Thought Leadership
Die IT-Infrastruktur in Unternehmen entwickelt sich kontinuierlich weiter: Sie wächst, passt sich an, dabei entstehen Überschneidungen. Oft werden neue Systeme hinzugefügt, bevor alte vollständig ausgemustert sind.
Zudem steigt die Anzahl der Integrationen von Drittanbietern, während sich gleichzeitig im Hintergrund Schatten-IT ausbreitet. Das Ergebnis ist ein weitläufiges, loses Netzwerk aus Assets, Nutzern und Zugriffspunkten und damit alles andere als eine optimierte digitale Umgebung.
In Summe ergibt dies neue Angriffsflächen für Cyberangriffe. Dabei handelt sich weniger um einen definierten Perimeter als vielmehr um eine Ansammlung sich ständig verändernder Schwachstellen, die Unternehmen nur schwer überblicken, geschweige denn absichern können. Das Problem dabei ist nicht die Größe, sondern deren unkontrollierte Ausbreitung. Dies führt zu Risiken, die sich nicht nur durch Endpunkte oder Identitäten ergeben, sondern auch durch die oft übersehene Komplexität von Richtlinien.
Dabei wird jedes Tool, das zur Produktivitätssteigerung eingesetzt wird, jede eilig erteilte Berechtigung und jeder Endpunkt, der im Sinne einer besseren Benutzerfreundlichkeit hinzugefügt wird, zu einem Teil der Angriffsfläche und von Angreifern gesondert, kartiert und ausgenutzt werden. Diese Schwachstellen ergeben sich nicht aufgrund fehlender Abwehrmaßnahmen. Vielmehr ist die IT-Umgebung oft zu komplex und unübersichtlich geworden, um sie umfassend schützen zu können.
Mit der steigenden Anzahl an Policy-Regeln und der isolierten Weiterentwicklung von Zugriffsstrukturen vergrößert sich unbemerkt auch die sogenannte Angriffsfläche für Richtlinien – eine unsichtbare Risikoebene, die nur wenige Unternehmen aktiv messen oder verwalten. Komplexe Richtlinien in großem Umfang stellen zwar eine Herausforderung dar – aber deren Verwaltung muss nicht zwangsläufig kompliziert sein. Wie sollen Security-Experten mit diesem Risiko am besten umgehen?
Mapping reicht nicht aus
Die meisten Unternehmen wissen, dass Transparenz wichtig ist. Sie investieren in Tools zur Ermittlung aller Assets, führen Bestandslisten und erstellen Berichte. Das ist jedoch nur bis bis zu einem gewissen Grad sinnvoll, denn Transparenz bedeutet nicht automatisch Risikominderung: Die Dokumentation des Ist-Zustandes reduziert noch nicht das Risiko, sondern liefert erst einen Beleg für die Größe der Oberfläche, die verwaltet werden muss.
Die typische Angriffsfläche eines Unternehmens umfasst eine Kombination aus bekannten und unbekannten Komponenten: Legacy-Anwendungen, die weiterhin im Hintergrund laufen, ungenutzte Benutzerkonten mit weitreichenden Berechtigungen, Software von Drittanbietern, die über längst vergessene APIs verknüpft sind und IoT-Geräte, die nicht eindeutig einem Eigentümer zugewiesen sind. Jedes zusätzliche Element vergrößert die verfügbare Angriffsfläche – oft ohne unmittelbar Bedenken bei den Verantwortlichen auszulösen.
Zwar wird das Risiko durch das Mapping oft vollständig ersichtlich, doch in Umgebungen, die durch Fragmentierung und uneinheitliche Umsetzung der Richtlinien geprägt sind, führt Sichtbarkeit nicht zwangsläufig zu konkreten und dringend erforderlichen Maßnahmen. Zumindest dann nicht, wenn es um unklare Zuständigkeiten und verteilte Verantwortlichkeiten handelt und die Richtlinien ebenso unübersichtlich sind wie die Systeme, die sie regeln. Kurzum: Das Mapping erfasst und überwacht zwar die Unübersichtlichkeit an sich, die Ausbreitung selbst aber bleibt weitgehend unverändert.
Risiken am Edge
Was die Ausbreitung von Angriffsflächen besonders gefährlich macht, ist ihre Subtilität. Die Schwachstellen sind nicht immer offensichtlich. Vielmehr entsteht eine Umgebung, in der auch kleine Versäumnisse zu größeren Vorfällen eskalieren können oder zum Einfallstor für Angreifer werden, die genau solche Schwachstellen suchen.
Laut einem Bericht aus dem Jahr 2024 belaufen sich die durchschnittlichen Kosten für die Wiederherstellung nach einem Ransomware-Angriff mittlerweile auf über 1,8 Millionen US-Dollar – Lösegeldzahlungen ausgenommen. Oft geschehen diese Sicherheitsverletzungen nicht, weil ausgefeilte Techniken zum Einsatz kommen, sondern weil ungeschützte Ressourcen oder zu laxe Richtlinien ausgenutzt werden.
Selbst wenn Überwachungstools potenzielle Probleme melden, sind Sicherheitsteams oft mit der schieren Anzahl überfordert, denn in weitläufigen IT-Umgebungen erscheint jede Warnmeldung dringend. Jede Anomalie muss überprüft werden, wobei die Priorisierung reaktiv erfolgt, was zu langsameren Reaktionszeiten führt.
