Wissen Sie genau, auf welchen Wegen Hacker genau jetzt in Ihre IT-Systeme eindringen könnten? Angesichts der fortschreitenden Digitalisierung und den damit einhergehenden neuen Bedrohungen wird es für Unternehmen immer wichtiger, ihre IT-Risiken systematisch zu erkennen, zu bewerten und aktiv zu reduzieren. An dieser Stelle kommt das Exposure Management ins Spiel. In diesem Beitrag erfahren Sie, was sich hinter diesem Begriff verbirgt und warum ein proaktives, kontinuierliches Exposure Management für Ihr Unternehmen von Bedeutung ist.

Warum Exposure Management?

Der englische Begriff „Exposure“ bedeutet u. a. „the condition of being exposed, uncovered, or unprotected“ (Quelle: Wictionary), also ausgesetzt, ungedeckt oder ungeschützt sein. Im Risikomanagement bezeichnet „Exposure“ das mögliche Schadensausmaß von Risiken, denen eine Person oder Organisation im Zusammenhang mit bestimmten Tätigkeiten ausgesetzt ist (vgl. Risikoexposition). Vor allem im Finanzwesen ist der Begriff „Exposure“ geläufig, etwa in Bezug auf Währungs-, Kredit -oder Investitionsrisiken. „Exposure Management“ bezieht sich dann auf die Erkennung und Minderung solcher Risiken – also das Verhindern von Verlusten.

Generell ist Risikomanagement ein unverzichtbarer Bestandteil moderner Unternehmensführung: Risiken sind zu identifizieren, zu bewerten und strategisch zu behandeln, um Schäden für das Unternehmen zu vermeiden oder zu minimieren. Weil heute digitale Prozesse, Systeme und Daten für das erfolgreiche Handeln der meisten Unternehmen unverzichtbar geworden sind, gehören dabei IT-Risiken zu den wichtigsten Risikoarten überhaupt: Ein einziger erfolgreicher Hack kann bereits die Funktionsfähigkeit oder gar die Existenz einer Organisation erheblich gefährden. Um Schäden aus IT-Risiken zu minimieren (Digital Risk Protection), kommt das proaktive Exposure Management ins Spiel.

Was ist Exposure Management in der IT-Sicherheit?

Exposure Management in der Cybersicherheit (Cyber Threat Exposure Management) ist ein ganzheitlicher, risikobasierter Ansatz, der auf die gesamte IT-Angriffsfläche eines Unternehmens zielt. Schwachpunkte und Bedrohungen sollen identifiziert, bewertet und entschärft werden, um das Risiko von Cyberangriffen auf kritische Assets eines Unternehmens zu minimieren.

Im Gegensatz zum herkömmlichen Vulnerability Management, das sich ausschließlich auf Software-Schwachstellen konzentriert, werden beim Exposure Management verschiedenste potenzielle Schwachpunkte (Exposures) in Systemen, Anwendungen, Netzwerken und Prozessen berücksichtigt, die Cyberkriminelle ausnutzen könnten, um Schaden anzurichten. So werden auch etwa Fehlkonfigurationen, ungepatchte oder veraltete Softwareversionen, ein unzureichender Schutz von Benutzerkonten oder die fehlende Verschlüsselung sensibler Daten einbezogen, um das Gesamtrisiko für das Unternehmen zu verringern.

Vom Vulnerability Management zum Exposure Management

Schwachstellenmanagement bzw. Vulnerability Management (VM) spielt dabei eine wichtige Rolle, aber Exposure Management greift breiter.

Stellen Sie sich Ihre gesamte IT-Umgebung wie ein Gebäude vor: Jede Tür, jedes Fenster, jede Dachluke und vielleicht sogar die Kanalisation kann potenziell als Zugang für ungebetene Gäste dienen. Klassisches Vulnerability Management würde sich darauf konzentrieren, Türen und Fenster auf ihre Einbruchsicherheit zu prüfen. Erst ein umfassendes Exposure Management fragt nach der gesamten Angriffsfläche, auch danach, was für Schlösser eingebaut sind, wer dafür Schlüssel hat, welche anderen Zugänge es noch gibt usw.

