Was ist eine Angriffsfläche?

„Angriffsfläche“ ist ein Konzept, das in letzter Zeit verstärktes Interesse erfahren hat. Google Trends zeigt, dass „Angriffsfläche“ als Suchbegriff in den letzten fünf Jahren stetig zugenommen hat.

_{Google Trends-Ergebnisse für „Attack Surface“ („Angriffsfläche“) von April 2018 bis April 2023}

Das wachsende Interesse an Angriffsflächen als Thema fällt logischerweise mit der Zunahme tatsächlicher Angriffsflächen zusammen. Zwei Drittel der Unternehmen geben an, dass ihre Angriffsfläche im vergangenen Jahr größer geworden ist. Die Ausweitung des Everywhere Work bzw. ortsunabhängigen Arbeitens und die verstärkte Nutzung von über das Internet zugänglichen Assets, wie Cloud-Anwendungen und IoT-Endgeräte, sind die Hauptgründe.

Mittlerweile ist es für IT- und Sicherheitsexperten von entscheidender Bedeutung, nicht nur über das Thema Bescheid zu wissen, sondern auch in der Lage zu sein, Maßnahmen zu ergreifen, um die Angriffsflächen ihres Unternehmens zu identifizieren, zu managen und zu reduzieren.

Was versteht man unter einer Angriffsfläche in der Cybersicherheit?

Wie bei jedem technischen Konzept ist es auch bei der Betrachtung von Angriffsflächen entscheidend, die zugehörige Terminologie zu verstehen, um eine gemeinsame Basis für den Austausch zu schaffen. Deshalb starten wir unseren Bericht mit einer Einführung in das Konzept der Angriffsflächen.

Es gibt verschiedene Definitionen für „Angriffsfläche“. Hier sind einige von führenden Autoritäten im Bereich der Cybersicherheit:

• Australian Cyber Security Center (ACSC): „Die Menge an IKT-Geräten (Informations- und Kommunikationstechnologie) und Software, die in einem System verwendet wird.“
• National Institute of Standards and Technology (NIST): „Die Angriffsfläche umfasst alle Stellen an den Schnittpunkten eines Systems, seiner Komponenten oder der umgebenden Infrastruktur, an denen ein Angreifer potenziell Zugriff erlangen, Daten manipulieren oder entwenden könnte. Dazu zählen sämtliche verwundbaren oder zugänglichen Schnittstellen, Endgeräte und Zugangspunkte, die missbraucht werden könnten, um die Sicherheit oder Integrität des Systems zu beeinträchtigen.“
• Open Worldwide Application Security Project (OWASP) Foundation: „Die Angriffsfläche beschreibt alle verschiedenen Punkte, an denen ein Angreifer in ein System eindringen und Daten herausholen könnte.“

Wir definieren „Angriffsfläche“ als die Gesamtheit potenzieller Einstiegspunkte, die genutzt werden können, um auf eine IT-Umgebung zuzugreifen, in der Regel zum Zweck der Durchführung eines Cyberangriffs. Diese Einstiegspunkte können digital, physisch oder menschlicher Natur sein.

Was ist eine digitale Angriffsfläche?

Digitale Angriffsflächen umfassen sämtliche Elemente, die die IT-Infrastruktur und -Systeme eines Unternehmens – ob in der Cloud oder vor Ort – für externe Akteure mit Internetverbindung zugänglich machen. Anders ausgedrückt: Sie sind die digitalen Zugangspunkte zur IT-Umgebung Ihres Unternehmens

Einige betrachten digitale Angriffsflächen im Grunde als Netzwerk-Angriffsflächen, da sie aus der gesamten Hardware und Software bestehen, die mit dem Netzwerk eines Unternehmens verbunden ist. Die Komponenten, aus denen eine digitale Angriffsfläche besteht, sind jedoch vielfältig und unterschiedlich. Neben der reinen „Hardware“ und „Software“ umfassen diese Komponenten unter anderem:

• Software-Code.
• Anwendungen und Server mit Internetverbindung.
• Fehlkonfiguration von IT-Systemen, Assets und Tools.
• Veraltete IT-Assets wie Geräte und Anwendungen.
• Passwörter.
• Ports.
• Unautorisierte Zugangspunkte.
• Schatten-IT.
• Gemeinsame Datenbanken.
• Gemeinsame Verzeichnisse.
• Schwachstellen in Software, Firmware und Betriebssystemen.
• Webseiten.

Angreifer können all diese Schwachstellen ausnutzen, um sich Zugang zu einer IT-Umgebung zu verschaffen.

Was ist eine physische Angriffsfläche?

