Die Angriffsfläche eines Unternehmens ist die Summe der Schwachstellen, Wege oder Methoden. Diese Komponenten werden auch manchmal als Angriffsvektoren bezeichnet und können von Hackern genutzt werden, um sich unbefugt Zugriff auf das Netz oder vertrauliche Daten zu verschaffen oder um einen Cyberangriff durchzuführen.
Mit der zunehmenden Einführung von cloudbasierten Services und hybriden Arbeitsmodellen (vor Ort und von zu Hause aus) werden die Netze von Unternehmen und die damit verbundenen Angriffsflächen immer größer und komplexer. Laut Randoris The State of Attack Surface Management 2022 (Link befindet sich außerhalb von ibm.com) (Randori ist eine Tochtergesellschaft der IBM Corp.) haben 67 Prozent der Unternehmen in den letzten zwei Jahren eine Vergrößerung ihrer Angriffsflächen festgestellt. Der Branchenanalyst Gartner bezeichnet die Vergrößerung der Angriffsfläche als den bedeutendsten Trend im Bereich Sicherheit und Risikomanagement für 2022 (Link befindet sich außerhalb von ibm.com).
Sicherheitsexperten untergliedern die Angriffsfläche in drei Teilflächen: Die digitale Angriffsfläche, die physische Angriffsfläche und die Social Engineering-Angriffsfläche.
Die digitale Angriffsfläche ermöglicht es jedem Hacker, der über eine Internetverbindung verfügt, die Cloud- und die lokale Infrastruktur des Unternehmens anzugreifen. Häufige Angriffsvektoren in der digitalen Angriffsfläche eines Unternehmens umfassen:
Schwache Kennwörter: Leicht zu erratende oder durch Brute-Force-Attacken leicht zu knackende Kennwörter erhöhen das Risiko der Kompromittierung von Benutzerkonten durch Cyberkriminelle, die auf das Netz zugreifen, vertrauliche Daten stehlen, Malware verbreiten und die Infrastruktur auf andere Weise schädigen. Laut IBMs Cost of a Data Breach Report 2021 wurden kompromittierte Anmeldedaten 2021 als der am meisten genutzte anfängliche Angriffsvektor ermittelt.
Fehlerhafte Konfiguration: Unsachgemäß konfigurierte Netzports, Kanäle, drahtlose Zugriffspunkte, Firewalls oder Protokolle dienen als Einstiegsstellen für Hacker. Man-in-the-Middle-Angriffe nutzen beispielsweise schwache Verschlüsselungsprotokolle auf Nachrichtenübermittlungskanälen, um Kommunikation zwischen Systemen abzufangen.
Sicherheitslücken in Software, Betriebssystem und Firmware: Hacker und Cyberkriminelle können Code- oder Implementierungsfehler in Anwendungen von Drittanbietern, Betriebssystemen und anderer Software oder Firmware ausnutzen, um in Netze einzudringen, Zugriff auf Benutzerverzeichnisse zu erhalten oder Malware einzuschleusen. 2021 nutzten Cyberkriminelle beispielsweise eine Schwachstelle in der VSA-Plattform (Virtual Storage Appliance) von Kaseya (Link befindet sich außerhalb von ibm.com), um als Software-Update getarnte Ransomware an die Kunden von Kaseya zu verteilen.
Assets mit Internetverbindung: Webanwendungen, Webserver und andere Ressourcen, die mit dem öffentlichen Internet verbunden sind, sind von Natur aus für Angriffe anfällig. So können Hacker beispielsweise schädlichen Programmcode in ungesicherte Anwendungsprogrammierschnittstellen (APIs) einschleusen, der dazu führt, dass vertrauliche Informationen in den zugehörigen Datenbanken unrechtmäßig weitergegeben oder sogar vernichtet werden.
Gemeinsam genutzte Datenbanken und Verzeichnisse: Hacker können Datenbanken und Verzeichnisse, die von Systemen und Geräten gemeinsam genutzt werden, ausnutzen, um unbefugten Zugriff auf vertrauliche Ressourcen zu nehmen oder Ransomware-Angriffe zu starten. 2016 verteilte sich die Virlock-Ransomware (Link befindet sich außerhalb von ibm.com) durch Infizierung gemeinsamer Dateiordner, auf die von mehreren Geräten aus zugegriffen wird.
Veraltete oder überholte Geräte, Daten oder Anwendungen: Sicherheitsrisiken entstehen, wenn Updates und Patches nicht konsequent angewendet werden. Ein bemerkenswertes Beispiel ist die Ransomware WannaCry, die sich unter Ausnutzung einer Schwachstelle im Betriebssystem von Microsoft Windows verbreitete, für die ein Patch zur Verfügung stand (Link befindet sich außerhalb von ibm.com). Gleichermaßen schaffen veraltete Endgeräte, Datensätze, Benutzerkonten und Anwendungen, die nicht ordnungsgemäß deinstalliert, gelöscht oder entsorgt werden, nicht überwachte Schwachstellen, die Cyberkriminelle ganz leicht ausnutzen können.
