IT-Fachjargon erklärt

Exposure Management

Das Exposure Management bietet eine umfassendere, praktischere und proaktivere Methode zur Verbesserung der Cybersicherheit Ihres Unternehmens. Da traditionelle Verfahren im Schwachstellenmanagement an ihre Grenzen stoßen, setzen Unternehmen zunehmend auf neue Ansätze, um ihre digitale Infrastruktur besser zu schützen.

Was ist Exposure Management?

Exposure Management ist eine Methode, um proaktiv und selektiv Risiken auf der digitalen Angriffsfläche eines Unternehmens zu identifizieren, zu bewerten und zu mindern. Dazu gehört, mögliche Zugangspunkte und Angriffsvektoren zu verstehen, die von ihnen ausgehenden Risiken zu priorisieren und Maßnahmen zum Schutz vor den kritischsten Bedrohungen zu ergreifen. Das Hauptziel ist, reale Bedrohungen auf ein vertretbares Risikoniveau zu reduzieren.

Wie unterscheidet sich das Exposure Management vom Schwachstellenmanagement?

Das Exposure Management ist ganzheitlicher und nutzt die risikobasierte Priorisierung von Gefährdungen und die Validierung identifizierter, priorisierter Gefährdungen, um einen umfassenden Überblick über die gesamte digitale Angriffsfläche eines Unternehmens zu erhalten. Es bietet einen vollständigen Einblick in Assets wie Server, Endgeräte, mobilen Geräten, Geräte des Internets der Dinge (IoT) und Websites und der damit verbundenen Risiken. Dazu gehören Software-Schwachstellen, fehlende Patches, Fehlkonfigurationen, schwache oder kompromittierte Anmeldedaten und vieles mehr.


Außerdem berücksichtigt es das menschliche Risiko durch regelmäßige Schulungen zur Sensibilisierung der Mitarbeitenden für potenzielle Bedrohungen und bewährte Praktiken. Dies geschieht durch die Festlegung klarer Protokolle für den Fall eines Sicherheitsvorfalls, durch die Einholung von Informationen der Mitarbeitende über potenzielle Schwachstellen und Sicherheitsmaßnahmen und durch die Entwicklung benutzerfreundlicher Sicherheitstools zur Verringerung menschlicher Fehler.

Was sind einige der Leitprinzipien des Exposure Managements?

  • 100-prozentige Sichtbarkeit aller Assets und Risiken, damit ein Unternehmen seine gesamte Angriffsfläche sehen kann.
  • Einsatz einer risikobasierten Priorisierung, um Ressourcen auf die kritischsten Gefährdungen auszurichten. Zu den Überlegungen gehören Schweregrad/Ausnutzbarkeit, realer Bedrohungskontext und potenzielle Auswirkungen auf das Geschäft.
  • Verwendung von ergebnisbasierten Kennzahlen zur Messung der Wirksamkeit von Maßnahmen zur Reduzierung des Gesamtrisikos.
  • Förderung der Zusammenarbeit zwischen Geschäftseinheiten, Sicherheitsteams, IT-Teams und Führungskräften durch einen datengesteuerten Ansatz für Sicherheitsinvestitionen, der die Sicherheitslage und die Ressourcenzuweisung optimiert.

Dieser letzte Grundsatz ist so wichtig, dass wir uns ansehen sollten, wie er in der Praxis funktioniert.

Zunächst legt die Unternehmensführung die allgemeine Risikotoleranz für das Unternehmen fest. Jeder Geschäftsbereich informiert dann das Sicherheitsteam über die Assets und Systeme, die für seine Prozesse von entscheidender Bedeutung sind. Die Sicherheitsabteilung legt dann fest, wie sie ihre Bemühungen in Übereinstimmung mit diesen Leitlinien ausrichtet.

Nachgelagert werden IT- und Entwicklungsteams, die mit der Risikominderung oder -behebung beauftragt sind, die Prioritäten des Sicherheitsteams befolgen. Die Zusammenarbeit ist an dieser Stelle von entscheidender Bedeutung, da IT-Abteilung und Entwickler die Gründe für ihr Handeln verstehen müssen – andernfalls handeln sie möglicherweise nicht mit der gebotenen Dringlichkeit.

