Tenable
Schwachstellenmanagement & Nessus
- Sicherheit & Endpoint-Schutz
- Subscription
Für · CISOs, Sicherheitsteams und IT-Abteilungen von Organisationen mit NIS2-, DORA-, ISO 27001- oder SOC 2-Anforderungen
Tenable ist Marktführer im Schwachstellenmanagement und Exposure Management. Das bekannteste Produkt ist Nessus – einer der weltweit am häufigsten eingesetzten Schwachstellenscanner – sowie die Enterprise-Plattformen Tenable Vulnerability Management (früher Tenable.io), Tenable Security Center und das übergreifende Tenable One. Für Organisationen mit NIS2-, DORA- oder ISO 27001-Vorgaben ist ein Toolset wie Tenable quasi Standard geworden.
Das Lizenzmodell basiert auf der Anzahl der Assets (IP-Adressen, Cloud-Ressourcen, Identitäten). Das klingt einfach, doch die Zählung ist berüchtigt komplex: IoT-Geräte, Container-Instanzen und flüchtige Cloud-Workloads können die Asset-Anzahl rasch in die Höhe treiben. Organisationen, die ihr Asset-Inventar nicht aktiv verwalten, sehen ihre Tenable-Rechnung von Jahr zu Jahr steigen, ohne dass das Sicherheitsniveau entsprechend wächst.
Einkaufs-Hinweise
- Bereinigen Sie Ihr Asset-Inventar vor jeder Verlängerung
Der wichtigste Kostenfaktor bei Tenable ist ein sauberes Asset-Inventar. Führen Sie unmittelbar vor der Verlängerung eine Bereinigung durch: Entfernen Sie alte Hosts, inaktive Cloud-Ressourcen und Doppelerfassungen. In der Praxis lassen sich 10–20 % der Assets bereinigen – mit direktem Einfluss auf den Lizenzpreis.
- Vergleichen Sie Einzelprodukte mit Tenable One
Tenable bietet Nessus, Tenable Vulnerability Management, Cloud Security, Identity Exposure und mehr als einzelne Module oder als Tenable One Bundle an. Für Organisationen, die mehrere Module nutzen, ist der Bündelpreis meist günstiger – jedoch nur, wenn diese Module tatsächlich verwendet werden.
- Verhandeln Sie mehrjährige Preisbindungen
Mehrjährige Verträge (2-3 Jahre) bringen attraktive Rabatte und schützen vor Zwischenpreiserhöhungen. Für ein gereiftes Sicherheitsprogramm, in dem Tenable fest integriert ist, ist dies oft finanziell vorteilhafter als jährliche Verlängerungen.
- Nutzen Sie Qualys und Rapid7 als Verhandlungshebel
Tenable hat mehrere starke Konkurrenten (Qualys, Rapid7, Wiz für Cloud). Ein seriöser Vergleich mit diesen Alternativen im Rahmen eines Verlängerungsprozesses schafft Verhandlungsspielraum. Ein unabhängiger Einkaufspartner kann dies ohne Reputationsverlust im Vorfeld prüfen.
Compliance-Risiken
- EU-Datenstandort vs. US-Tenant
Tenable Vulnerability Management läuft auf AWS in bestimmten Regionen. Für Organisationen unter NIS2 oder mit branchenspezifischen Datenstandortanforderungen ist es verpflichtend, die EU-Instanz zu wählen und dies vertraglich festzuhalten. Standardmäßig ist dies nicht immer der Fall.
- Scan-Daten enthalten sensible Sicherheitsinformationen
Scan-Ergebnisse von Tenable geben detaillierte Einblicke in Schwachstellen je Host. Das ist wertvoll, aber auch sensibel: Ein Datenleck wäre eine Blaupause für Angreifer. Rollenbasierter Zugriff und Audit-Logging müssen aktiv konfiguriert werden – dies ist keine Standardeinstellung.
- Geister-Assets in der Cloud
Cloud-Scanner und Agents inventarisieren flüchtige Ressourcen, die innerhalb von Stunden erscheinen und verschwinden. Ohne gute Konfiguration werden diese dennoch in der Lizenzrechnung berücksichtigt, obwohl sie kaum echte Sicherheitswerte liefern. Überprüfen Sie dies vierteljährlich.
Häufig gestellte Fragen zu Tenable
Häufig gestellte Fragen zu Tenable Lizenzen und Einkauf.
Was ist der Unterschied zwischen Nessus Professional und Tenable Vulnerability Management?
Nessus Professional ist ein einzelner Scanner für Penetrationstester und kleinere Teams. Tenable Vulnerability Management ist die cloudbasierte Plattform mit kontinuierlichem Monitoring, Dashboards, Berichten und Multi-User-Kollaboration. Für ein Enterprise-Sicherheitsprogramm ist die Plattform fast immer notwendig.
Brauche ich Tenable One oder genügen Einzelprodukte?
Tenable One ist eine Exposure-Management-Plattform, die Schwachstellenmanagement, Cloud-Security, Identitätsexposure und Attack Surface Management bündelt. Für grosse Organisationen mit mehreren Tenable-Produkten bietet sie einen Bündelpreis und ein zentrales Dashboard – jedoch nur interessant, wenn diese Module wirklich genutzt werden.
Wie zählt Tenable Assets genau?
Tenable zählt üblicherweise aktive Assets innerhalb eines Messzeitraums. Die genaue Definition variiert je nach Produkt (VM vs. Cloud Security vs. Identity Exposure). SoftVaro hilft dabei, die Asset-Definition in Ihrem Vertrag genau zu verstehen, damit Sie nicht für "tote" Assets bezahlen.
Relevante Wissensdatenbank-Artikel
Günstiger einkaufen bei Tenable?
SoftVaro verhandelt für Sie den besten Deal mit Tenable. Unabhängig, transparent und innerhalb von 24 Stunden.