabei nicht. Denn grundsätzlich gilt: Ein von uns supporteter Managed Server ist sicher und die eingesetzte Software jederzeit auf dem aktuellsten Stand.

Das Problem: Oberflächliche Security-Scans

Die meisten externen Security-Tools prüfen lediglich öffentlich sichtbare Dienstinformationen; zum Beispiel, welche Version eines SSH- oder Webservers läuft. Diese Informationen sind oft per Banner oder Protokollmeldungen abrufbar, ohne dass sich das Tool tiefer mit der tatsächlichen Systemkonfiguration auseinandersetzt.

Verbindet sich ein externer Scanner mit dem SSH-Dienst eines Servers, so meldet dieser beispielsweise:

Remote protocol version 2.0, remote software version OpenSSH_8.4p1

Die Prüfsoftware sieht nun „OpenSSH 8.4p1“, gleicht das mit einer öffentlichen Liste von Softwareversionen und bekannten Schwachstellen ab, und schlägt Alarm: „Version veraltet, Sicherheitslücken bekannt“. Das ist aber nur die halbe Wahrheit.

Warum eine „veraltete“ Versionsnummer nichts über den Sicherheitsstand aussagt

Ein zentrales Missverständnis liegt darin, dass nicht, wie teilweise angenommen, jede Aktualisierung einer Software in der Versionsnummer auslesbar ist. Zumindest nicht in der Versionsnummer, wie sie extern ausgelesen wird. Das gilt insbesondere für Linux-Distributionen wie Debian, auf denen unsere Managed Server basieren.

Debian – wie viele andere stabile Linux-Distributionen auch – verfolgt den Ansatz der Rückportierung (Backporting) von Sicherheitsfixes. Das bedeutet:

  • Die Hauptversionsnummer der Software bleibt gleich.
  • Kritische Sicherheitslücken werden gezielt in dieser Version gepatcht, ohne neue Features oder grössere Änderungen zu übernehmen.
  • Die Software ist dadurch weiterhin stabil, sicher und auf dem neuesten Stand – auch wenn das in der Hauptversionsnummer nicht ersichtlich ist.

Beispiel aus der Praxis

Ein Kunde erhielt kürzlich einen Report, in dem bemängelt wurde, dass auf seinem Server die SSH-Version „OpenSSH_8.4p1“ eingesetzt werde – mit dem Vermerk „Exploit available“.

Unsere interne Prüfung ergab:

  • Der Server ist ein Managed Server v8, basierend auf Debian 11 „Bullseye“.
  • Dieser wird bis mindestens Juni 2026 mit Sicherheitsupdates versorgt.
  • Die konkret installierte Version war 8.4p1-5+deb11u5. Diese basiert auf der Upstream-Version 8.4p1, wurde aber durch Debian um wichtige Sicherheitsfixes ergänzt.
  • Das letzte Update des Pakets wurde Anfang Mai 2025 installiert. Es handelt sich also nicht um eine „ungepatchte Altversion“, sondern um die aktuellste, sichere Version von Debian Bullseye, wie sie auf https://packages.debian.org/bullseye/openssh-server dokumentiert ist.

Nach aussen hin wird weiterhin nur 8.4p1 als Version angezeigt. Das heisst, der Security-Scan kann ohne Kenntnis der Paketverwaltung und Patch-Politik von Debian nicht unterscheiden, ob es effektiv eine veraltete Version mit Sicherheitslücken ist oder die von Debian gepatchte Version. Und schlägt deshalb lieber einmal zu viel als zu wenig Alarm.

Unser Versprechen: Jederzeit gewährleistete Sicherheit durch aktives Patch-Management

Wenn du einen Managed Server bei uns betreibst, dann kannst du dich darauf verlassen, dass:

  • alle sicherheitsrelevanten Updates zeitnah eingespielt werden, basierend auf den offiziellen Security Advisories der verwendeten Distribution (z. B. Debian Security Tracker).
  • regelmässige Wartungen und automatisierte Prozesse dafür sorgen, dass deine Systeme kontinuierlich auf dem neuesten Stand sind,
  • und dass bei einem von uns supporteten Managed Server kein Handlungsbedarf deinerseits besteht, auch wenn ein externer Report eine vermeintlich veraltete Software bemängelt.

Das heisst: Was bei uns auf einem supporteten Server läuft, ist aktuell, stabil und sicher, auch wenn dein Security Scan etwas anderes sagt.

Wann du dir Sorgen machen solltest – und wann nicht

Ganz allgemein gilt: Wenn du einen Security-Report erhältst, der auf eine veraltete Version hinweist, lohnt sich ein zweiter Blick.

Kein Grund zur Sorge, wenn:

  • Es sich um pauschale Aussagen wie „Version XY ist veraltet“ handelt.
  • Keine konkreten CVE-Nummern (Common Vulnerabilities and Exposures) oder Angriffsvektoren genannt werden.
  • Der Server von uns supportet wird (= noch nicht End-of-Life ist) und daher die betroffene Software über offizielle Debian-Pakete installiert wurde.

Melde dich gerne, wenn:

  • im Report konkrete Schwachstellen (z. B. CVE-IDs) genannt werden,
  • ein externer Prüfer auf eine bestimmte, nachweisbare Lücke hinweist,
  • oder du selbst administrativ tätig bist und Zweifel an der Update-Strategie hast.

In diesen Fällen können wir gezielt prüfen, ob und wann der entsprechende Fix installiert wurde oder ein entsprechendes Update bereits geplant ist. Die Chancen stehen jedoch sehr gut, dass das betreffende Update bereits eingespielt wurde – und zwar bereits unmittelbar beim Bekanntwerden der Schwachstelle, und damit oft lange vor der externen Sicherheitsprüfung.

Fazit: Vertraue auf unser Patch-Management

Wir verstehen, dass externe Security-Prüfungen wichtig sind und dass Sicherheitswarnungen ernst genommen werden müssen. Gleichzeitig ist es entscheidend, zwischen einem echten Risiko und einer technisch bedingten Fehlinterpretation zu unterscheiden.

Mit einem Managed Server von uns profitierst du von:

  • Kontinuierlicher Pflege und Wartung,
  • verlässlicher Update-Strategie auf Basis stabiler Distributionen,
  • sowie fachkundiger und schneller Überprüfung bei konkreten Anfragen oder Unsicherheiten.

Wenn ein Sicherheitsreport dich verunsichert: Melde dich bei uns – idealerweise mit konkreten Hinweisen (z. B. CVE-Nummern). Dann können wir prüfen, zu welchem Zeitpunkt die entsprechenden Sicherheitsupdates installiert wurden.

So bleibt deine Umgebung sicher – auch wenn es die Versionsnummer nicht gleich verrät.

Hast du Fragen dazu oder willst etwas genauer wissen?

Melde dich, wir haben stets ein offenes Ohr!