Tenable
Schwachstellenmanagement & Nessus
- Security & Endpoint-Schutz
- Subscription
Für · CISOs, Security-Teams und IT-Abteilungen in Organisationen mit NIS2-, DORA-, ISO 27001- oder SOC 2-Anforderungen
Tenable ist Marktführer im Schwachstellen- und Exposure-Management. Das bekannteste Produkt ist Nessus – einer der meistgenutzten Schwachstellenscanner weltweit – sowie die Enterprise-Plattformen Tenable Vulnerability Management (früher Tenable.io), Tenable Security Center und die übergreifende Lösung Tenable One. Für Organisationen mit NIS2-, DORA- oder ISO 27001-Anforderungen ist ein Toolset wie Tenable nahezu zum Standard geworden.
Das Lizenzmodell basiert auf der Anzahl der Assets (IP-Adressen, Cloud-Ressourcen, Identitäten). Das klingt einfach, doch die Zählung ist berüchtigt komplex: IoT-Geräte, Container-Instanzen und temporäre Cloud-Workloads können die Asset-Anzahl schnell erhöhen. Organisationen, die ihr Asset-Inventar nicht aktiv pflegen, sehen ihre Tenable-Rechnung Jahr für Jahr steigen, ohne dass sich das Sicherheitsniveau verbessert.
Einkaufshinweise
- Bereinigen Sie Ihr Asset-Inventar vor jeder Verlängerung
Der größte Kosteneinsparfaktor bei Tenable ist ein sauberes Asset-Inventar. Führen Sie unmittelbar vor der Vertragsverlängerung eine Bereinigung durch: Alte Hosts, inaktive Cloud-Ressourcen und Doppelzählungen entfernen. In der Praxis können 10-20 % der Assets bereinigt werden – mit direktem Einfluss auf den Lizenzpreis.
- Vergleichen Sie Einzelprodukte mit Tenable One
Tenable bietet Nessus, Tenable Vulnerability Management, Cloud Security, Identity Exposure und weitere Module einzeln oder als Tenable One-Bündel an. Für Organisationen, die mehrere Module nutzen, ist der Bündelpreis meistens günstiger – aber nur, wenn die Module auch tatsächlich eingesetzt werden.
- Verhandeln Sie eine mehrjährige Preisbindung
Mehrjährige Verträge (2-3 Jahre) bringen deutliche Rabatte und schützen vor Zwischenpreiserhöhungen. Für ein ausgereiftes Sicherheitsprogramm, in dem Tenable fest verankert ist, ist dies oft finanziell vorteilhafter als eine jährliche Verlängerung.
- Nutzen Sie Qualys und Rapid7 als Verhandlungshebel
Tenable hat mehrere starke Wettbewerber (Qualys, Rapid7, Wiz für Cloud). Ein ernsthafter Vergleich dieser Alternativen im Rahmen einer Verlängerung schafft Verhandlungsspielraum. Ein unabhängiger Einkaufspartner kann dies vorab ohne Reputationsrisiko prüfen.
Compliance-Risiken
- EU-Datenstandort vs. US-Mandant
Tenable Vulnerability Management läuft auf AWS in bestimmten Regionen. Für Organisationen unter NIS2 oder mit branchenspezifischen Datenstandortanforderungen ist es verpflichtend, die EU-Instanz zu wählen und dies vertraglich festzuhalten. Standardmäßig ist dies nicht immer der Fall.
- Scan-Daten enthalten sensible Sicherheitsinformationen
Scan-Ergebnisse von Tenable geben detaillierte Einblicke in Schwachstellen pro Host. Das ist wertvoll, aber auch sensibel: Ein Datenleck dieser Informationen wäre eine Blaupause für Angreifer. Rollenbasierter Zugriff und Audit-Logging müssen aktiv konfiguriert werden – dies ist nicht standardmäßig aktiviert.
- Geister-Assets in der Cloud
Cloud-Scanner und Agenten erfassen temporäre Ressourcen, die innerhalb weniger Stunden erscheinen und verschwinden. Ohne gute Konfiguration werden diese dennoch in der Lizenzrechnung berücksichtigt, obwohl sie kaum echten Sicherheitswert bieten. Prüfen Sie dies vierteljährlich.
Häufig gestellte Fragen zu Tenable
Häufig gestellte Fragen zu Tenable Lizenzen und Einkauf.
Was ist der Unterschied zwischen Nessus Professional und Tenable Vulnerability Management?
Nessus Professional ist ein eigenständiger Scanner für Penetrationstester und kleinere Teams. Tenable Vulnerability Management ist die cloudbasierte Plattform mit kontinuierlicher Überwachung, Dashboards, Reportings und Mehrbenutzer-Kollaboration. Für ein Enterprise-Sicherheitsprogramm ist die Plattform fast immer erforderlich.
Brauche ich Tenable One oder reichen Einzelprodukte aus?
Tenable One ist eine Exposure-Management-Plattform, die Schwachstellenmanagement, Cloud Security, Identity Exposure und Attack Surface Management bündelt. Für große Organisationen mit mehreren Tenable-Produkten bietet sie einen Bündelpreis und ein zentrales Dashboard – aber nur interessant, wenn diese Module auch tatsächlich genutzt werden.
Wie zählt Tenable Assets genau?
Tenable zählt in der Regel aktive Assets innerhalb eines Messzeitraums. Die genaue Definition unterscheidet sich je nach Produkt (VM vs. Cloud Security vs. Identity Exposure). SoftVaro unterstützt Sie dabei, die Asset-Definition in Ihrem Vertrag genau zu verstehen, damit Sie nicht für „tote“ Assets bezahlen.
Relevante Wissensdatenbank-Artikel
Besser einkaufen bei Tenable?
SoftVaro verhandelt für Sie den besten Deal für Tenable. Unabhängig, transparent und innerhalb von 24 Stunden.