Continuous Threat Exposure Management

Vom jährlichen Pentest zum CTEM

Pentesting
LinkedInRedditWhatsApp

Schluss mit dem Sicherheitscheck einmal im Jahr: Warum Continuous Threat Exposure Management (CTEM) klassische Pentests ablöst.

Die eigene Cybersicherheit einmal im Jahr zu testen, ist so, als würde man einen Gesundheitscheck machen und erst nach einem Jahr prüfen, ob die Behandlung überhaupt wirkt. So könnte die Pointe des folgenden, klassischen Szenarios lauten: Ein Unternehmen führt sein jährliches Sicherheitsaudit durch. Der Pentester identifiziert etwa zehn kritische Schwachstellen und verfasst seinen Bericht mit Empfehlungen zur Behebung.

Anzeige

Zwölf Monate später, beim nächsten Audit, sind dieselben Schwachstellen immer noch vorhanden. In der Zwischenzeit wurde eine neue, ungesicherte Website eingerichtet, die beim vorherigen Audit nicht sichtbar war. Diese in Unternehmen weit verbreitete Situation verdeutlicht die Grenzen eines punktuellen Ansatzes in der Cybersicherheit. Was es stattdessen braucht, ist Continuous Threat Exposure Management (CTEM).

Der punktuelle Ansatz: ein längst überholtes Klischee

Der traditionelle Penetrationstest funktioniert wie ein Schnappschuss zu einem bestimmten Moment. Über einen festgelegten Zeitraum, der von den Prüfern oft als zu kurz und von den Kunden als zu kostspielig empfunden wird, identifiziert er die zu diesem Zeitpunkt vorhandenen Schwachstellen in einer Serie besagter Momentaufnahmen. Doch zwischen zwei Audits, die sechs bis zwölf Monate auseinanderliegen, verändert sich die Angriffsfläche, Angriffsvektoren und auch die verantwortlichen Bedrohungsakteure ständig und stetig. Intern reichen dabei oft Kleinigkeiten – eine neue Anwendung wird online gebracht, ein Server bereitgestellt, eine Konfiguration ändert sich. Das Ergebnis: Das Unternehmen agiert monatelang auf Sicht, ohne wirklichen Überblick über sein Risikoausmaß.

Eine weitere große Gefahr liegt in der Trägheit der Behebung. Selbst wenn Schwachstellen identifiziert und Korrekturmaßnahmen festgelegt wurden, braucht die Umsetzung Zeit. Und wenn es darum geht, zu überprüfen, ob die Korrekturen tatsächlich funktioniert haben, muss ein Nachaudit organisiert, erneut Ressourcen mobilisiert und wochenlang gewartet werden. Diese Behäbigkeit schafft gefährliche Sicherheitslücken.

Anzeige

CTEM: Ein Framework für kontinuierliches Risikomanagement

Angesichts dieser Einschränkungen hat Gartner im Jahr 2023 das Konzept des CTEM (Continuous Threat Exposure Management) formalisiert. Das Prinzip ist einfach: Durch regelmäßige Tests der Sicherheitslage ist man besser vorbereitet und näher an der Realität. Je häufiger die Tests stattfinden, desto genauer ist der Überblick über den tatsächlichen Schutzumfang und das damit verbundene Risiko.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

CTEM basiert auf dem folgenden fünfschrittigen Zyklus:

  • Scoping: Festlegung des zu überwachenden Bereichs. Welche Ressourcen müssen vorrangig geschützt werden? Dieser Ansatz beschränkt sich nicht auf den Cyberbereich, sondern lässt sich auf jede Art von Risiko anwenden, von der physischen Sicherheit bis hin zu Business-Continuity-Plänen.
  • Discovery: Identifizierung von Schwachstellen und blinden Flecken. Über einfache CVEs hinaus erkennt diese Phase Konfigurationsfehler, risikobehaftetes Verhalten und neu exponierte Elemente.
  • Priorisierung: Die entdeckten Schwachstellen werden nach Priorität geordnet. Nicht alle sind gleichwertig. Eine E-Commerce-Website, die 50 Prozent des Umsatzes generiert, ist immer kritischer als ein alter interner WordPress-Server. Diese Priorisierung muss also im Kontext mit dem damit verbundenen Geschäftsrisiko gesetzt werden: finanzielle Auswirkungen, Reputationsschaden oder den Verlust sensibler Daten.
  • Validierung: In dieser Phase kommt die Adversarial Exposure Validation (AEV) ins Spiel. Dabei werden realistische Angriffe simuliert, um die Erfolgswahrscheinlichkeit eines Eindringens sowie die Wirksamkeit der Erkennungs- und Reaktionsprozesse zu bewerten.
  • Mobilisierung: Hier werden konkrete Maßnahmen auf der Grundlage der Ergebnisse ergriffen, wobei der Automatisierung von Korrekturmaßnahmen für eine schnelle Behebung Vorrang eingeräumt wird.

