Modernes Angriffsflächenmanagement

Was eine Angriffsfläche heute umfasst

Eine kurze Differenzierung der relevanten Begrifflichkeiten: Angriffsflächen beschreiben alle potenziellen Einstiegspunkte für Angriffe, während Angriffsvektoren die Methoden des Angriffs beschreiben (z. B. Phishing, Malware, DDoS-Angriffe). Angriffsflächen finden sich dabei nicht ausschließlich in den IT-Systemen eines Betreibers, sondern umfassen alle Punkte, an denen Angreifer ansetzen können. Dazu gehören nicht nur technische Komponenten wie Server oder Anwendungen, sondern auch:

• Benutzer und deren Zugriffsrechte 
• Geschäftsprozesse  
• Datenflüsse  
• externe Partner und Lieferketten und
• Kommunikationsplattformen  

Besonders wichtig: Auch interne Nutzer sind Teil der Angriffsfläche. Viele erfolgreiche Angriffe beginnen nicht mit einem technischen Exploit, sondern mit Social Engineering oder Fehlverhalten von Mitarbeitenden.

Die Komplexität steigt zusätzlich durch moderne Arbeitsweisen wie Remote Work, BYOD („Bring Your Own Device“) und Cloud-Nutzung. Dadurch entstehen ständig neue, oft unübersichtliche Einstiegspunkte für Angreifer.

Die 6 zentralen Schritte des Angriffsflächenmanagements

ASM wird als fortlaufender Prozess verstanden und klassisch in sechs Phasen gegliedert:

• Identifikation

  Zunächst werden alle vorhandenen Assets erfasst. Neben der klassischen Inventarisierung werden dabei auch dynamische und externe Komponenten berücksichtigt.

• Klassifikation

  Im nächsten Schritt werden Assets nach ihrer Bedeutung eingeordnet, wie z.B. ihrer Kritikalität, Datenart, Compliance-Anforderungen und ihrer geschäftlichen Bedeutung. Diese Einordnung ist entscheidend, um Sicherheitsmaßnahmen gezielt einsetzen zu können.

• Priorisierung

  Nicht alle Risiken sind gleich relevant. ASM fokussiert sich auf:
  • besonders kritische Systeme 
  • öffentlich erreichbare Dienste 
  • sensible Daten 
  Dadurch werden Ressourcen effizient eingesetzt.

• Remediation (Beheben von Schwachstellen)

  Basierend auf der Priorisierung werden gezielte Maßnahmen umgesetzt, etwa:
  • Schließen von identifizierten Schwachstellen 
  • Gezielte Absicherung der IT-Infrastrukturen
  • Einschränkung von Zugriffsrechten 
  Dabei steht immer der tatsächliche Risikobeitrag im Vordergrund.

• Überwachung

  Da sich IT-Umgebungen ständig verändern, ist eine kontinuierliche Überwachung notwendig. Neue Assets, Veränderungen oder Schwachstellen müssen frühzeitig erkannt werden.

• Anpassung

  ASM ist kein einmaliges Projekt. Die Sicherheitsmaßnahmen müssen laufend an neue Technologien, Geschäftsprozesse und Bedrohungen angepasst werden

Grundsätze des ASM: Denke wie ein Angreifer!

Ein zentrales strategisches Element des ASM ist der Perspektivwechsel: Sicherheitsverantwortliche sollen bewusst die Sicht eines Angreifers einnehmen.

Das bedeutet konkret:

• Welche Systeme sind besonders attraktiv? 
• Wo ist der geringste Widerstand? 
• Welche Kombination von Schwächen lässt sich ausnutzen? 

Angreifer agieren dabei oft opportunistisch und beginnen mit den einfachsten Zielen – etwa ungepatchten Systemen oder schwachen Zugangsdaten. Diese „Low Hanging Fruits“ sollten daher priorisiert abgesichert werden.
Dabei sind mehrschichtige sich ergänzende Sicherheitsmechanismen wirksamer als Einzelmaßnahmen, um die gesamte Angriffsfläche zu reduzieren.
 

Wie lässt sich effektiven Angriffsflächenmanagement in der Praxis umsetzen?

Es dürfte klar sein, dass es keine Universallösung für alle Unternehmen gibt, sondern viele Aspekte beim Schutz der IT-Landschaft berücksichtigt werden müssen. Dazu gehören Branche, Unternehmensgröße, Standards und Compliance sowie Geschäftsprozesse.

Ein funktionierendes ASM könnte dabei folgende Elemente enthalten:

• Transparenz und Sichtbarkeit durch Erfassung aller Systeme, Identifikation neuer Assets und regelmäßige Schwachstellenanalysen 
• Absicherung von Netzwerken und Schnittstellen durch Kontrolle des Datenverkehrs, Erkennung auffälliger Aktivitäten und dem Schutz externer Zugänge 
• Endgerätesicherheit durch zentral verwaltete Schutzmechanismen, kontinuierliches Monitoring und schnelle Reaktion auf Bedrohungen 
• Einbindung und Sensibilisierung der Mitarbeitenden durch Training und Simulation realer Angriffe 
• Zentrale Analyse von Sicherheitsereignissen und schnelle Reaktion
• Resilienz durch strukturierte Backup-Strategien und verlässliche Wiederanlaufpläne 

Struktur und Governance bedeuten klare Richtlinien, definierte Verantwortlichkeiten und die kontinuierliche Steuerung der Sicherheitslage 

Fazit

Die aktuelle Bedrohungslage zeigt deutlich, dass klassische, punktuelle Sicherheitsmaßnahmen heute oft nicht mehr ausreichen. Moderne IT-Umgebungen verändern sich kontinuierlich, neue Systeme und Schnittstellen entstehen laufend und Angreifer nutzen gezielt genau diese wachsenden und oft unübersichtlichen Angriffsflächen aus.

Angriffsflächenmanagement verfolgt deshalb einen anderen Ansatz: IT-Sicherheit wird nicht isoliert betrachtet, sondern als kontinuierlicher, ganzheitlicher und proaktiver Prozess. Ziel ist es, potenzielle Einstiegspunkte frühzeitig sichtbar zu machen, Risiken gezielt zu priorisieren und Sicherheitsmaßnahmen dort umzusetzen, wo sie den größten Schutz bieten.

Quellen:

BSI - Die Lage der IT-Sicherheit in Deutschland
Attack Surface Management [Book]