Organisationen weltweit investieren so viel Geld in IT-Sicherheit wie noch nie. Die internationalen Ausgaben für Cybersicherheit sollen im Jahr 2023 um 13,2 Prozent steigen – sagt das Marktforschungsunternehmen Canalys. Die Gesamtausgaben belaufen sich dann auf rund 223,8 Milliarden US-Dollar.
Neue Sicherheitslösungen, moderne Security Information and Event Management-Systeme (SIEM) oder professionelle Security Operation Center (SOC): Die Wunschliste ist lang und teuer. Doch sinkt dadurch das Risiko, Opfer eines Angriffs zu werden? Oftmals sind es nämlich die vermeintlich kleinen, aber unterschätzten Gefahren, die Kriminellen Tür und Tor öffnen. Täglich vermelden die Medien neue erfolgreiche Angriffe von digitalen Gangstern. Die spektakulären Fälle wie das Ausnutzen der Microsoft Exchange Sicherheitslücken oder der Diebstahl von Bitcoins in dreistelliger Millionenhöhe lenken von einer wichtigen Tatsache ab: Die meisten Angriffe erfolgen auf kleine und mittlere Unternehmen (KMU) oder vergleichbare Netzwerkgrößen. Darauf weist auch der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausdrücklich hin.
Warum investieren Entscheidungsträger mehr denn je in IT-Sicherheit, werden aber vor allem immer häufiger Opfer von Cyberangriffen? Dafür gibt es technische und individuelle Gründe. Es gibt viele: Eine davon ist die sogenannte „Angriffsfläche“, die jedes Netzwerk selbst bietet. Je mehr Geräte, Server, Software oder Cloud-Dienste Unternehmen nutzen, desto wahrscheinlicher ist es, dass Kriminelle einen Ausgangspunkt für ihre Angriffe finden. Nur wer seine eigenen Angriffsflächen und den Modus Operandi von Cyberkriminellen kennt, kann seine Abwehr perfekt dirigieren. Administratoren tun tun gut daran, auch nicht-technische Maßnahmen zu ergreifen.
Wie definiert man die Angriffsfläche einer Organisation?
Grundsätzlich kann eine Angriffsfläche als die physischen und digitalen Ressourcen einer Organisation definiert werden, die für digitale Angriffe missbraucht werden können. Denn Bedrohungsakteure haben viele Möglichkeiten, zum Ziel zu kommen: Ransomware verbreiten, Daten stehlen, Maschinen in ein Botnetz einbetten, Banking-Trojaner herunterladen oder Krypto-Mining-Malware installieren. Unterm Strich gilt: Je größer die Angriffsfläche, desto größer das Ziel, das der Bösewicht anstrebt.
Interessanterweise denken Administratoren mehr über technologiebasierte Abwehrmaßnahmen und mögliche Angriffsvektoren durch Hacker nach als darüber, welche Ressourcen im Netzwerk „aktiv“ sind, und was auf ihren eigenen/externen Websites geschieht. Wer jedoch im Sinne von Zero Trust agieren möchte, muss sich genau überlegen, wo unerwünschte Sicherheitslücken verborgen sein könnten.
Die digitale Angriffsfläche im Überblick
Diese Kategorie umfasst die gesamte mit dem Netzwerk verbundene Hardware, Software und die damit eingesetzten Komponenten. Hier ein paar Beispiele:
Anwendungen:
Schwachstellen in Anwendungen sind alltäglich und können Angreifern einen nützlichen Einstiegspunkt in kritische IT-Systeme und Daten bieten.
Softwarecode:
Ein großes Risiko, da viele Softwarecodes aus Komponenten von Drittanbietern kompiliert werden, die Malware oder Schwachstellen enthalten können.
Ports:
Angreifer scannen zunehmend nach offenen Ports und danach, ob Dienste einen bestimmten Port abhören (z. B. TCP-Port 3389 für das Remote Desktop Protocol). Wenn diese Dienste falsch konfiguriert sind oder Bugs enthalten, können diese ausgenutzt werden.
Server:
Diese können über Schwachstellen ausgenutzt oder bei DDoS-Angriffen (Distributed Denial-of-service) mit Datenverkehr überflutet werden.
Websites:
Ein weiterer Teil der digitalen Angriffsfläche mit mehreren Angriffsvektoren, einschließlich Codefehlern und Fehlkonfigurationen. Eine erfolgreiche Kompromittierung kann zur Verunstaltung von Webseiten oder zur Einschleusung von bösartigem Code durch Drive-by-Downloads und andere Angriffe (z. B. Formjacking) führen.
Zertifikate:
Zertifikate verschlüsseln Daten bei der Übertragung und schützen die Identität von Benutzern und Geräten. Allerdings haben sie nur eine begrenzte Gültigkeit. Lassen Organisationen diese auslaufen, können Angreifer sie ausnutzen und Seriosität vortäuschen.
