Was ist Attack Surface Management und warum ist es wichtig?
Seit einigen Jahren gibt es ein relativ neues Cybersecurity-Problemfeld mit eigener Definition: Attack Surface Management, kurz ASM. Nimmt man sich nicht die Zeit für eine klare Definition, ist der Begriff oftmals zu vage und kann schnell zu Verwirrung führen. Denn in der Cybersicherheit gibt es viele Surfaces/Oberflächen, die angegriffen werden können. Aber von welcher Oberfläche ist nun genau die Rede?
In der Cybersicherheit wird das Wort Angriffsfläche für öffentlich oder extern verfügbare oder dem Internet ausgesetzte IT-Assets verwendet. Attack Surface Management kann also auch mit Sicherheitsmanagement der Internet-exponierten IT-Assets übersetzt werden. Da dies zu lang ist und schnell kompliziert klingt, haben wir es einfach mit ASM abgekürzt.
Warum ist eine aufgeräumte Angriffsfläche wichtig?
Das ist einfach. Die erste Phase eines jeden Angriffs ist die Aufklärungsphase. Ein Angreifer will ein Maximum an Informationen und Schwachstellen finden, um die beste Angriffsstrategie zu entwickeln. Er simuliert normalen Traffic und klassische Suchanfragen, um so viele Daten wie möglich zu sammeln. Je aufgeräumter die Angriffsfläche ist, desto mehr Aufwand muss er betreiben. Da dieser Aufwand für Cyberkriminelle schnell nicht mehr rentabel ist, kann es dazu führen, dass der Angreifer zu einem leichteren Ziel weiterzieht.
Attack Surface Management ist die Kunst, für Cyberkriminelle so unattraktiv wie möglich zu werden.
IT-Assets können – außerhalb ihrer „normalen“ Funktion – alles das sein, was einem Angreifer normalerweise helfen kann, relevante Informationen zu erhalten, um einen Angriff zu starten. Assets können sein: IP-Adressen, DNS-Records, Anwendungsendpunkte, Webseiten, APIs, (administrative) Remote-Zugriffspunkte, Datenbanken, Verschlüsselungsdetails, File-Sharing-Dienste, gestohlene Anmeldedaten, die im Dark Web verkauft werden, usw. Das Endziel ist in der Regel, Schwachstellen, unsichere Konfigurationen, Daten oder andere Probleme zu finden, die missbraucht werden können.
Attack Surface Management Tools
Die Angriffsfläche von Unternehmen und Organisationen wird immer komplexer. Grund dafür sind einige wichtige Trends wie:
- der kontinuierliche Fokus auf die Digitalisierung, um wettbewerbsfähig zu bleiben;
- die Umstellung auf die Cloud und die Geschwindigkeit der Bereitstellung durch die Cloud;
- die Multi-Cloud-Ansätze, die viele Unternehmen zur Optimierung verfolgen;
- die Befähigung von Nicht-IT-Mitarbeitern, Anwendungen online über SaaS-Angebote zu nutzen;
- eine Belegschaft, die immer mobiler ist, da sie sich von überall verbinden und jedes Gerät nutzen kann;
- Cybersecurity-Experten, deren Zeit nur begrenzt ist und die teuer und schwer zu finden sind;
- die ständige Weiterentwicklung von Online-Assets, durch die halbjährliche Schwachstellen-Scans oder andere technische Cybersicherheits-Assessments aus Risikosicht zu langsam oder selten sind.
Für Unternehmen wird es also immer schwieriger, den Überblick darüber zu behalten, welche IT-Assets online verfügbar sind, und den kontinuierlichen Strom neu bereitgestellter Assets zu verfolgen – sowohl On-Premises als auch in diversen Clouds.
Die größten Herausforderungen liegen oft in mittleren bis großen Unternehmen. Diese verwalten einen Mix aus alter und neuer IT-Infrastruktur, die kontinuierlich angepasst und aufgerüstet wird. Vor allem große Unternehmen haben oft verschiedene Untermarken mit eigenen IT-Teams und Mandaten.
Unternehmenscluster, Marken oder Abteilungen ziehen es vor, bei dem Thema Sicherheit zusammenzuarbeiten, anstatt in ihren eigenen Silos in Personal und Tools zu investieren. In vielen Fällen wird ein CISO oder ein Security-Team mit der Aufgabe betraut, die Sicherheit in der gesamten Holding oder des gesamten Unternehmens zu verbessern. Doch eine der großen Herausforderungen besteht darin, alle dem Internet ausgesetzten IT-Assets zu kennen.
Gespräche mit den verschiedenen Teams zu führen, ist oft zu langsam, zu komplex und führt zu unvollständigen und nur schwer nachvollziehbaren Ergebnissen. In diesen Fällen wäre eine Lösung, die die IT-Assets automatisiert und kontinuierlich erkennt, sehr wertvoll.