Schatten-IT: „Schatten-IT“ umfasst Software, Hardware oder Geräte – kostenlose oder beliebte Apps, tragbare Speichergeräte, ungesicherte persönliche Mobilgeräte, die Mitarbeiter ohne Wissen oder Genehmigung der IT-Abteilung verwenden. Da sie nicht von IT- oder Sicherheitsteams überwacht wird, kann die Schatten-IT ernsthafte Schwachstellen einführen, die von Hackern ausgenutzt werden können.
Die physische Angriffsfläche legt Assets und Daten offen, auf die in der Regel nur berechtigte Benutzer Zugriff haben. Hierzu zählen Server, Computer, Laptops, mobile Geräte, IoT-Geräte und Hardware des Betriebs.
Böswillige Insider: Verärgerte oder bestochene Mitarbeiter oder andere Benutzer mit böswilligen Absichten können ihre Zugriffsrechte nutzen, um vertrauliche Daten zu stehlen, Geräte zu deaktivieren, Malware einzuschleusen oder sogar noch Schlimmeres auszuführen.
Diebstahl von Geräten: Kriminelle können Endgeräte stehlen oder sich Zugang zu ihnen verschaffen, indem sie in die Räumlichkeiten eines Unternehmens einbrechen. Sobald sie im Besitz der Hardware sind, können Hacker auf Daten und Prozesse zugreifen, die auf diesen Geräten gespeichert sind. Sie können auch die Identität und die Berechtigungen des Geräts nutzen, um auf andere Netzressourcen zuzugreifen. Von Remote-Mitarbeitern genutzte Endgeräte, persönliche Geräte von Mitarbeitern und unsachgemäß entsorgte Geräte sind typische Zielscheiben für Diebstähle.
Baiting: Beim Baiting handelt es sich um einen Angriff, bei dem Hacker mit Malware infizierte USB-Laufwerke an öffentlichen Orten hinterlassen. Sie hoffen, die „Finder“ dazu zu verleiten, die Laufwerke an ihre Computer anzuschließen und die Malware ungewollt herunterzuladen.
Durch Social Engineering werden Menschen dazu verleitet, Informationen weiterzugeben, die sie nicht weitergeben sollten, Software herunterzuladen, die sie nicht herunterladen sollten, Websites zu besuchen, die sie nicht besuchen sollten, Geld an Kriminelle zu senden oder andere Fehler zu begehen, die ihre persönlichen oder unternehmerischen Assets oder auch ihre Sicherheit gefährden.
Da es eher menschliche Schwächen als technische oder digitale Systeme ausnutzt, wird Social Engineering manchmal als „Hacken von Menschen“ bezeichnet.
Weitere Informationen über Social Engineering
Die Angriffsfläche für Social Engineering-Angriffe in einem Unternehmen entspricht im Grunde der Anzahl der autorisierten Benutzer, die nicht auf Social-Engineering-Angriffe vorbereitet oder anderweitig anfällig dafür sind.
Phishing ist der bekannteste und am weitesten verbreitete Angriffsvektor für Social Engineering. Bei einem Phishing-Angriff verschicken Betrüger E-Mails, Text- oder Sprachnachrichten, die die Empfänger dazu verleiten sollen, vertrauliche Informationen weiterzugeben, bösartige Software herunterzuladen, Geld oder Vermögenswerte an die falschen Personen zu überweisen oder eine andere schädliche Handlung durchzuführen. Betrüger erstellen Phishing-Nachrichten, die so aussehen oder klingen, als kämen sie von einer vertrauenswürdigen oder glaubwürdigen Organisation oder Person – einem beliebten Einzelhändler, einer staatlichen Einrichtung oder manchmal sogar einer Person, die der Empfänger persönlich kennt.
Laut IBMs Cost of a Data Breach Report 2021 ist Social Engineering die zweithäufigste Ursache von Datenschutzverletzungen.
Angriffsflächenmanagement (ASM) bezieht sich auf Prozesse und Technologien, die die Angriffsfläche eines Unternehmens aus der Sicht eines Hackers betrachten. Dieses Management dient der Aufdeckung und Vorbeugung. Es überwacht kontinuierlich die Schwachstellen, die Hacker beobachten und bei einem Angriff auf das Unternehmen versuchen auszunutzen. ASM umfasst typischerweise:
Kontinuierliche Erkennung, Inventarisierung und Monitoring von potenziell gefährdeten Assets. Jede ASM-Initiative beginnt mit einer vollständigen und laufend aktualisierten Inventarisierung der mit dem Internet verbundenen IT-Ressourcen eines Unternehmens, einschließlich Cloud-Assets oder Assets vor Ort. Die Strategie eines Hackers stellt sicher, dass nicht nur bekannte Assets, sondern auch Schatten-IT (siehe oben) entdeckt werden. Dazu gehören Anwendungen oder Geräte, die nicht mehr genutzt werden und deren Daten nicht gelöscht oder deaktiviert wurden (die sogenannte verwaiste IT), Assets, die von Hackern oder Malware eingeschleust wurden (die sogenannte bösartige IT), und vieles mehr. Im Grunde geht es um jedes Asset, das von einem Hacker oder für eine Cyberbedrohung ausgenutzt werden kann.