Über das traditionelle Schwachstellenmanagement hinaus

Das Schwachstellenmanagement ist das Fundament, auf dem viele Cybersicherheitsprogramme aufgebaut wurden. Traditionell lag der Schwerpunkt auf der Identifizierung und Priorisierung von Sicherheitslücken und Schwachstellen in Software auf der Grundlage standardisierter Bewertungssysteme wie dem Common Vulnerability Scoring System (CVSS).

Dies gibt IT- und Cybersicherheitsteams jedoch nur eine eingeschränkte Sicht auf die Risiken, sodass sie möglicherweise viel Aufwand betreiben müssen, aber bei weitem keinen optimalen Schutz erreichen. Zu den naturgemäßen Einschränkungen des Schwachstellenmanagements gehören:

  • Begrenzter Umfang: Sie zielt in erster Linie auf Schwachstellen in Betriebssystemen und Software von Drittanbietern ab, während andere Arten von Assets vernachlässigt werden. Dies führt zu Blindspots, die moderne Unternehmen einer größeren Bandbreite an Bedrohungen aussetzen.
  • Fokus auf falsche Schwachstellen: Wenn man sich auf CVSS verlässt, kann dies dazu führen, dass sich die Teams auf die falschen Schwachstellen konzentrieren, da CVSS zwar den Schweregrad der Sicherheitslücke (wie leicht eine Schwachstelle ausgenutzt werden kann) misst, nicht aber das Risiko (die potenziellen Auswirkungen einer Ausnutzung). „Das bedeutet, dass Unternehmen möglicherweise Gefährdungen mit hohem Schweregrad priorisieren, selbst wenn diese ein geringes oder gar kein tatsächliches Risiko darstellen, während andere mit niedrigem Schweregrad, die jedoch ein hohes Risiko bergen, unbeachtet bleiben könnten.
  • Zu viele Schwachstellen: Außerdem werden bei CVSS im Gegensatz zu risikobasierten Bewertungssystemen oft viele Schwachstellen als kritisch eingestuft, was dazu führt, dass Teams viel Aufwand für minimale Ergebnisse betreiben. Viele Gefährdungen könnten theoretisch ausgenutzt werden, werden es in der Praxis jedoch nie. CVSS bewertet außerdem nur Common Vulnerabilities and Exposures (CVEs), während Unternehmen auch andere Probleme wie Fehlkonfigurationen angehen müssen. Eine übermäßige Abhängigkeit vom CVSS kann dazu führen, dass kritische Bedrohungen übersehen werden. Bei Hunderttausenden von CVEs und täglich Dutzenden bis Hunderten neuen Einträgen in der National Vulnerability Database wird schnell deutlich, dass das Schwachstellenmanagement bei dieser Fülle leicht an seine Grenzen stößt.
  • Aktivitätsbasierte Metriken: Beim herkömmlichen Schwachstellenmanagement wird der Erfolg häufig anhand von Metriken wie der mittleren Zeit bis zur Problemlösung (MTTR) und der Einhaltung von Service-Level-Vereinbarungen (SLA) gemessen. Diese zeigen, ob eine Begrenzung oder Behebung rechtzeitig durchgeführt wurde, aber nicht, ob sie sich auf die Sicherheitslage ausgewirkt hat.

Herausforderungen durch veraltete Ansätze

Viele kostspielige Sicherheitsverletzungen sind auf die bereits erwähnten Lücken im Schwachstellenmanagement zurückzuführen. Als Hacker 2013 in das Netzwerk von Target eindrangen, war dies auf gestohlene Netzwerk-Zugangsdaten eines Drittanbieters zurückzuführen, wodurch 40 Millionen Kredit- und Debitkartenkonten offengelegt wurden. In jüngster Zeit haben Hacker US-Wasserversorgungs- und Abwasserbehandlungssysteme ins Visier genommen, indem sie eine Schwachstelle in programmierbaren Steuerungssystemen ausnutzten, einer speziellen Art von Betriebstechniksystemen.

Laut Verizon hat sich die Nutzung von Sicherheitslücken als Einstiegspunkt von 2023 bis 2024 fast verdreifacht. Sie machen 14 % aller Sicherheitsverletzungen aus und werden durch mehr Angriffe auf ungepatchte Zero-Day-Sicherheitslücken verursacht.

Dieselbe Studie ergab, dass 95 % der IT- und Sicherheitsexperten davon überzeugt sind, dass KI die Sicherheitsbedrohungen verschärfen wird. Dennoch fehlt fast einem Drittel eine Strategie, um die Risiken generativer KI zu bewältigen.