Die häufigsten Anwendungsfälle für den Einsatz einer Attack Surface Management-Lösung
Unternehmen und Organisationen ziehen eine ASM-Lösung aus verschiedenen Gründen in Betracht. Die häufigsten sind:
- Erkennung von unbekannten Assets, Schatten-IT und Schattenprojekten in der On-Premises-Infrastruktur sowie Cloud-übergreifend;
- Auffinden von Schwachstellen und Risiken, die von herkömmlichen Schwachstellen-Scannern nicht erkannt werden;
- die Reduzierung der dem Internet ausgesetzten Angriffsfläche ist eine wichtige Taktik der Cybersicherheit. Denn was nicht online ist, kann nicht gehackt werden;
- Bewertung der Risiken durch Lieferanten und IT-Anbieter;
- Bewertung von M&A-Zielen und Risiken von Tochtergesellschaften;
- Erkennen von externen Risiken durch Daten, die außerhalb der eigenen Infrastruktur gehostet werden. Dazu zählen beispielsweise gestohlene Zugangsdaten im Dark Web und aus Cybersquatting-Aktivitäten, die die Marke missbrauchen;
- Zeit und teure Cybersecurity-Ressourcen sparen: durch Automatisierung der manuellen Arbeit, die beim Zusammenfügen von Erkenntnissen aus frei verfügbaren Open-Sourcing-Scanning-Tools (OSINT) erforderlich ist;
- Zusammenarbeit bei der Sicherheit: Eine Lösung für das Attack Surface Management bietet einen zentralen Überblick über die Sicherheit – abteilungs- und markenübergreifend. Verschiedene Profile können auf die Plattform zugreifen, um die benötigten Informationen zu erhalten und Risiken in ihrem Bereich zu verfolgen. Jeder sieht seine eigenen sowie die von anderen ergriffenen Maßnahmen, was alle Zuständigen für das gemeinsame Ziel motivieren kann. Darüber hinaus kann das Management wichtige Kennzahlen leicht nachverfolgen.
Was ist der Unterschied zwischen einem Angriffsflächen-Scanner und einem Schwachstellen-Scanner?
Viele Projektverantwortliche in Unternehmen fragen sich, wie sich ein ASM-Scanner von einem herkömmlichen Schwachstellen-Scanner unterscheidet:
Ausschließlich Internet-Risiken: Eine ASM-Lösung ist auf die Erkennung von Risiken spezialisiert, die das Internet betreffen.
Entdeckt Unbekanntes: Ein Schwachstellen-Scanner konzentriert sich auf bekannte Assets, indem er von einer Liste mit bekannten IP-Adressen oder bekannten Cloud-Anbietern ausgeht. ASM-Scanner sind darauf spezialisiert, sowohl bekannte als auch unbekannte Assets auf der Grundlage von DNS-Informationen und nicht von IP-Adressen zu entdecken. Diese Scanner benötigen nicht viele Eingaben vorab, um loszulegen.
Bewertet mehr als nur Software-Schwachstellen: Ein Schwachstellen-Scanner sucht nur nach Sicherheitslücken in Software und ist Experte darin, diese Schwachstellen zu finden. Die Scans können sogar in einen echten Angriffsmodus übergehen, je nachdem, wie aggressiv der Scan ausgeführt wird. Damit automatisiert er einen Teil der manuellen Arbeit eines Penetrationstesters. Bei der Verwendung aggressiver Scans ist Vorsicht geboten, da sie Systeme beschädigen oder sogar zum Absturz bringen können.
Eine Attack Surface-Lösung simuliert normalen Internetverkehr und ist standardmäßig sicher in der Anwendung. Sie findet mehr als nur Software-Schwachstellen. Sie kann bislang unbekannte IP-Adressen entdecken, sodass sie in die Liste der Schwachstellen-Scanner aufgenommen werden können.
Die wichtigsten Funktionen einer Attack Surface Management-Plattform?
Attack Surface Management unterstützt Cybersicherheitsexperten, indem es ihnen einen Großteil der manuellen Arbeit abnimmt. So müssen sie nicht erst nach Problemen suchen, sondern können sich direkt auf deren Lösung konzentrieren. Technisch versierte Fachleute wissen, wie sie die breite Palette verfügbarer Open-Source-Scan-Tools und Security Testing-Skripts nutzen können. Allerdings sind das Korrelieren und das Speichern aller erhaltenen Informationen nicht einfach.
Eine Attack Surface Management-Plattform ist stark automatisiert und sollte einfach einzurichten und in Betrieb zu nehmen sein.
