Wenn Unternehmen über Cybersicherheit sprechen, konzentrieren sie sich in der Regel auf das, was innerhalb ihrer Infrastruktur geschieht: interne Systeme, Benutzer und Kontrollen. Auf den ersten Blick erscheint dieser Ansatz logisch. Schließlich laufen hier die Geschäftsprozesse ab und werden sensible Daten gespeichert.
Angreifer beginnen jedoch nicht dort.
Sie beginnen von außen und schauen hinein.
Die Realität ist, dass die Art und Weise, wie wir unsere eigene Sicherheit betrachten, und die Art und Weise, wie jemand, der versucht, uns zu hacken, sie betrachtet, völlig unterschiedlich sind. Dieser Unterschied stellt einen erheblichen blinden Fleck für die heutige bedrohungsorientierte Cybersicherheitsstrategie dar.
Die meisten Sicherheitsstrategien befassen sich mit der falschen Frage.
Die meisten Sicherheitsstrategien beginnen mit einer bekannten Frage:
Wie gut sind wir intern geschützt?
Dies führt zwangsläufig zu Investitionen in interne Sicherheitsmaßnahmen wie Identitäts- und Zugriffsmanagement, Endgeräteschutz, SOC-Betrieb, Richtlinien und Compliance-Rahmenwerke. All diese Kontrollen sind notwendig und wertvoll.
Angreifer stellen jedoch eine ganz andere Frage:
Was kann ich von außen sehen, erreichen und nutzen?
Die Diskrepanz zwischen diesen beiden Fragen ist größer, als den meisten Unternehmen bewusst ist. Während Sicherheitsteams damit beschäftigt sind, ihre internen Kontrollen zu optimieren, kartieren Angreifer systematisch alle mit dem Internet verbundenen asset, testen exponierte Dienste und suchen nach Schwachstellen, die ihnen Zugang verschaffen könnten.
Dies stellt kein theoretisches Risiko dar.
Viele erfolgreiche Cyberangriffe nutzen an einem Punkt der Angriffskette eine extern exponierte Schwachstelle aus.
Aus der Perspektive eines Angreifers – Sehen ist Glauben
Aus der Perspektive eines Hackers wird Ihr Unternehmen nicht durch Ihre internen Architekturdiagramme, Ihre Richtlinien oder Ihre Governance-Modelle definiert.
Es wird durch das definiert, was von außen sichtbar ist, Ihre externe Angriffsfläche.
Dies umfasst alles, was im Internet entdeckt, aufgerufen oder mit dem Internet interagiert werden kann. Beispiele hierfür sind:
- Internetbasierte Anwendungen und Dienste
- Vergessene oder nicht verwaltete assets
- Fehlerhaft konfigurierte Cloud-Dienste oder exponierte Verwaltungsschnittstellen
- Offene Ports und unzureichende Authentifizierungsmechanismen
- Zugriffspfade, die für sich genommen harmlos erscheinen, jedoch gefährlich werden, wenn sie miteinander verknüpft werden.
Viele dieser Probleme werden nicht einmal in einem Risikoregister erfasst. Einige treten zufällig durch Veränderungen wie die Einführung der Cloud, Fusionen oder Schatten-KI auf. Andere existieren einfach. Da vielen Unternehmen die Transparenz fehlt, um zu erkennen, was Bedrohungsakteure von außen tatsächlich im Blick haben.
Angreifer wissen jedoch genau, was vorhanden ist. Und sie suchen danach. Ständig.
Für Angreifer ist Sichtbarkeit der erste Schritt zur Ausnutzung. Wenn ein asset sichtbar asset , wird es zu einem potenziellen Einstiegspunkt.
Warum herkömmliches Risikomanagement unzureichend ist
Viele Organisationen setzen auf passive Ansätze, um externe Risiken zu managen:
- CVE-Einträge
- asset
- Ergebnisse des Schwachstellenscanners.
Diese Instrumente sind hilfreich. Allerdings beantworten sie nicht die wichtigste Frage im Risikomanagement:
Kann dies in meiner Umgebung tatsächlich ausgenutzt werden?