Aber eigentlich hinkt dieser Vergleich noch ein wenig; passender wird er, wenn Sie nicht an irgendein Gebäude denken, sondern beispielsweise an den königlichen Klosterkomplex El Escorial nahe Madrid – der größte Renaissancebau der Welt – mit seinen angeblich 3.000 Türen und fast 2.700 Fenstern. Diese alle zu überwachen überfordert jedes Security-Team. Also konzentrieren Sie sich auf die Eingangswege mit dem größten Risiko: etwa Fenster im Erdgeschoss, Außentüren oder auch die Türen auf dem Weg zu den Schätzen, die in Museum und Bibliothek aufbewahrt werden. Im Optimalfall haben Sie auch noch einen Draht in die Unterwelt und erfahren etwa von aktuellen Praktiken der Einbrecher (Tactics, Techniques, and Procedures, TTPs) oder geplanten Coups. Mit anderen Worten: Sie betreiben risikobasiertes Vulnerability Management. Wenn Sie neben Türen und Fenstern jetzt auch noch die anderen genannten Eingangswege, also die gesamte Angriffsfläche, bei der Risikobewertung einbeziehen, betreiben Sie Exposure Management. Dieses vermittelt Ihnen ein holistisches Bild Ihrer Risiken und schafft die Grundlage für eine proaktive Sicherheitsstrategie.

Continuous Threat Exposure Management (CTEM)

Im Security-Umfeld wurde das Exposure Management vor allem von Gartner bekannt gemacht. Seit 2022 propagiert Gartner „Continuous Threat Exposure Management“ (CTEM) als systematischen und pragmatischen Ansatz für mehr Cybersicherheit. Hintergrund ist die Erkenntnis, dass es in der Praxis sowohl unmöglich ist, alle bekannten Schwachstellen zu beseitigen, als auch sicher zu wissen, was davon guten Gewissens aufgeschoben werden kann. Deshalb müssen Security-Anstrengungen und Investitionen einem risikobasierten Ansatz folgen – 2023 prognostizierte Gartner, dass Unternehmen, die ihre Sicherheitsinvestitionen auf der Basis eines CTEM-Programms priorisieren, bis 2026 um zwei Drittel weniger Sicherheitsverletzungen verzeichnen werden.

Aber wie können Sie ein solches CTEM-Programm aufbauen? Wichtig ist zum einen Kontinuität. Denn Ihre Sicherheitslage ändert sich ständig, und zwar sowohl intern (neue Systeme, neu entdeckte Schwachstellen etc.) als auch extern (neue Bedrohungen). Zum anderen benötigen Sie umfassende und aktuelle Informationen für eine valide Risikobewertung: Sie müssen Ihre externe Angriffsfläche kennen, aber auch Ihre SaaS-Systeme (Stichwort Schatten-IT) und Vernetzungen innerhalb Ihrer Lieferketten, und möglichst auch externe Veränderungen Ihrer Sicherheitslage im Auge behalten.

Gartner hat für die Umsetzung von CTEM fünf Prozessschritte definiert:

Schritt 1: Scoping

Gewinnen Sie einen Überblick über Ihre gesamte Angriffsfläche. Neben Endgeräten, On-PremisesServern, Cloud-Ressourcen, Anwendungen oder Benutzerkonten (mit Berechtigungen) gehören dazu laut Gartner auch weniger sichtbare Elemente wie Social-Media-Konten, Online-Code-Repositories oder Supply-Chain-Systeme. Unternehmen, die mit CTEM noch am Anfang stehen, empfiehlt Gartner, sich zunächst auf die externe Angriffsfläche (External Attack Surface Management, EASM) sowie die SaaS-Sicherheitslage zu konzentrieren.

Schritt 2: Discovery

Entwickeln Sie Prozesse zur Identifikation gefährdeter Assets innerhalb der in Schritt 1 definierten Bereiche. Ergebnis ist eine Liste konkret bestehender Schwachstellen (Common Vulnerabilities and Exposures; CVEs) bzw. anderer Gefährdungen wie Fehlkonfigurationen (offene Ports, ungeschützte Konten etc.) oder veraltete Systeme (End of Life; EOL).

Schritt 3: Priorisierung

Weil nicht alle entdeckten Sicherheitsprobleme gelöst werden können, müssen wertvolle und stark bedrohte Assets zuerst abgesichert werden. Dazu bewerten Sie das mit jedem Problem verbundene Risiko nicht nur nach dem CVE-Schweregrad (von niedrig bis kritisch), sondern auch nach Dringlichkeit (Ausnutzungswahrscheinlichkeit), Auswirkungen auf Ihr Geschäft, der Effektivität vorhandener Sicherheitsmaßnahmen (Controls) sowie Ihrer Toleranz für das Restrisiko. Standardisierte Methoden und Frameworks helfen Ihnen dabei, zum Beispiel MITRE ATT&CK oder CVSS (Common Vulnerability Scoring System).