Eine ASM-Lösung verfügt normalerweise über drei Hauptfunktionen:
- Kontinuierliche Erkennung
- Automatisierte Sicherheitsanalyse
- Risikobasiertes Follow-up

Drei Hauptfunktionen von Attack Surface Management (ASM)
1. Kontinuierliche Erkennung
Der Zweck einer Attack Surface Management-Lösung besteht darin, die Erkennung von Assets zu automatisieren. Das Tool sollte in der Lage sein, auf Basis der primären Domain (z.B. mycompany.com) oder – bei größeren Unternehmen – auf Basis einer Liste aller primären Domains zu starten. Es sollte nicht erforderlich sein, IP-Adressen anzugeben, um loszulegen.
Das Hinzufügen zusätzlicher IP-Bereiche sollte jedoch für spezielle Anwendungsfälle unterstützt werden, in denen die Erkennungstechniken nicht helfen können. Eine ASM-Lösung verwendet einen intelligenten Suchalgorithmus, um eine Map aller Assets zu erstellen – und das mit minimalem Input und begrenzten False Positives.
Der Erkennungsprozess ist kontinuierlich, und jeder Scan findet Assets, die neue Scans auslösen. Da es sich um einen kontinuierlichen Prozess handelt, werden neu hinzugefügte oder auch entfernte Assets wöchentlich ermittelt und gemeldet.

Typische Asset-Elemente, die entdeckt werden, sind:
- alle DNS-Records,
- alle zugehörigen IP-Adressen,
- WHOIS- oder DNS-Registrierungsinformationen,
- Geo-Standorte des Asset,
- Hosting-Provider, die für das Asset verantwortlich sind,
- alle offenen Ports,
- alle verwendeten SSL-/TLS-Zertifikate und deren Details,
- E-Mail-Systeme,
- DNS-Systeme,
- Applikationen wie: Webseiten, E-Mails, Datenbanken, Fernzugriff, Fileshares etc.,
- Softwareversionen, die in ermittelten Assets und Anwendungen verwendet werden,
- Login-Seiten,
- u. v. m.
2. Automatisierte & kontinuierliche Sicherheitsanalyse
Basierend auf dem, was entdeckt wurde, werden zusätzliche Überprüfungen durchgeführt. Dadurch lässt sich festzustellen, wo Sicherheitsprobleme gefunden werden können.
Wie von SANS Security Awareness erklärt, umfasst das Cyber Kill Chain-Modell sieben Schritte, denen ein Angriff folgt. Jeder Angriff beginnt mit einer Aufklärungsphase. Hacker betreiben heute gut organisierte kriminelle Unternehmen, die stark automatisiert sind und über die besten Tools verfügen. Automatisiert man als Unternehmen nicht, so kämpft man automatisch einen ungleichen Kampf.

Typische Sicherheitsprobleme, die gefunden werden können, sind:
- Software-Schwachstellen auf Basis der gefundenen Software-Version
- unsichere E-Mail-Konfiguration, wie fehlende oder falsche SPF-, DMARC-, DKIM -Einstellungen
- schwache Verschlüsselung, zum Beispiel durch die Verwendung sehr alter und unsicherer SSL-/TLS-Verschlüsselungsprotokolle wie SSLv2.0, SSLv3.0, TLSv1.0
- ungesicherte DNS-Setups, die DNS SEC nicht unterstützen. Erfahren Sie hier, warum dies laut ICANN wichtig ist
- Standard-Installationen, wie ein Webserver, der nach der Erstinstallation eine Standardseite anzeigt
- Fehlercodes, wie HTTP-Response-Fehler, als Hinweis auf eine falsch konfigurierte oder veraltete Webseite
- IP-Blacklisting und Reputationsprobleme, wie von beliebten Reputation-Services gemeldet, die online gefunden werden können. IPs mit einer schlechten Reputation können zu Problemen bei der Verfügbarkeit der betroffenen Anwendungen führen, z.B. bei der Zustellung von E-Mails
- unverschlüsselte Login-Seiten, wie Standard-FTP- oder HTTP-Logins, die nicht mit HTTPS gesichert sind, können zum Diebstahl von Passwörtern führen
- unnötig exponierte Dienste wie Datenbanken und gefährliche Remote-Admin-Protokolle wie Telnet, RDP und VNC. Hacker können über Shodan.io leicht Ziele finden, wenn Telnet noch aktiviert ist
- gestohlene Anmeldedaten: Warnmeldungen auf Basis von kürzlich offengelegten gestohlenen Anmeldeinformationen des eigenen Unternehmens. Eine bekannte Quelle für aktuelle Veröffentlichungen ist https://haveibeenpwned.com/
- Phishing- und Cybersquatting-Webseiten wie zum Beispiel Webseiten, die die Unternehmensmarke missbrauchen.
3. Risikobasiertes Follow-up
Eine Attack Surface Management-Lösung priorisiert die gefundenen Probleme sofort mit einer integrierten risikobasierten Engine. Dies ist ein sehr guter erster Start für jedes Unternehmen.