Einmal entdeckte Assets werden kontinuierlich und in Echtzeit auf Veränderungen hin überwacht, was deren Risiko als potenzieller Angriffsvektor erhöht.
Angriffsflächenanalyse, Risikobeurteilung und Priorisierung. ASM-Technologien bewerten Assets nach ihren Schwachstellen und Sicherheitsrisiken. Sie ordnen sie nach Prioritäten, um auf Bedrohungen zu reagieren oder sie zu korrigieren.
Reduzierung der Angriffsfläche und Korrektur. Sicherheitsteams können ihre Erkenntnisse aus der Analyse der Angriffsfläche und dem Red Teaming nutzen, um eine Reihe von kurzfristigen Maßnahmen zur Reduzierung der Angriffsoberfläche zu ergreifen. Diese könnten die Durchsetzung stärkerer Kennwörter, die Deaktivierung nicht mehr genutzter Anwendungen und Endgeräte, die Anwendung von Anwendungs- und Betriebssystem-Patches, die Schulung von Benutzern zur Erkennung von Phishing-Betrug, die Einführung biometrischer Zugriffskontrollen für den Bürozugang oder die Überarbeitung von Sicherheitskontrollen und -richtlinien für Software-Downloads und Wechseldatenträger umfassen.
Unternehmen können auch strukturelle oder längerfristige Sicherheitsmaßnahmen ergreifen, um ihre Angriffsfläche zu verringern. Sie können dies entweder als Teil einer Initiative zum Angriffsflächenmanagement oder unabhängig davon bewirken. So kann beispielsweise die Implementierung der Zwei-Faktor-Authentifizierung (2FA) oder der Multifaktor-Authentifizierung potenzielle Schwachstellen im Zusammenhang mit schwachen Kennwörtern oder mangelnder Kennworthygiene verringern oder beseitigen.
Auf breiterer Ebene kann ein Zero Trust-Sicherheitsansatz die Angriffsfläche eines Unternehmens erheblich reduzieren. Ein Zero-Trust-Ansatz erfordert, dass alle Benutzer, ob außerhalb oder bereits innerhalb des Netzes, authentifiziert, autorisiert und kontinuierlich validiert werden, um Zugriff auf Anwendungen und Daten zu erhalten und zu behalten. Zero Trust-Prinzipien und -Technologien – also kontinuierliche Validierung, am wenigsten privilegierter Zugriff, kontinuierliches Monitoring, Mikrosegmentierung des Netzes – können zahlreiche Angriffsvektoren reduzieren oder eliminieren und wertvolle Daten für die laufende Analyse der Angriffsfläche bereitstellen.
Verwalten Sie die Ausdehnung Ihrer digitalen Stellfläche und erzielen Sie weniger Fehlalarme, um die Cyberresilienz Ihres Unternehmens schnell zu verbessern.
Verbinden Sie Ihre Tools, automatisieren Sie Ihr Security Operations Center (SOC) und gewinnen Sie Zeit für das Wesentliche.
Führen Sie ein Programm zum Schwachstellenmanagement ein, das Schwachstellen, die Ihre wichtigsten Assets gefährden könnten, identifiziert, nach Prioritäten ordnet und deren Korrektur verwaltet.
Social Engineering kompromittiert die Sicherheit von Personen oder Unternehmen nicht durch technisches Hacking, sondern durch psychologische Manipulation.
Malware ist Softwarecode, der geschrieben wurde, um Computer oder Netze zu beschädigen oder zu zerstören oder um unbefugten Zugriff auf Computer, Netze oder Daten zu ermöglichen.
Ein Zero-Trust-Ansatz erfordert, dass alle Benutzer, ob außerhalb oder bereits innerhalb des Netzes, authentifiziert, autorisiert und kontinuierlich validiert werden, um Zugriff auf Anwendungen und Daten zu erhalten und zu behalten.
Bedrohungen durch Insider treten auf, wenn Benutzer mit autorisiertem Zugang zu den Assets eines Unternehmens diese Assets absichtlich oder versehentlich gefährden.
Ein Leitfaden zur Sicherung Ihrer Cloud-Computing-Umgebung und Ihrer Workloads.
Datensicherheit ist die Praxis des Schutzes digitaler Daten vor Diebstahl und Beschädigung oder vor unberechtigtem Zugriff während ihres gesamten Lebenszyklus.