IT-Abteilungen setzen alles daran, das eigene Netzwerk vor Malware und Hackern abzusichern. Zumeist vertrauen sie den eingesetzten Hard- und Softwarelösungen und steuern – je nach Gefahrenlage – nach. Aber reicht das wirklich? Nur wer seine eigenen Angriffsflächen und den Modus Operandi von Cyberkriminellen kennt, kann seine Abwehr perfekt dirigieren. Administratorentun tun gut daran, auch nicht-technische Maßnahmen zu ergreifen.
Täglich vermelden die Medien neue erfolgreiche Angriffe von digitalen Gangstern. Die spektakulären Fälle wie das Ausnutzen der Microsoft Exchange Sicherheitslücken oder der Diebstahl von Bitcoins in dreistelliger Millionenhöhe lenken von einer wichtigen Tatsache ab: Die meisten Angriffe erfolgen auf kleine und mittlere Unternehmen (KMU) oder vergleichbare Netzwerkgrößen. Darauf weist auch der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausdrücklich hin.
Wie kann es sein, dass gerade sie immer häufiger Opfer von Cyberattacken werden, obwohl Entscheider so viel wie noch nie in IT-Sicherheit investieren? Es gibt sehr viele technische und individuelle Gründe dafür. Einer davon ist die sogenannte „Angriffsfläche“, die jedes Netzwerk per se liefert. Je mehr Geräte, Server, Software oder Clouddienstleistungen im Firmeneinsatz stehen, desto eher finden Kriminelle einen Ansatzpunkt.
Was ist die Angriffsfläche einer Organisation?
Grundsätzlich lässt sich die Angriffsfläche als die physischen und digitalen Ressourcen einer Organisation definieren, die für digitale Attacken missbraucht werden könnten. Das Ziel der Bedrohungsakteure kann alles sein: die Verbreitung von Ransomware, der Diebstahl von Daten, die Einbindung von Rechnern in ein Botnet, das Herunterladen von Banking-Trojanern oder die Installation von Krypto-Mining-Malware. Die Quintessenz lautet: Je größer die Angriffsfläche ist, desto größer ist auch das Ziel, das die Bösewichte ins Visier nehmen können.
Interessanterweise machen sich Administratoren viel mehr Gedanken über technikbasierte Abwehrmaßnahmen und mögliche Angriffsvektoren von Hackern, als dass sie zuerst schauen, welche Ressourcen sich im eigenen Netzwerk und in/auf externen Stellen überhaupt „tummeln“. Wer aber im Sinne von Zero Trust handeln möchte, muss besonders genau hinsehen, wo unerwartete Sicherheitslücken lauern könnten.
Die digitale Angriffsfläche
Diese Kategorie umfasst die gesamte mit dem Netzwerk verbundene Hardware, Software und die damit eingesetzten Komponenten. Hier ein paar Beispiele:
Anwendungen:
Schwachstellen in Anwendungen sind alltäglich und können Angreifern einen nützlichen Einstiegspunkt in kritische IT-Systeme und Daten bieten.
Softwarecode:
Ein großes Risiko, da viele Softwarecodes aus Komponenten von Drittanbietern kompiliert werden, die Malware oder Schwachstellen enthalten können.
Ports:
Angreifer scannen zunehmend nach offenen Ports und danach, ob Dienste einen bestimmten Port abhören (z. B. TCP-Port 3389 für das Remote Desktop Protocol). Wenn diese Dienste falsch konfiguriert sind oder Bugs enthalten, können diese ausgenutzt werden.
Server:
Diese können über Schwachstellen ausgenutzt oder bei DDoS-Angriffen (Distributed Denial-of-service) mit Datenverkehr überflutet werden.
Websites:
Ein weiterer Teil der digitalen Angriffsfläche mit mehreren Angriffsvektoren, einschließlich Codefehlern und Fehlkonfigurationen. Eine erfolgreiche Kompromittierung kann zur Verunstaltung von Webseiten oder zur Einschleusung von bösartigem Code durch Drive-by-Downloads und andere Angriffe (z. B. Formjacking) führen.
Zertifikate:
Zertifikate verschlüsseln Daten bei der Übertragung und schützen die Identität von Benutzern und Geräten. Allerdings haben sie nur eine begrenzte Gültigkeit. Lassen Organisationen diese auslaufen, können Angreifer sie ausnutzen und Seriosität vortäuschen.