Die physische Angriffsfläche ist nicht zu unterschätzen
Diese Ebene umfasst alle Endgeräte, auf die ein Angreifer „physisch“ zugreifen kann, zum Beispiel:
• Desktop-Computer
• Festplatten
• Laptops
• Handys/mobile Geräte
• USB-Sticks
Man kann auch sagen, dass die Mitarbeiter einen großen Teil der physischen Angriffsfläche ausmachen, da sie im Zuge eines Cyberangriffs durch Social Engineering (Phishing und seine Varianten) manipuliert werden können. Sie sind auch für die Schatten-IT verantwortlich, d. h. die nicht genehmigte Nutzung von Anwendungen und Geräten durch Mitarbeiter, um die Sicherheitskontrollen der Organisation zu umgehen. Indem sie diese nicht genehmigten - und oft unzureichend gesicherten - Tools für ihre Arbeit nutzen, setzen sie das gesamte Netzwerk möglicherweise zusätzlichen Bedrohungen aus.
Wächst die Angriffsfläche?
Mit dem Einzug von „New Work“, also dem Strukturwandel in unserer Arbeitswelt, haben sich die Angriffsflächen deutlich erweitert. Die Kombination von Büro- und Heimarbeit bringt völlig neue Herausforderungen mit sich. Plötzlich befindet sich ein Großteil des Equipments nicht mehr innerhalb der schützenden Mauern des Unternehmens, sondern in Privatwohnungen. Daher haben IT-Verantwortliche viel Zeit und Geld investiert, um die Arbeit an diesen abgelegenen „Standorten“ zu unterstützen.
Und das hat neue Probleme geschaffen, die vorher kaum eine Rolle spielten:
• Endgeräte für die Fernarbeit (z. B. Laptops, Desktops) müssen entsprechend abgesichert sein
• Cloud-Anwendungen und -Infrastruktur müssen in die vorhandene IT-Systematik eingebunden und vor Hackern geschützt werden
• IoT-Geräte und 5G sind bislang wenig oder gar nicht geschützt
• Verwendung von Drittanbieter-Code wird immer mehr genutzt, ohne Sicherheitsfragen (ausreichend) zu klären
• Infrastruktur für Fernarbeit (VPNs, RDP usw.) muss erst noch in vielen Unternehmen angeschafft bzw. korrekt eingerichtet werden
Daher ist es nicht verwunderlich, dass Unternehmen heute an ihre Grenzen stoßen, Geräte und Dienste übersehen und teilweise den Überblick verlieren. Dies bedeutet letztlich, dass die wahre Größe und Art der Angriffsfläche nicht mit Sicherheit bestimmt werden kann. Dadurch lässt sich nicht abschätzen, ob und wie digitale und physische Ressourcen unterschiedlichen Bedrohungsakteuren ausgesetzt sind.
So lassen sich die Risiken der Angriffsfläche abschwächen
Der Grundstein - und somit der erste Schritt zum proaktiven Schutz und zur optimalen Cybersicherheit - beginnt damit, die Größe der Angriffsfläche zu verstehen und Maßnahmen zu ergreifen, um sie zu reduzieren. So liefern beispielsweise Bestandsprüfungen, Penetrationstests oder Schwachstellenscans fundierte Ergebnisse über die aktuelle Situation.
Im zweiten Schritt muss es darum gehen, Cyber-Risiken zu lokalisieren und zu beseitigen. Folgende Maßnahmen haben sich in der Praxis bewährt:
• Risikobasiertes Patching- und Konfigurationsmanagement
• Konsolidierung von Endgeräten, Ausmusterung veralteter Hardware
• Aufrüstung von Software und Betriebssystemen
• Segmentierung von Netzwerken
• Anwendung bewährter DevSecOps-Verfahren
• Laufendes Schwachstellenmanagement
• Risikominderung in der Lieferkette
• Datensicherheitsmaßnahmen (z. B. starke Verschlüsselung)
• Starkes Identitäts- und Zugriffsmanagement
• Kontinuierliche Protokollierung und Überwachung von Systemen
• Schulungsprogramme zur Sensibilisierung der Benutzer
• Zero-Trust-Ansätze
Fazit
Aktuelle Berichterstattungen weisen bei Sicherheitsverletzungen auf die “Cyber-Angriffsfläche“ oder „Cyber Attack Surface“ hin. Dadurch lenken immer mehr IT-Sicherheitsbeauftragte ihren Blick in diese Richtung und begreifen die zentrale Bedeutung: Nur wer weiß, wo die eigene Organisation insgesamt verletzlich ist und wie Angriffe darauf funktionieren könnten, kann entsprechende Maßnahmen ergreifen und zielgerichtet in passende Sicherheitslösungen investieren. Damit ist der Weg geebnet, um den Stand der Technik und/oder Zero Trust Security zu erreichen und sicher in die Zukunft zu gehen.