Und doch sind sich viele Führungskräfte in Unternehmen nicht bewusst, wie groß die Schwachstellen in ihren Unternehmen sind. Laut einer Studie von Ivanti sind 55 % der IT- und Sicherheitsexperten davon überzeugt, dass Führungskräfte außerhalb der IT-Abteilung das Schwachstellenmanagement nicht verstehen, und 47 % dieser Führungskräfte stimmen dem zu.

Und fast zwei von drei der befragten Unternehmen investieren bislang nicht in kritische Bereiche wie das External Surface Management (EASM). EASM ist essenziell für ein wirksames Exposure Management, da es die kontinuierliche Erkennung, Bewertung und Priorisierung von Risiken ermöglicht und die nötige Sichtbarkeit schafft, um Cyberangriffe abzuwehren. Durch die Identifizierung und Bewertung von Assets mit Internet-Zugang hilft EASM einem Unternehmen, seine Gefährdungslandschaft zu verstehen. Die Tools von EASM können beispielsweise Schatten-IT-Anwendungen und -Geräte aufspüren, die außerhalb des Sicherheitsbereichs betrieben werden und potenzielle Angriffsvektoren darstellen. Zudem lassen sich damit Sicherheitslücken bei Drittanbietern und Lieferanten aufdecken.

Ein umfassenderer Ansatz

Im Jahr 2022 veröffentlichte Gartner einen Report, der die Notwendigkeit eines Continuous Threat Exposure Management (CTEM)-Programms hervorhob. Der Report empfiehlt einen integrierten, iterativen und proaktiven Ansatz zur Priorisierung und Behebung von Schwachstellen sowie zur fortlaufenden Verbesserung der Sicherheitslage.

Es wurde das Konzept vorgestellt, dass eine „ausreichende“ Cybersicherheit pragmatischer und realistischer ist als der Anspruch auf „perfekte“ Sicherheit. Dazu werden fortlaufend die Risiken identifiziert und priorisiert, die für ein Unternehmen die wahrscheinlichsten Bedrohungen darstellen.

CTEM ist eine Struktur zur Verwaltung von Cyberrisiken – ähnlich wie das Cybersecurity Framework (CSF) 2.0 des National Institute of Standards and Technology (NIST) oder die Version 8.1 der Center for Internet Security (CIS) Controls. Es handelt sich um einen systematischen Prozess zur kontinuierlichen Identifizierung, Bewertung, Validierung und Reduzierung von Risiken. Der Begriff ‚Exposure Management‘ ist weiter gefasst und bezeichnet die allgemeine Praxis des Risikomanagements in Bezug auf die Assets eines Unternehmens.

Verwandte Themen: Wie Ivanti-Lösungen dem NIST CSF 2.0 entsprechen

Viele Anbieter passen ihre Tools für das Exposure Management an CTEM an und bieten spezifische Module für jede Phase des Prozesses an.

Hier sind die Ansätze, die das Exposure Management nutzt und die es von der Verwaltung von Sicherheitslücken unterscheiden:

  • Erweiterter Umfang: Das Exposure Management wirft ein breiteres Netz aus und deckt eine Vielzahl von Risiken ab, die über reine Software-Risiken hinausgehen. Es identifiziert auch andere Schwachstellen wie z. B. unsichere Anmeldedaten oder unzureichende Implementierungen zum Schutz vor Datenverlust. Zudem bezieht es potenziell gefährdete Assets ein, darunter falsch konfigurierte Systeme, unsichere Cloud-Umgebungen und IoT-Geräte. Durch die kontinuierliche Überwachung und Analyse all dieser Faktoren gewinnt ein Unternehmen ein umfassenderes und realistischeres Bild ihrer gesamten Risikolage
  • Risikobasierte Priorisierung: Das Exposure Management priorisiert Risiken auf der Grundlage ihrer potenziellen Auswirkungen auf das Unternehmen und bewertet dabei Faktoren wie die Kritikalität für das Unternehmen, die Ausnutzbarkeit und die Wahrscheinlichkeit eines Angriffs. So wird gewährleistet, dass Ressourcen gezielt eingesetzt werden, um zunächst die kritischsten Risiken zu mindern.
  • Ergebnisbasierte Maßstäbe: Das Exposure Management verschiebt den Fokus von aktivitätsbasierten zu ergebnisorientierten Metriken. Es bewertet die tatsächliche Wirksamkeit von Cybersicherheitsmaßnahmen in Bezug auf die Verbesserung der Risikolage eines Unternehmens und liefert verwertbare Erkenntnisse, die zur Optimierung von Ressourcen und Abwehrstrategien beitragen.

