Die digitale Angriffsfläche bietet jedem Hacker, der über eine Internetverbindung verfügt, die Möglichkeit, die Cloud- und die lokale Infrastruktur des Unternehmens anzugreifen. Zu den üblichen Angriffsvektoren in der digitalen Angriffsfläche eines Unternehmens gehören:

1. Schwache Passwörter
2. Fehlkonfiguration
3. Software, Betriebssystem (OS) und Firmware-Schwachstellen
4. Mit dem Internet verbundene Assets
5. Gemeinsam genutzte Datenbanken und Verzeichnisse
6. Veraltete oder obsolete Geräte, Daten oder Anwendungen
7. Schatten-IT

• Schwache Passwörter: Passwörter, die leicht zu erraten sind – oder durch Brute-Force-Angriffe leicht zu knacken sind – erhöhen das Risiko, dass Cyberkriminelle Benutzerkonten kompromittieren können, um auf das Netzwerk zuzugreifen, vertrauliche Informationen zu stehlen, Malware zu verbreiten und die Infrastruktur anderweitig zu beschädigen. Laut dem Bericht Cost of a Data Breach Report 2021 von IBM waren kompromittierte Zugangsdaten im Jahr 2021 der am häufigsten verwendete ursprüngliche Angriffsvektor.
   

• Fehlkonfiguration: Falsch konfigurierte Netzwerkports, Kanäle, Wireless Access Points, Firewalls oder Protokolle dienen als Einstiegspunkte für Hacker. Man-in-the-Middle-Angriffe nutzen beispielsweise schwache Verschlüsselungsprotokolle auf Nachrichtenkanälen, um die Kommunikation zwischen Systemen abzufangen.
   

• Software-, Betriebssystem- und Firmware-Schwachstellen: Hacker und Cyberkriminelle können Codierungs- oder Implementierungsfehler in Anwendungen von Drittanbietern, Betriebssystemen und anderer Software oder Firmware ausnutzen, um Netzwerke zu infiltrieren, Zugriff auf Benutzerverzeichnisse zu erhalten oder Malware einzuschleusen. Im Jahr 2021 beispielsweise nutzten Cyberkriminelle eine Schwachstelle in der VSA-Plattform (Virtual Storage Appliance) von Kaseya (Link befindet sich außerhalb von ibm.com), um als Software-Update getarnte Ransomware an die Kunden von Kaseya zu verteilen.
   

• Internetorientierte Assets: Webanwendungen, Webserver und andere Ressourcen, die mit dem öffentlichen Internet konfrontiert sind, sind von Natur aus anfällig für Angriffe. So können Hacker beispielsweise bösartigen Code in ungesicherte Anwendungsprogrammierschnittstellen (APIs) einschleusen, so dass diese sensible Informationen in den zugehörigen Datenbanken unrechtmäßig preisgeben oder sogar zerstören.
   

• Gemeinsame Datenbanken und Verzeichnisse: Hacker können Datenbanken und Verzeichnisse, die von Systemen und Geräten gemeinsam genutzt werden, ausnutzen, um unbefugten Zugriff auf sensible Ressourcen zu erhalten oder Ransomware-Angriffe zu starten. Im Jahr 2016 verbreitete sich die Virlock Ransomware (Link befindet sich außerhalb von ibm.com), indem sie gemeinsame Datei-Ordner infizierte, auf die von mehreren Geräten aus zugegriffen wird.
   

• Veraltete oder überholte Geräte, Daten oder Anwendungen: Das Versäumnis, Updates und Patches konsequent anzuwenden, birgt Sicherheitsrisiken. Ein bemerkenswertes Beispiel ist die Ransomware WannaCry, die sich durch Ausnutzung einer Sicherheitslücke im Microsoft Windows-Betriebssystem (Link befindet sich außerhalb von ibm.com) verbreitete, für die ein Patch verfügbar war. Ähnlich verhält es sich, wenn veraltete Endgeräte, Datensätze, Benutzerkonten und Anwendungen nicht deinstalliert, gelöscht oder entsorgt werden: Sie schaffen unüberwachte Sicherheitslücken, die Cyberkriminelle leicht ausnutzen können.
   