Reduzierung der Angriffsfläche
Für die Reduzierung der Angriffsfläche gibt es keine Funktionen oder Toolsets. Dies ist vielmehr ein strategischer Ansatz, um die Komplexität zu kontrollieren und damit auch die Risiken zu minimieren. Er hilft CISOs und Sicherheitsexperten, Strukturen und Verantwortlichkeiten in genau jenen Umgebungen wiederherzustellen, in denen die Komplexität eines Systems die tatsächlichen Risiken verschleiert.Der erste Schritt ist die kontinuierliche Erfassung aller Assets. Dies muss über ein vierteljährliches Audit hinausgehen, in Echtzeit geschehen und in die Sicherheitsabläufe eingebettet werden. Da sich die IT-Infrastruktur von Unternehmen ständig verändert, besteht die Gefahr, dass die Angriffsfläche weiterwächst, wenn keine Echtzeit-Transparenz über alle Neuerungen innerhalb einer IT-Infrastruktur sichergestellt wird. Doch die Identifizierung allein reicht nicht aus. Entscheidend ist, welcher Schritt dann folgt.
Assets und Zugriffsmöglichkeiten sollten sowohl hinsichtlich ihres Risikos als auch hinsichtlich ihrer Relevanz bewertet werden. Trägt ein System, eine Richtlinie oder eine Integration nicht aktiv zum Geschäftserfolg bei, dann wird dies zu einer Belastung.
Eine wichtige Rolle spielen hier Benchmarking und kontinuierliche Transparenz – nicht nur zum Zweck der Dokumentation, sondern mit dem Ziel, zu priorisieren und auf Risiken zu reagieren. Ausgereifte Sicherheitsprogramme erkennen, dass die Risikoidentifizierung lediglich der Anfang ist. Messbare Verbesserungen hängen davon ab, ob technische und richtlinienbasierte Schwachstellen auf konsistente und nachvollziehbare Weise reduziert werden können.
Zugriffskontrollen müssen die Realität widerspiegeln – und nicht nur die Richtlinien-Theorie auf dem Papier. Rollenbasierte Berechtigungen, die regelmäßig überprüft und aktualisiert werden verhindern horizontale Verschiebungen im Falle einer Sicherheitsverletzung. Wenn Mitarbeiter z.B. das Unternehmen verlassen oder ihre Rolle wechseln, müssen ihre Zugangsdaten umgehend gelöscht oder neu zugewiesen werden.
Authentifizierungsprotokolle sollten diesem Beispiel folgen. Multi-Faktor-Authentifizierung, VPN-Zugriff und eine sichere Passwortverwaltung sind grundlegende Sicherheitsmaßnahmen. Allerdings werden sie nach wie vor uneinheitlich angewendet, insbesondere in Altsystemen und bei Integrationen von Drittanbietern.
Die Absicherung der Systeme sollte mit einer Reduzierung der IT-Ressourcen und Richtlinien einhergehen. Dazu gehören das Patchen bekannter Sicherheitslücken, das Schließen ungenutzter Ports und die Beseitigung von Standardkonfigurationen, die oft noch lange nach der Bereitstellung bestehen bleiben. Außerdem muss in die Sicherheit der Endpunkte investiert werden, die skalierbar sein müssen.
Im Mittelpunkt all dessen steht der Faktor Mensch. Social Engineering wird leider weiterhin erfolgreich sein, weil es nicht den Code, sondern das Verhalten der Mitarbeiter ausnutzt. Schulungen, Sensibilisierung und kulturelle Anpassung im Hinblick auf die Meldung von Vorfällen sind daher wesentliche Elemente jeder Strategie zur Risikominderung und sollten das gesamte Spektrum der Unternehmensrisiken abdecken.
Weniger überwachen, mehr vertrauen
Die Vorteile einer Strategie zur Reduzierung der Angriffsfläche, gehen weit über ein verringertes Risiko für Sicherheitsverletzungen hinaus. Diese Reduktion kann auch das Incident Response beschleunigen. Dadurch wird auch die Erstellung von Reports vereinfacht und der Compliance-Aufwand reduziert. Wenn weniger Systeme überwacht werden müssen, weniger Anmeldedaten im Umlauf sind und weniger unkontrollierte Regeln oder Ausnahmen existieren, wird die gesamte Sicherheitslage übersichtlicher und resilienter.
Die Reduzierung der Angriffsfläche bringt eine ganze Reihe von Vorteilen mit sich: Durch eine strengere Kontrolle sind Unternehmen weniger Unsicherheiten ausgesetzt. Dies führt zu klareren Verantwortlichkeiten, die zügigeres und entschlosseneres Handeln ermöglichen. Dabei verstärkt jede Verbesserung den nächsten positiven Effekt, wodurch ein reaktionsfähigeres und geordnetes Sicherheitsmodell geschaffen wird. Dies ist besonders relevant für hybride und Remote-Unternehmen, in denen Nutzer, Geräte und Dienste über Standorte und Netzwerke verteilt sind. In solchen Umgebungen sind traditionelle Einschränkungen nicht mehr relevant, aber eine gewisse Disziplin hat durchaus ihre Berechtigung.
Fazit:
Für CISOs geht es bei der Reduzierung der Angriffsfläche nicht darum, weniger zu tun. Vielmehr sind sie aufgefordert die richtigen Maßnahmen zu ergreifen. Je umfangreicher und komplexer die Umgebung wird, desto wichtiger ist es, dass sich die begrenzten Ressourcen eines Unternehmens auf die Verringerung der Risiken konzentrieren. Damit ist nicht nur die reine Dokumentation oder Überwachung gemeint. Wichtig ist in diesem Zusammenhang, dass alles, was die permanente Aufmerksamkeit der Sicherheitsteams erfordert, reduziert wird – auch die unsichtbare Risikoebene der Richtlinien, die unbemerkt das Angriffsrisiko erhöht ohne unmittelbar Alerts auszulösen.