Priorisierung: Mit Zahlen vor dem Vorstand argumentieren

Die Frage der Priorisierung verdient besondere Beachtung. Wenn eine Organisation mehrere Dutzend Schwachstellen entdeckt, wo soll man dann anfangen? Die einzige Instanz, die bestimmen kann, ob ein Asset wichtiger ist als ein anderes, ist die Organisation selbst.

Aus Cyber-Sicht lässt sich die technische Kritikalität einer Schwachstelle bewerten. Die endgültige Gewichtung hängt jedoch vom jeweiligen Asset ab. Der Computer des CEO, der strategische Informationen enthält, wird immer kritischer sein als der eines durchschnittlichen Mitarbeiters, selbst bei derselben Schwachstelle.

Um die Geschäftsleitung zu überzeugen, muss das technische Risiko in ein ein messbares Geschäftsrisiko übersetzt werden. Wie viel kostet ein Tag Ausfallzeit der E-Commerce-Website? Welche Auswirkungen hätte ein Datenleck bei Kundendaten auf den Ruf des Unternehmens? Erst mit diesen Zahlen hören die Vorstände zu und geben Budgets frei.

Vom punktuellen Test zur kontinuierlichen Validierung

CTEM stellt einen Durchbruch dar, weil es auf Kontinuität setzt. Anstatt einmal im Jahr ein Audit durchzuführen, können Unternehmen nun täglich ihre Sicherheitslage testen. Diese Häufigkeit ermöglicht es, sofort zu überprüfen, ob eine Korrektur funktioniert hat, ohne auf das nächste Audit warten zu müssen.

Der AEV-Ansatz simuliert realistische Angriffsszenarien von Anfang bis Ende und ermöglicht es, mehrere Aspekte gleichzeitig zu messen und in Kontext zu setzen: Ist das Asset anfällig? Ist es durch die eingesetzten Sicherheitsmechanismen geschützt? Erkennen die Teams Einbruchsversuche? Dieser umfassende Überblick liefert den Sicherheitsteams die notwendigen Kennzahlen, um ihre Strategie zu steuern und ihre Investitionen zu rechtfertigen.

Eine Entwicklung, die von Reife und Regulierung getragen wird

CTEM zu implementieren wird durch die zunehmende Reife der Organisationen ermöglicht. Selbst KMU verfügen heute über EDR, E-Mail-Schutzlösungen und ausgelagerte SOC-Dienste. Diese Investitionen, die manchmal 80 Prozent des IT-Budgets ausmachen, verdienen es, regelmäßig bewertet zu werden.

Regulatorische Anforderungen wie NIS2 oder DORA sowie vertragliche Auflagen großer Auftraggeber beschleunigen diese Dynamik. Unternehmen müssen nun nachweisen, dass sie ihre Mitarbeiter sensibilisieren, Penetrationstests durchführen und ein hohes Sicherheitsniveau aufrechterhalten. CTEM bietet den methodischen Rahmen, um das auf strukturierte Weise zu erreichen.

Laut Gartner werden Unternehmen, die ihre Sicherheitsinvestitionen auf der Grundlage eines CTEM-Programms priorisieren, bis Ende 2026 dreimal weniger anfällig für Sicherheitsverletzungen sein. Ein Argument, das selbst die größten Skeptiker überzeugen dürfte: In der Cybersicherheit ist Kontinuität keine Option mehr, sondern eine Notwendigkeit.


Oliver Keizers

Oliver

Keizers

VP Sales Central EMEA

Filigran

Anzeige
Pentesting
29. April 2026
Vom jährlichen Pentest zum CTEM
Microsoft
29. April 2026
Microsoft kündigt Ende von TLS 1.0 und 1.1 für Exchange Online an
Cloud KI
29. April 2026
FinOps 2026 und darüber hinaus: KI bestimmt die Agenda
Openai
29. April 2026
Plant OpenAI das Ende des klassischen Smartphones?

Weitere Artikel

Microsoft kündigt Ende von TLS 1.0 und 1.1 für Exchange Online an
Identity Attack Path Management: Fokus auf operative Reife
NIS2 in der Praxis: Pflichten in operative Sicherheit übersetzen
Hotel-Betrug: Wie Hacker mit echten Buchungs-Daten Reisende abzocken
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.