• Schatten-IT: „Schatten-IT“ ist Software, Hardware oder Geräte – kostenlose oder beliebte Apps, tragbare Speichergeräte, ein ungesichertes persönliches Mobilgerät –, die Mitarbeiter ohne das Wissen oder die Genehmigung der IT-Abteilung verwenden. Da sie nicht von der IT oder den Sicherheitsteams überwacht wird, kann die Schatten-IT ernsthafte Schwachstellen aufweisen, die Hacker ausnutzen können.

Die physische Angriffsfläche legt Assets und Informationen offen, auf die normalerweise nur Benutzer mit autorisiertem Zugriff auf das physische Büro oder die Endgeräte des Unternehmens (Server, Computer, Laptops, mobile Geräte, IoT-Geräte oder Betriebshardware) zugreifen können.

• Böswillige Insider: Verärgerte oder bestochene Mitarbeiter oder andere Benutzer mit böswilligen Absichten können ihre Zugriffsrechte nutzen, um vertrauliche Daten zu stehlen, Geräte zu deaktivieren, Malware einzuschleusen oder Schlimmeres zu tun.
   

• Gerätediebstahl: Kriminelle können Endgeräte stehlen oder sich Zugang zu ihnen verschaffen, indem sie in die Räumlichkeiten eines Unternehmens einbrechen. Nachdem sie in den Besitz der Hardware gelangt sind, können Hacker auf Daten und Prozesse zugreifen, die auf diesen Geräten gespeichert sind. Sie könnten auch die Identität und die Berechtigungen des Geräts nutzen, um auf andere Netzwerkressourcen zuzugreifen. Von Remote-Mitarbeitern genutzte Endgeräte, persönliche Geräte von Mitarbeitern und unsachgemäß entsorgte Geräte sind typische Ziele von Diebstählen. 
   

• Baiting: Bei Baiting handelt es sich um einen Angriff, bei dem Hacker mit Malware infizierte USB-Laufwerke an öffentlichen Plätzen hinterlassen, in der Hoffnung, dass die Benutzer die Geräte an ihre Computer anschließen und die Malware unabsichtlich herunterladen.

Durch Social Engineering werden Menschen dazu gebracht, Fehler zu begehen, die ihre persönlichen oder organisatorischen Werte oder die Sicherheit gefährden, und zwar auf verschiedene Weise:

• Weitergabe von Informationen, die sie nicht weitergeben sollten
• Herunterladen von Software, die sie nicht herunterladen sollten
• Besuch von Websites, die sie nicht besuchen sollten
• Senden von Geld an Kriminelle 

Da es eher menschliche Schwächen als technische oder digitale Systemschwachstellen ausnutzt, wird Social Engineering manchmal auch als „Human Hacking“ bezeichnet.

Mehr über Social Engineering erfahren

Die Social-Engineering-Angriffsfläche eines Unternehmens entspricht im Wesentlichen der Anzahl der autorisierten Benutzer, die nicht auf Social-Engineering-Angriffe vorbereitet oder anderweitig dafür anfällig sind.

Phishing ist der bekannteste und am weitesten verbreitete Social-Engineering-Angriffsvektor. Bei einem Phishing-Angriff versenden Betrüger E-Mails, SMS oder Sprachnachrichten, die den Empfänger durch Manipulation zur Preisgabe vertraulicher Informationen, zum Herunterladen von Schadsoftware, zur Übermittlung von Geld oder Vermögenswerten an die falschen Personen oder zu anderen nachteiligen Handlungen zu verleiten. Betrüger gestalten Phishing-Nachrichten so, dass sie aussehen oder sich anhören, als kämen sie von einer vertrauenswürdigen oder glaubwürdigen Organisation oder Person – einem beliebten Einzelhändler, einer staatlichen Organisation oder manchmal sogar einer Person, die der Empfänger persönlich kennt.