Die physische Angriffsfläche
Diese Ebene umfasst alle Endgeräte, auf die ein Angreifer "physisch" zugreifen kann, z. B:
• Desktop-Computer
• Festplatten
• Laptops
• Handys/mobile Geräte
• USB-Sticks
Man kann auch sagen, dass die Mitarbeiter einen großen Teil der physischen Angriffsfläche ausmachen, da sie im Zuge eines Cyberangriffs durch Social Engineering (Phishing und seine Varianten) manipuliert werden können. Sie sind auch für die Schatten-IT verantwortlich, d. h. die nicht genehmigte Nutzung von Anwendungen und Geräten durch Mitarbeiter, um die Sicherheitskontrollen der Organisation zu umgehen. Indem sie diese nicht genehmigten - und oft unzureichend gesicherten - Tools für ihre Arbeit nutzen, setzen sie das gesamte Netzwerk möglicherweise zusätzlichen Bedrohungen aus.
Wird die Angriffsfläche immer größer?
Mit dem Aufkommen des „New Work“, also dem strukturellen Wandel unserer Arbeitswelt, ist die Angriffsfläche weiter und schneller gewachsen als je zuvor. Das hybride Arbeiten im Büro und im Homeoffice brachte ganz neue Herausforderungen mit sich. Plötzlich befanden sich Firmengeräte nicht mehr in den schützenden vier Wänden des Unternehmens, sondern in privaten Wohnungen. Organisationen haben daher massive Investitionen getätigt, um die Arbeit an diesen entfernten „Standorten“ zu unterstützen und den Geschäftsbetrieb in einer Zeit extremer Marktunsicherheit aufrechtzuerhalten.
Und das hat neue Probleme geschaffen, die vorher kaum eine Rolle spielten:
• Endgeräte für die Fernarbeit (z. B. Laptops, Desktops) müssen entsprechend abgesichert sein
• Cloud-Anwendungen und -Infrastruktur müssen in die vorhandene IT-Systematik eingebunden und vor Hackern
geschützt werden
• IoT-Geräte und 5G sind bislang wenig oder gar nicht geschützt
• Verwendung von Drittanbieter-Code wird immer mehr genutzt, ohne Sicherheitsfragen (ausreichend) zu klären
• Infrastruktur für Fernarbeit (VPNs, RDP usw.) muss erst noch in vielen Unternehmen angeschafft bzw. korrekt
eingerichtet werden
Es verwundert daher nicht, dass Organisationen heute an ihre Grenzen kommen, Geräte und Dienste übersehen oder teilweise sogar den Gesamtüberblick verlieren. Das bedeutet nichts anderes, als dass sie die tatsächliche Größe und Beschaffenheit ihrer Angriffsfläche gar nicht mehr sicher bestimmen können. Und somit können sie schlechter einschätzen, ob und wie ihre digitalen und physischen Ressourcen diversen Bedrohungsakteuren ausgesetzt sind.
Wie kann man die Risiken der Angriffsoberfläche minimieren?
Die Angriffsfläche ist für eine optimale Cybersicherheit von grundlegender Bedeutung. Der erste Schritt zu einem proaktiven Schutz beginnt damit, die Größe der Angriffsfläche zu verstehen und Maßnahmen zu ihrer Reduzierung oder Verwaltung zu ergreifen. Beispielsweise liefern Bestandsprüfungen, Penetration-Tests oder Schwachstellen-Scans erste fundierte Ergebnisse über den Status quo.
Im zweiten Schritt muss es darum gehen, Cyber-Risiken zu lokalisieren und zu beseitigen. Folgende Maßnahmen haben sich in der Praxis bewährt:
• Risikobasiertes Patching- und Konfigurationsmanagement
• Konsolidierung von Endgeräten, Ausmusterung veralteter Hardware
• Aufrüstung von Software und Betriebssystemen
• Segmentierung von Netzwerken
• Anwendung bewährter DevSecOps-Verfahren
• Laufendes Schwachstellenmanagement
• Risikominderung in der Lieferkette
• Datensicherheitsmaßnahmen (z. B. starke Verschlüsselung)
• Starkes Identitäts- und Zugriffsmanagement
• Kontinuierliche Protokollierung und Überwachung von Systemen
• Schulungsprogramme zur Sensibilisierung der Benutzer
• Zero-Trust-Ansätze
Fazit
Aktuelle Berichterstattungen weisen bei Sicherheitsverletzungen auf die "Cyber-Angriffsfläche" oder „Cyber Attack Surface“ hin. Dadurch lenken immer mehr IT-Sicherheitsbeauftragte ihren Blick in diese Richtung und begreifen die zentrale Bedeutung: Nur wer weiß, wo die eigene Organisation insgesamt verletzlich ist und wie Angriffe darauf funktionieren könnten, kann entsprechende Maßnahmen ergreifen und zielgerichtet in passende Sicherheitslösungen investieren.