Ein Toolkit für effektives Exposure Management

Das Exposure Management erfordert einen mehrschichtigen Ansatz, bei dem eine Vielzahl von Tools und Techniken zum Einsatz kommt. Welche spezifischen Verfahren ein Unternehmen anwendet, hängt von ihrer Größe, Branche und Risikotoleranz ab.

Sie sind in zwei Hauptkategorien unterteilt: Gefährdungsbewertung und Gefährdungsvalidierung.

Tools zur Gefährdungsbewertung

  • External Attack Surface Management (EASM): Diese sind speziell auf die externe Angriffsfläche ausgerichtet:
    • Externe Asset-Identifizierung: Sie identifizieren alle mit dem Internet verbundenen Assets, einschließlich Websites, Anwendungen und Cloud-Ressourcen.
    • Gefährdungserkennung: Sie lokalisieren eine Vielzahl von Gefährdungen in externen Assets, die ausgenutzt werden könnten.
    • Angriffspfad-Analyse: Einige fortschrittliche Lösungen können potenzielle Angriffspfade simulieren und aufzeigen, wie Angreifer Schwachstellen ausnutzen könnten.
    • Deep-Web-Überwachung: Scannen des Deep Web und Dark Web, um exponierte Assets oder geleakte Anmeldedaten zu identifizieren, die für Angriffe verwendet werden könnten.
  • Cyber Asset Attack Surface Management (CAASM): Früher haben CAASM-Tools eine einheitliche Ansicht des gesamten IT-Ökosystems bereitgestellt – die „Single Source of Truth“ für alle internen und externen Assets, die eine konsolidierte Übersicht über die gesamte Angriffsfläche bietet. Heute sind CAASM-Funktionen zunehmend in EASM-Lösungen integriert, sodass separate CAASM-Tools nicht mehr erforderlich sind.
  • Risikobasiertes Schwachstellenmanagement (Risk-Based Vulnerability Management – RBVM): RBVM-Tools gehen über das traditionelle Schwachstellenmanagement hinaus, indem sie Risiken nach folgenden Kriterien priorisieren:
    • Ausnutzbarkeit: Ob sie bereits aktiv ausgenutzt werden.
    • Auswirkungen auf das Unternehmen: Welche Auswirkungen hätte es auf das Unternehmen, wenn diese Schwachstelle ausgenutzt würde?

Plattformen zur Gefährdungsvalidierung

Diese sind für die Gewährleistung der Genauigkeit der Priorisierung des Exposures von entscheidender Bedeutung:

  • Simulation von Sicherheitsverletzungen und Angriffen: Dabei werden reale Angriffsszenarien simuliert, um die Wirksamkeit der Sicherheitskontrollen zu testen und potenzielle Schwachstellen zu erkennen.
  • Kontinuierliches automatisiertes Red Teaming: Diese bieten fortlaufende Red-Team-Übungen, die das Verhalten von Angreifern simulieren, um die Abwehr kontinuierlich zu testen.
  • Penetration Testing as a Service (PTaaS): PTaaS ermöglicht es einem Unternehmen, externe Penetrationstester mit der Durchführung eingehender Bewertungen ihrer Sicherheitslage zu beauftragen.

Exposure Management implementieren

Der Wechsel vom Schwachstellenmanagement zum Exposure Management erfordert eine durchdachte Strategie. Hier sind die wichtigsten Schritte:

  • Entwicklung eines kooperativen Frameworks: Im traditionellen Schwachstellenmanagement arbeiten Sicherheitsteams oft isoliert, indem sie die Identifizierung und Priorisierung von Schwachstellen übernehmen und das Problem dann an die IT-Abteilung weitergeben, die den Patch bereitstellt. Das Exposure Management hingegen basiert auf enger Zusammenarbeit, daher ist es entscheidend, diese in drei zentralen Bereichen zu fördern
    • Funktionsübergreifende Zusammenarbeit: Ihr Sicherheitsteam sollte mit verschiedenen Geschäftsbereichen zusammenarbeiten, um deren kritische Systeme und Daten zu kennen. Indem man die spezifischen Anforderungen des E-Commerce versteht, lassen sich Risiken, die diesen Bereich beeinflussen könnten, besser priorisieren und die Risikobewertung durch Einbeziehung der geschäftlichen Auswirkungen präzisieren.
    • Verbesserte Kommunikation: Stellen Sie eine klare Kommunikation mit IT-Mitarbeitenden und Entwicklern sicher, die Schwachstellen durch Patches und Codeänderungen beheben. Die Notwendigkeit von Reparaturen lässt sich leichter vermitteln, wenn sie die geschäftlichen Auswirkungen nachvollziehen können.
    • Engagement auf Vorstandsebene: Metriken, die über grundlegende Aktivitätsebenen (SLAs und MTTR) hinausgehen, sind erforderlich. Erweiterte Metriken, die auf Dashboards visualisiert werden, zeichnen ein klares Bild der Risikolage, sodass Vorstandsmitglieder, auch ohne Sicherheitsexpertise, die Effektivität und den ROI von Sicherheitsmaßnahmen erkennen können.
  • Festlegung der Risikotoleranz: Ein Unternehmen muss zunächst ihre Risikotoleranz festlegen. Es ist eine geschäftliche Entscheidung, bei der die Investition in Sicherheitskontrollen gegen das akzeptable Restrisiko abgewogen wird. Darin müssen die Kosten für das Beheben von Schwachstellen, die Überarbeitung von Codes, das Reparieren von Fehlkonfigurationen, die Umsetzung anderer Sicherheitsmaßnahmen und mögliche Geschäftsunterbrechungen enthalten sein. Diese Risiken müssen gegen potenzielle finanzielle Schäden und Reputationsverluste abgewogen werden, die eine Sicherheitsverletzung verursachen könnten. Da es keine standardisierten Tools zur Berechnung der Risikotoleranz gibt, bleibt dies eine dynamische, aber unverzichtbare Aufgabe. Sie erfordert die Zusammenarbeit von Sicherheitsexperten, die die entscheidungsrelevanten Daten bereitstellen, und der Geschäftsleitung.
  • Scoping: Definieren Sie die Assets und Risiken, die bewertet werden müssen. Dies kann die Zusammenarbeit mit verschiedenen Geschäftsbereichen erfordern, um deren kritische Systeme und Daten zu identifizieren und zu verstehen.
  • Bewertungstools: Nutzen Sie vorhandene Schwachstellenscanner, die möglicherweise bereits im Einsatz sind. Für einen umfassenderen Überblick empfiehlt es sich jedoch, zusätzliche Tools wie EASM-Lösungen zu integrieren, die internetfähige Assets und potenzielle Risiken identifizieren.
  • Priorisierung: Integrieren Sie RBVM, um Risiken basierend auf einer Kombination aus Schweregrad der Schwachstelle, Ausnutzbarkeit und potenziellen geschäftlichen Auswirkungen zu priorisieren. So stellen Sie sicher, dass Sie die kritischsten Risiken zuerst angehen.
  • Validierung: Aufgrund potenzieller Verzerrungen empfiehlt es sich, separate Validierungstools oder -verfahren in Betracht zu ziehen, um die Genauigkeit der Priorisierung durch RBVM sicherzustellen.
  • Kontinuierliche Verbesserung: Exposure Management ist ein fortlaufender Prozess und keine Einmalaktion. Überprüfen und optimieren Sie Ihre Maßnahmen regelmäßig, um neuen Bedrohungen stets einen Schritt voraus zu bleiben.

Die Zukunft des Exposure Management

Die Zukunft des Exposure Managements wird durch einen Wechsel von reaktiven zu proaktiven Strategien geprägt sein. KI und Automatisierung werden entscheidende Werkzeuge sein, um Schwachstellen vorherzusagen, Abhilfemaßnahmen zu automatisieren und sich nahtlos in Plattformen für Bedrohungsinformationen zu integrieren. Intern werden Unternehmen die Zusammenarbeit ausbauen und neue Tools und Prozesse implementieren, die es ihnen ermöglichen, smartere, effektivere und effizientere Entscheidungen zu treffen.

Dieser ganzheitliche Ansatz wird sich auch auf die Sicherheit der Lieferkette erstrecken, die sich bereits jetzt als essenziell gilt. Außerdem wird Exposure Management bei der Einhaltung der sich weiterentwickelnden regulatorischen Landschaft noch wichtiger werden.

Durch die Integration all dieser Elemente in ein kohärentes Programm zum Risikomanagement können Unternehmen ihre Sicherheitslage zu einem Zeitpunkt deutlich verbessern, an dem dies dringend erforderlich ist.