Laut dem IBM-Bericht Cost of a Data Breach 2021 ist Social Engineering die zweithäufigste Ursache für Datenschutzverletzungen.

Attack Surface Management (ASM) bezieht sich auf Prozesse und Technologien, die die Angriffsfläche eines Unternehmens aus der Sicht eines Hackers betrachten, d. h. die Assets und Schwachstellen aufdecken und kontinuierlich überwachen, die Hacker sehen und auszunutzen versuchen, wenn sie das Unternehmen angreifen. ASM umfasst typischerweise:

Kontinuierliche Erkennung, Bestand und Überwachung von potenziell gefährdeten Assets. Jede ASM-Initiative beginnt mit einer vollständigen und ständig aktualisierten Bestandsaufnahme der mit dem Internet verbundenen IT-Ressourcen eines Unternehmens, einschließlich der lokalen und der Cloud-Assets. Die Vorgehensweise eines Hackers stellt sicher, dass nicht nur bekannte Assets, sondern auch Schatten-IT-Anwendungen oder -Geräte entdeckt werden. Diese Anwendungen oder Geräte könnten aufgegeben, aber nicht gelöscht oder deaktiviert worden sein (verwaiste IT). Oder Assets, die von Hackern oder Malware platziert wurden (Rogue IT), und mehr – im Grunde jedes Asset, das von einem Hacker oder einer Cyber-Bedrohung ausgenutzt werden kann.

Einmal entdeckte Objekte werden kontinuierlich und in Echtzeit auf Veränderungen überwacht, die ihr Risiko als potenzieller Angriffsvektor erhöhen.

Analyse der Angriffsfläche, Risikobewertung und Prioritätensetzung. ASM-Technologien bewerten Assets nach ihren Schwachstellen und Sicherheitsrisiken und ordnen sie nach Prioritäten für die Reaktion auf die Bedrohungsreaktion und Sanierung.

Reduzierung und Sanierung der Angriffsfläche. Sicherheitsteams können ihre Erkenntnisse aus der Analyse der Angriffsfläche und dem Red Teaming nutzen, um verschiedene kurzfristige Maßnahmen zur Reduzierung der Angriffsfläche zu ergreifen. Dazu gehören beispielsweise das Erzwingen stärkerer Passwörter, das Deaktivieren von Anwendungen und Endgeräten, die nicht mehr verwendet werden, das Anwenden von Anwendungs- und Betriebssystem-Patches, das Trainieren von Benutzern im Erkennen von Phishing-Betrug, das Einrichten biometrischer Zugangskontrollen für den Bürozugang oder das Überarbeiten von Sicherheitskontrollen und Richtlinien für Software-Downloads und Wechselmedien.

Unternehmen können auch strukturelle oder längerfristige Sicherheitsmaßnahmen ergreifen, um ihre Angriffsfläche zu verringern, entweder als Teil einer Initiative zur Verwaltung der Angriffsfläche oder unabhängig davon. Beispielsweise kann die Implementierung einer Zwei-Faktor-Authentifizierung (2fa) oder einer Multi-Faktor-Authentifizierung potenzielle Sicherheitslücken reduzieren oder beseitigen, die mit schwachen Passwörtern oder schlechter Passworthygiene verbunden sind.

Auf breiterer Ebene kann ein Zero-Trust-Sicherheitsansatz die Angriffsfläche eines Unternehmens erheblich reduzieren. Ein Zero-Trust-Ansatz erfordert, dass alle Nutzer, egal ob sie sich außerhalb oder bereits innerhalb des Netzwerks befinden, authentifiziert, autorisiert und kontinuierlich überprüft werden, um Zugang zu Anwendungen und Daten zu erhalten und aufrechtzuerhalten. Zero-Trusts-Prinzipien und -Technologien – kontinuierliche Validierung, am wenigsten privilegierter Zugriff, kontinuierliche Überwachung, Mikrosegmentierung des Netzwerks – können viele Angriffsvektoren reduzieren oder eliminieren und wertvolle Daten für die laufende Analyse der Angriffsfläche liefern.

Mehr über das Attack Surface Management erfahren