Was ist eine Angriffsfläche?

Was ist eine Angriffsfläche?

Die Angriffsfläche eines Unternehmens ist die Summe der Schwachstellen, Wege oder Methoden – manchmal auch Angriffsvektoren genannt –, die Hacker nutzen können, um sich unbefugt Zugriff auf das Netzwerk oder sensible Daten zu verschaffen oder um einen Cyberangriff durchzuführen.

Da Unternehmen zunehmend Cloud-Services und hybride Arbeitsmodelle (vor Ort/von zu Hause aus) einsetzen, werden ihre Netzwerke und die damit verbundenen Angriffsflächen immer größer und komplexer. Laut der Studie The State of Attack Surface Management 2022 von Randori haben 67 % der Unternehmen in den letzten zwei Jahren eine Vergrößerung ihrer Angriffsflächen festgestellt. 

Sicherheitsexperten unterteilen die Angriffsfläche in drei Teilflächen: Die digitale Angriffsfläche, die physische Angriffsfläche und die Social-Engineering-Angriffsfläche.

Think-Newsletter

Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?

Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

https://www.ibm.com/de-de/privacy

Digitale Angriffsfläche

Die digitale Angriffsfläche bietet jedem Hacker, der über eine Internetverbindung verfügt, die Möglichkeit, die Cloud- und die lokale Infrastruktur des Unternehmens anzugreifen. Zu den üblichen Angriffsvektoren in der digitalen Angriffsfläche eines Unternehmens gehören:

  1. Schwache Passwörter
  2. Fehlkonfiguration
  3. Software, Betriebssystem (OS) und Firmware-Schwachstellen
  4. Mit dem Internet verbundene Assets
  5. Gemeinsam genutzte Datenbanken und Verzeichnisse
  6. Veraltete oder obsolete Geräte, Daten oder Anwendungen
  7. Schatten-IT

  • Schwache Passwörter: Passwörter, die leicht zu erraten sind – oder durch Brute-Force-Angriffe leicht zu knacken sind – erhöhen das Risiko, dass Cyberkriminelle Benutzerkonten kompromittieren können, um auf das Netzwerk zuzugreifen, vertrauliche Informationen zu stehlen, Malware zu verbreiten und die Infrastruktur anderweitig zu beschädigen. Laut dem Data Breach Kostenreport 2025 von IBM sind kompromittierte Anmeldedaten an 10 % der Datenschutzverletzungen beteiligt.
     

  • Fehlkonfiguration: Falsch konfigurierte Netzwerkports, Kanäle, Wireless Access Points, Firewalls oder Protokolle dienen als Einstiegspunkte für Hacker. Man-in-the-Middle-Angriffe nutzen beispielsweise schwache Verschlüsselungsprotokolle auf Nachrichtenkanälen, um die Kommunikation zwischen Systemen abzufangen.
     

  • Software-, Betriebssystem- und Firmware-Schwachstellen: Hacker und Cyberkriminelle können Codierungs- oder Implementierungsfehler in Anwendungen von Drittanbietern, Betriebssystemen und anderer Software oder Firmware ausnutzen, um Netzwerke zu infiltrieren, Zugriff auf Benutzerverzeichnisse zu erhalten oder Malware einzuschleusen. Im Jahr 2021 profitierten Cyberkriminelle beispielsweise von einem Fehler in der VSA-Plattform (virtueller Speicher) von Kaseya , um als Software-Update getarnte Ransomware an die Kunden von Kaseya zu verteilen.
     

  • Internetorientierte Assets: Webanwendungen, Webserver und andere Ressourcen, die mit dem öffentlichen Internet konfrontiert sind, sind von Natur aus anfällig für Angriffe. So können Hacker beispielsweise bösartigen Code in ungesicherte Anwendungsprogrammierschnittstellen (APIs) einschleusen, so dass diese sensible Informationen in den zugehörigen Datenbanken unrechtmäßig preisgeben oder sogar zerstören.
     

  • Gemeinsame Datenbanken und Verzeichnisse: Hacker können Datenbanken und Verzeichnisse, die von Systemen und Geräten gemeinsam genutzt werden, ausnutzen, um unbefugten Zugriff auf sensible Ressourcen zu erhalten oder Ransomware-Angriffe zu starten. Im Jahr 2016 verbreitete sich die Virlock Ransomware, indem sie gemeinsame Datei-Ordner infizierte, auf die von mehreren Geräten aus zugegriffen wird.
     