Physische Angriffsflächen beziehen sich auf alle physischen Objekte, die von böswilligen Akteuren ins Visier genommen werden könnten. Ähnlich wie manche digitale Angriffsflächen als Netzwerk-Angriffsflächen betrachten, wäre es fast angemessen, physische Angriffsflächen als Endgeräte-Angriffsflächen zu klassifizieren, da sie in der Regel hauptsächlich aus Desktop-Computern, Laptops, Mobilgeräten und IoT-Geräten bestehen. Diese Geräte gelangen oft in die Hände von Kriminellen, nachdem sie verloren gegangen sind oder gestohlen wurden.

Zusätzlich zu den Endpunkten bestehen physische Angriffsflächen auch aus:

• USB-Ports.
• Überwachungskameras und USB-Webcams.
• Festplatten.
• Netzwerk-Hardware.
• Büroausstattung wie Drucker.
• Zugangspunkte zu physischen Standorten wie Büros und Rechenzentren.
• Benutzerdaten und Anmeldedaten, die auf ausrangierter Hardware gespeichert oder auf Papier geschrieben sind.
• Verlorene Mitarbeitende-Ausweise, Schlüsselanhänger oder Authentifizierungstoken.

Grundsätzlich gilt: Wenn es sich um etwas handelt, das man physisch berühren kann, ist es Teil einer physischen Angriffsfläche.

Was ist eine menschliche Angriffsfläche?

Den Angriffsflächen von Netzwerken und Endpunkten wird viel Aufmerksamkeit geschenkt, aber es gibt eine weitere Angriffsfläche, die oft übersehen wird: die menschliche Angriffsfläche. Das könnte erklären, warum 74 % der Verstöße, die für den Report zur Untersuchung von Datenschutzverletzungen 2023 (DBIR) von Verizon analysiert wurden, auf menschliches Versagen zurückzuführen sind.

Menschliche Angriffsflächen entstehen durch das Versäumnis von Benutzern oder Administratoren, sich an bewährte Sicherheitsverfahren zu halten. Diese Fehler bestehen hauptsächlich darin, dass Menschen auf Social-Engineering-Angriffe hereinfallen. Laut dem Verizon-Report sind Phishing und Pretexting – das oft in Verbindung mit Phishing eingesetzt wird – die beiden Arten von Social Engineering, die zu Sicherheitsverletzungen führen. Es überrascht nicht, dass 43 % der für den „Press Reset: A 2023 Cybersecurity Status Report“ befragten Unternehmen in den letzten zwei Jahren einen Phishing-Angriff erlebt haben.

Weitere Komponenten, die eine menschliche Angriffsfläche ausmachen, können folgende sein:

• Systeme werden nicht regelmäßig gepatcht.
• Schwache und wiederholte Passwörter werden verwendet.
• Benutzerrechte werden falsch zugewiesen.
• Die Tür zu einem Bürogebäude wird offen gelassen und nicht verschlossen.
• Unbefugte Dritte werden in einen gesicherten Bereich gelassen.
• Netzwerkdesignfehler werden nicht beseitigt.
• Sensible Daten werden durch Schulterblick gestohlen.
• Man fällt auf einen Manipulationsversuch herein, indem man einen unbekannten USB-Stick an einen Computer anschließt.
• Sensible Daten werden unsachgemäß entsorgt.

Die Liste lässt sich beliebig fortsetzen. Während die bisher genannten Beispiele meist unbeabsichtigte Handlungen beschreiben, die aus Unachtsamkeit oder mangelndem Bewusstsein resultieren, gehören zur menschlichen Angriffsfläche auch gezielte, vorsätzliche Aktionen von böswilligen Insidern. Laut der Cybersecurity & Infrastructure Security Agency (CISA) bezeichnet eine vorsätzliche Bedrohung „die Möglichkeit, dass ein Insider seinen autorisierten Zugang oder sein Wissen über ein Unternehmen gezielt nutzt, um diesem Schaden zuzufügen“.

Beachten Sie, dass verschiedene Angriffsvektoren mehreren Arten von Angriffsflächen zugeordnet werden können. So könnte etwa eine angelehnte Bürotür sowohl Teil der menschlichen Angriffsfläche sein, weil sie durch eine Person offen gelassen wurde, als auch der physischen Angriffsfläche, da die Tür den Zugang zu einem physischen Bereich ermöglicht. Letztlich ist es weniger entscheidend, welcher Kategorie ein Angriffsvektor zugeordnet wird – wichtiger ist, dass er identifiziert, verwaltet und, wenn möglich, beseitigt wird.