Das erste Ziel ist es, die größten Probleme in der Infrastruktur zu beheben. Es ist wichtig, große Sicherheitslücken in weniger wichtigen Systemen zu schließen, da sich Hacker auf diese konzentrieren, um einen Fuß in die Tür zu bekommen. Erst dann begeben sich die Cyberkriminellen zu den wirklich interessanten Produktionssystemen und Daten. Genau das passiert bei einem Ransomware-Angriff, bei dem ein unsicheres System/ein unsicherer Nutzer gehackt wird, worauf viele andere Assets folgen.
Nicht alle Assets haben für ein Unternehmen den gleichen Wert. Unternehmen, die die großen Probleme in allen Systemen behoben haben, können ihre Warnmeldungen weiter priorisieren, indem sie sie nach ihren Prioritäten kennzeichnen oder sortieren.
Eine Attack Surface Management-Lösung gibt in der Regel einen Risiko-Score und eine Trendlinie an, damit das Management die Entwicklung der geleisteten Arbeit und das verbleibende Risiko verfolgen kann.

Da die Ressourcen immer begrenzt sind, ist es wahrscheinlich, dass sich die meisten Unternehmen mit einem akzeptablen Restrisiko-Score zufriedengeben. Im Idealfall kann das Unternehmen sehen, wie es im Branchen-Durchschnitt abschneidet. Dieser Durchschnitt wird aus Gleichgesinnten errechnet, die sich ebenfalls auf der Plattform befinden.
Wie Sie Ihre externen Angriffsflächen unterteilen und organisieren
Die Sweepatic External Attack Surface Management Plattform, eine EASM Software-Lösung von Outpost24, ermöglicht es Kunden, den Umfang ihrer externen Angriffsfläche in mehrere Bereiche zu unterteilen. Unterbereiche sind eine einfache Möglichkeit, die Angriffsfläche auf der Grundlage von Tochtergesellschaften, Marken, Standorten, logischen Geschäftsbereichen usw. zu gliedern.
Sweepatic hilft Unternehmen bei der Erkennung und Bewertung aller bekannten und unbekannten Internet-Assets sowie bei der Priorisierung und Behebung von Problemen, um das Unternehmen widerstandsfähiger gegen Cyberangriffe zu machen. Dieser neue Bereich der Cybersecurity-Lösungen wird von Gartner und anderen Branchenanalysten als External Attack Surface Management bezeichnet.
Angesichts der raschen Einführung der Cloud und der digitalen Transformation wird es für Unternehmen immer schwieriger, den Überblick zu behalten und alle ihre IT-Ressourcen im Internet zu schützen. Denn wenn man nicht weiß, was man hat, wie kann man es dann verteidigen? Lesen Sie hier mehr über die Herausforderungen für Unternehmen.
Im Rahmen unseres kontinuierlichen Optimierungsprozesses können unsere Kunden jetzt ihre externe Angriffsfläche in mehrere Bereiche unterteilen. Diese Subscopes können auf Tochtergesellschaften, Marken, Standorten, logischen Geschäftsbereichen usw. basieren und stellen eine einfache Möglichkeit dar, die Angriffsfläche zu gruppieren, zu strukturieren und zu filtern.
Wie wird die subsidiäre Überwachung eingesetzt?
Stellen Sie sich ein Unternehmen mit vielen Unterabteilungen, Marken und Produkten vor, die alle ihre eigenen Verantwortlichkeiten haben.
Durch die Erstellung von Teilbereichen in der Sweepatic Attack Surface Management-Plattform können Sie eine logische Auswahl von primären Domänen und/oder IP-Bereichen pro Niederlassung treffen und diese einem Teilbereich zuordnen.
Auf diese Weise können verschiedene Teams wahlweise durch die Angriffsflächen des gesamten Unternehmens navigieren oder Teile der Angriffsflächen über bestimmte Bereiche filtern und untersuchen. Dies ermöglicht einen differenzierten Ansatz für ein subsidiäres Reporting und Benchmarking.
Probieren Sie kostenlos die ASM-Lösung von Outpost24 aus
Unsere Kunden nutzen die Sweepatic EASM Plattform, um kontinuierlich bekannte und unbekannte IT-Assets zu entdecken und zu analysieren. Darüber hinaus nutzen sie die Plattform, um eine nach Prioritäten geordnete Liste der entdeckten Security-Probleme weiterzuverfolgen, den Behebungsprozess zu starten und so als Unternehmen widerstandsfähiger gegen Cyberangriffe zu werden.
Zusätzlich zu unserer leistungsstarken Erkennungs-Engine untersuchen und melden wir automatisch Security-Probleme wie Schwachstellen, Fehlkonfigurationen in E-Mail/DNS/Web, abgelaufene und schwache SSL-Zertifikate, ungeschützte Datenbanken sowie Dateifreigaben und vieles mehr.