  • Veraltete oder überholte Geräte, Daten oder Anwendungen: Das Versäumnis, Updates und Patches konsequent anzuwenden, birgt Sicherheitsrisiken. Ein bemerkenswertes Beispiel ist die Ransomware WannaCry, die sich durch Ausnutzung einer Sicherheitslücke in einem Microsoft Windows-Betriebssystem, für die ein Patch verfügbar war, verbreitete. Ähnlich verhält es sich, wenn veraltete Endgeräte, Datensätze, Benutzerkonten und Anwendungen nicht deinstalliert, gelöscht oder entsorgt werden: Sie schaffen unüberwachte Sicherheitslücken, die Cyberkriminelle leicht ausnutzen können.
     

  • Schatten-IT: „Schatten-IT“ sind Software, Hardware oder Geräte – kostenlose oder beliebte Apps, tragbare Speichergeräte, ein ungesichertes persönliches Mobilgerät –, die Mitarbeiter ohne das Wissen oder die Genehmigung der IT-Abteilung verwenden. Da sie nicht von der IT oder den Sicherheitsteams überwacht wird, kann die Schatten-IT ernsthafte Schwachstellen aufweisen, die Hacker ausnutzen können.

Physische Angriffsfläche

Die physische Angriffsfläche legt Assets und Informationen offen, auf die normalerweise nur Benutzer mit autorisiertem Zugriff auf das physische Büro oder die Endgeräte des Unternehmens (Server, Computer, Laptops, mobile Geräte, IoT-Geräte oder Betriebshardware) zugreifen können.

  • Böswillige Insider: Verärgerte oder bestochene Mitarbeiter oder andere Benutzer mit böswilligen Absichten können ihre Zugriffsrechte nutzen, um vertrauliche Daten zu stehlen, Geräte zu deaktivieren, Malware einzuschleusen oder Schlimmeres zu tun.
     

  • Gerätediebstahl: Kriminelle können Endgeräte stehlen oder sich Zugang zu ihnen verschaffen, indem sie in die Räumlichkeiten eines Unternehmens einbrechen. Nachdem sie in den Besitz der Hardware gelangt sind, können Hacker auf Daten und Prozesse zugreifen, die auf diesen Geräten gespeichert sind. Sie könnten auch die Identität und die Berechtigungen des Geräts nutzen, um auf andere Netzwerkressourcen zuzugreifen. Von Remote-Mitarbeitern genutzte Endgeräte, persönliche Geräte von Mitarbeitern und unsachgemäß entsorgte Geräte sind typische Ziele von Diebstählen.
     

  • Baiting: Bei Baiting handelt es sich um einen Angriff, bei dem Hacker mit Malware infizierte USB-Laufwerke an öffentlichen Plätzen hinterlassen, in der Hoffnung, dass die Benutzer die Geräte an ihre Computer anschließen und die Malware unabsichtlich herunterladen.

Angriffsfläche für Social Engineering

Durch Social Engineering werden Menschen dazu gebracht, Fehler zu begehen, die ihre persönlichen oder organisatorischen Werte oder die Sicherheit gefährden, und zwar auf verschiedene Weise:

  • Weitergabe von Informationen, die sie nicht weitergeben sollten
  • Herunterladen von Software, die sie nicht herunterladen sollten
  • Besuch von Websites, die sie nicht besuchen sollten
  • Senden von Geld an Kriminelle

Da es eher menschliche Schwächen als technische oder digitale Systemschwachstellen ausnutzt, wird Social Engineering manchmal auch als „Human Hacking“ bezeichnet.

Die Social-Engineering-Angriffsfläche eines Unternehmens entspricht im Wesentlichen der Anzahl der autorisierten Benutzer, die nicht auf Social-Engineering-Angriffe vorbereitet oder anderweitig dafür anfällig sind.

Phishing ist der bekannteste und am weitesten verbreitete Social-Engineering-Angriffsvektor. Laut dem IBM-Bericht Cost of a Data Breach 2025 ist Phishing die Hauptursache für Datenschutzverletzungen.

Bei einem Phishing-Angriff versenden Betrüger E-Mails, SMS oder Sprachnachrichten, die den Empfänger durch Manipulation zur Preisgabe vertraulicher Informationen, zum Herunterladen von Schadsoftware, zur Übermittlung von Geld oder Vermögenswerten an die falschen Personen oder zu anderen nachteiligen Handlungen zu verleiten. Betrüger gestalten Phishing-Nachrichten so, dass sie aussehen oder sich anhören, als kämen sie von einer vertrauenswürdigen oder glaubwürdigen Organisation oder Person – einem beliebten Einzelhändler, einer staatlichen Organisation oder manchmal sogar einer Person, die der Empfänger persönlich kennt.