Schritt 4: Validierung

Beurteilen Sie, wie potenzielle Angreifer die priorisierten Assets konkret angreifen können und ob Ihr aktueller Reaktionsplan ausreichend gut funktioniert – ob zum Beispiel klare Vorgaben für seine Auslösung, erforderliche Schritte und Verantwortlichkeiten existieren. Dazu dienen etwa simulierte Angriffe (Pentesting, Red Teaming) oder Threat Modeling.

Schritt 5: Mobilisierung

Nun müssen Sie die gewonnenen Erkenntnisse nur noch in umsetzbare Prozesse überführen und diese mit Ihren Teams implementieren. Dazu zählen verbesserte Reaktionspläne, automatisierte Workflows basierend auf dem Output Ihrer Sicherheitslösungen, die Weiterleitung klar definierter Aufgaben an verantwortliche Mitarbeiter und das Monitoring dieser Prozesse per Echtzeit-Dashboard und Reporting. Denken Sie daran, zuvor sämtliche Hindernisse für diese Prozesse zu beseitigen: Kommunizieren Sie Ihren CTEM-Plan an alle Stakeholder, sorgen Sie dafür, dass er verstanden wird, und definieren und dokumentieren Sie notwendige Eskalations- und Genehmigungsabläufe.

Denken Sie daran: Für ein effizientes Exposure Management müssen verschiedene Stakeholder im Unternehmen mit IT-Abteilung und Security zusammenarbeiten: das Management, aber auch die Fachabteilungen, die bestimmte Anwendungen nutzen, Mitarbeitende, die für den sicheren Umgang mit Informationen und Zugangsdaten sensibilisiert werden müssen, sowie Zulieferer, Kunden oder externe Dienstleister mit Zugriff auf Ihre Systeme.

Der Nutzen von Exposure Management – warum der Aufwand lohnt

Ein strukturiertes Exposure Management erfordert einen gewissen Aufwand, bringt aber klaren Nutzen:

• Verbesserte Sicherheitslage: Sie identifizieren und schließen Lücken, bevor Angreifer sie ausnutzen können.
• Klare Prioritäten: Sie können Ihre begrenzten Ressourcen so einsetzen, dass sie den größten Sicherheitsgewinn bringen.
• Kosteneffizienz: Sie sparen langfristig Kosten – für teure Sicherheitsvorfälle ebenso wie für weniger dringliche Sicherheitsmaßnahmen.
• Bessere Compliance: Exposure Management hilft beim Nachweis eines funktionierenden IT-Sicherheits- und Risikomanagements, den immer mehr Branchenstandards und Gesetzgebungen verlangen.
• Reputationsschutz: Eine zuverlässige und gut dokumentierte IT-Sicherheit steigert das Vertrauen Ihrer Kunden und Geschäftspartner.
• Kontinuierliche Verbesserung: Ein etablierter CTEM-Plan hilft dabei, Ihre Sicherheitslage Schritt für Schritt zu verbessern und Ihre Sicherheitskultur zu stärken.

Die Exposure Management Platform von Outpost24

CompassDRP, sowie die weiteren Lösungen von Outpost24 unterstützen Sie dabei erste Schritte für einen CTEM-Ansatz umzusetzen:

• Tools für VM, EASM und kompromittierte Zugangsdaten für das Management der Angriffsfläche (Scoping, Discovery)
• Threat Intelligence und Experten-Know-how zur Analyse und Bewertung von Schwachstellen (Priorisierung)
• Pentesting-as-a-Service, automatisierte Pentests und Red Teaming (Validierung)
• Identity und Access Management, proaktives Monitoring und Reporting (Mobilisierung)
• Nahtlose Integration in Ihre bestehenden IT-Management- und Cybersecurity-Tools wie Jira, ITSM, SOAR, CAASM für effiziente Abhilfeprozesse

Mehr Informationen, wie Ihnen Outpost24 bei der Umsetzung von CTEM helfen kann, finden Sie hier im Blog: So gelingen die ersten Schritte mit Continuous Threat Exposure Management (CTEM). Und wenn Sie noch Fragen haben, sprechen Sie uns einfach an: [Kontakt]