Eine Schwachstelle auf dem Papier ist nicht automatisch eine Schwachstelle in der Praxis. Nicht jede CVE ist zugänglich. Nicht jede Fehlkonfiguration kann ausgenutzt werden. Und nicht jede Entdeckung ist in der realen Welt von Bedeutung.
Ohne Validierung geschieht Folgendes:
Die Priorisierung wird zu einer Schätzung.
- Die Sicherheitsteams sind mit der Vielzahl der Probleme überfordert.
- Kritische Themen stehen im Wettbewerb mit weniger bedeutenden Erkenntnissen.
- Angreifer werden sich auf die wenigen Schwachstellen konzentrieren, die tatsächlich funktionieren.
Das Ergebnis? Sanierungsmaßnahmen, die Zeit und Energie verschwenden, und ein falsches Gefühl der Sicherheit, dass sich die Lage verbessert, obwohl dies nicht der Fall ist.
Aktive Expositionsvalidierung: Ermittlung und Nachweis dessen, was tatsächlich ausgenutzt werden kann
Hier verfolgt Active Exposure Validation einen grundlegend anderen Ansatz. Anstatt Risiken anhand statischer Daten zu schätzen, wird nachgewiesen, was tatsächlich ausnutzbar ist.
Durch die aktive und kontinuierliche Überprüfung Ihrer mit dem Internet verbundenen assets erhalten Sie folgende Informationen:
- Welche Schwachstellen sind theoretisch vorhanden?
- Welche können tatsächlich genutzt werden?
- Welche Belichtungen müssen unverzüglich korrigiert werden?
Dies umfasst automatisierte Validierungstechniken wie:
- Versuche der Ausnutzung bekannter CVEs
- Erkennung von Schwachstellen, denen keine CVE zugewiesen wurde.
- Aktives Testen von Webanwendungen und exponierten Schnittstellen
- Einsatz realer Angreifertechniken anstelle von Checklisten-basierten Konformitätsprüfungen
Das Ergebnis ist eine Verlagerung von volumenorientierter Sicherheit hin zu einer evidenzbasierten Priorisierung.
Sicherheitsteams können sich auf die tatsächlichen Risikofaktoren konzentrieren und nicht nur auf die Ergebnisse eines Scannerberichts.
Praktische Relevanz / Beispiele: Von der Erkenntnis zur Resilienz mit Hacker-Check von Damovo
Bei Damovo haben wir Hacker-Check als Managed Service entwickelt, um die Perspektive eines externen Angreifers zu operationalisieren.
Hacker-Check ist ein Managed Service, der entwickelt wurde, um:
- Bewerten Sie Ihr Unternehmen kontinuierlich von außen.
- Bitte überprüfen Sie, welche Risiken tatsächlich ausgenutzt werden können.
- Bitte stellen Sie klare, nach Prioritäten geordnete Abhilfemaßnahmen zur Verfügung.
- Verstärken Sie Ihre Abwehrmaßnahmen dort, wo Angriffe tatsächlich beginnen.
Unser Ziel ist es nicht, mehr Warnmeldungen oder Dashboards zu generieren.
Das Ziel ist Klarheit.
Durch die Kombination von kontinuierlicher Erkennung und aktiver Validierung erhalten Sie einen realistischen Überblick über Ihre externen Risiken, sodass Sie Ihre Bemühungen auf die Bereiche konzentrieren können, in denen sie tatsächlich etwas bewirken.
Fazit: Cyber-Resilienz beginnt dort, wo Angreifer ansetzen.
Cyber-Resilienz beginnt nicht innerhalb Ihres Netzwerkperimeters.
Es beginnt in dem Moment, in dem Ihr Unternehmen mit dem Internet in Berührung kommt.
Wenn Sie diese Grenze nicht regelmäßig überprüfen, werden Angreifer dies für Sie tun.
Wenn Sie nicht überprüfen, was ausgenutzt werden kann, werden sie dies ebenfalls tun.
Die eigentliche Frage ist nicht mehr, ob jemand Ihre externe Angriffsfläche beobachtet.
Es kommt darauf an, ob Sie zuerst geschaut haben.