Angriffsflächenmanagement

Attack Surface Management (ASM) bezieht sich auf Prozesse und Technologien, die die Angriffsfläche eines Unternehmens aus der Sicht eines Hackers betrachten, d. h. die Assets und Schwachstellen aufdecken und kontinuierlich überwachen, die Hacker sehen und auszunutzen versuchen, wenn sie das Unternehmen angreifen. ASM umfasst typischerweise:

Kontinuierliche Erkennung, Bestand und Überwachung von potenziell gefährdeten Assets. Jede ASM-Initiative beginnt mit einer vollständigen und ständig aktualisierten Bestandsaufnahme der mit dem Internet verbundenen IT-Ressourcen eines Unternehmens, einschließlich der lokalen und der Cloud-Assets. Die Vorgehensweise eines Hackers stellt sicher, dass nicht nur bekannte Assets, sondern auch Schatten-IT-Anwendungen oder -Geräte entdeckt werden. Diese Anwendungen oder Geräte könnten aufgegeben, aber nicht gelöscht oder deaktiviert worden sein (verwaiste IT). Oder Assets, die von Hackern oder Malware platziert wurden (Rogue IT), und mehr – im Grunde jedes Asset, das von einem Hacker oder einer Cyber-Bedrohung ausgenutzt werden kann.

Einmal entdeckte Objekte werden kontinuierlich und in Echtzeit auf Veränderungen überwacht, die ihr Risiko als potenzieller Angriffsvektor erhöhen.

Analyse der Angriffsfläche, Risikobewertung und Prioritätensetzung. ASM-Technologien bewerten Assets nach ihren Schwachstellen und Sicherheitsrisiken und ordnen sie nach Prioritäten für die Reaktion auf die Bedrohungsreaktion und Sanierung.

Reduzierung und Sanierung der Angriffsfläche. Sicherheitsteams können ihre Erkenntnisse aus der Analyse der Angriffsfläche und dem Red Teaming nutzen, um verschiedene kurzfristige Maßnahmen zur Reduzierung der Angriffsfläche zu ergreifen. Dazu gehören beispielsweise das Erzwingen stärkerer Passwörter, das Deaktivieren von Anwendungen und Endgeräten, die nicht mehr verwendet werden, das Anwenden von Anwendungs- und Betriebssystem-Patches, das Trainieren von Benutzern im Erkennen von Phishing-Betrug, das Einrichten biometrischer Zugangskontrollen für den Bürozugang oder das Überarbeiten von Sicherheitskontrollen und Richtlinien für Software-Downloads und Wechselmedien.

Unternehmen können auch strukturelle oder längerfristige Sicherheitsmaßnahmen ergreifen, um ihre Angriffsfläche zu verringern, entweder als Teil einer Initiative zur Verwaltung der Angriffsfläche oder unabhängig davon. Beispielsweise kann die Implementierung einer Zwei-Faktor-Authentifizierung (2FA) oder einer Multi-Faktor-Authentifizierung potenzielle Sicherheitslücken reduzieren oder beseitigen, die mit schwachen Passwörtern oder schlechter Passworthygiene verbunden sind.

Auf breiterer Ebene kann ein Zero-Trust-Sicherheitsansatz die Angriffsfläche eines Unternehmens erheblich reduzieren. Ein Zero-Trust-Ansatz erfordert, dass alle Nutzer, egal ob sie sich außerhalb oder bereits innerhalb des Netzwerks befinden, authentifiziert, autorisiert und kontinuierlich überprüft werden, um Zugang zu Anwendungen und Daten zu erhalten und aufrechtzuerhalten. Zero-Trusts-Prinzipien und -Technologien – kontinuierliche Validierung, am wenigsten privilegierter Zugriff, kontinuierliche Überwachung, Mikrosegmentierung des Netzwerks – können viele Angriffsvektoren reduzieren oder eliminieren und wertvolle Daten für die laufende Analyse der Angriffsfläche liefern.
Weiterführende Lösungen
Incident Response Services

Verbessern Sie das Programm zur Reaktion auf Vorfälle in Ihrem Unternehmen, minimieren Sie die Auswirkungen einer Sicherheitsverletzung und profitieren Sie von einer schnellen Reaktion auf Vorfälle im Bereich der Cybersicherheit.

 Incident Response Services kennenlernen
Lösungen für die Bedrohungserkennung und -reaktion

Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.

 Lösungen zur Bedrohungserkennung erkunden
IBM QRadar SOAR-Lösungen

Optimieren Sie Entscheidungsprozesse, verbessern Sie die SOC-Effizienz und beschleunigen Sie die Reaktion auf Vorfälle mit einer intelligenten Automatisierung und Orchestrierungslösung.

 Mehr zu QRadar SOAR
Machen Sie den nächsten Schritt

Verbessern Sie das Programm zur Reaktion auf Vorfälle in Ihrem Unternehmen, minimieren Sie die Auswirkungen einer Sicherheitsverletzung und profitieren Sie von einer schnellen Reaktion auf Vorfälle im Bereich der Cybersicherheit.

 Incident Response Services kennenlernen Weitere Informationen zu IBM X-Force