Angriffsfläche

Mit jedem neuen System und jedem zusätzlichen Cloud-Dienst wachsen die Möglichkeiten eines Unternehmens, und zugleich die Möglichkeiten seiner Angreifer. Viele Sicherheitsvorfälle beginnen an Stellen, die intern niemand mehr auf dem Schirm hatte: ein vergessener Testserver oder ein verwaistes Benutzerkonto mit weitreichenden Rechten. Der Begriff Angriffsfläche fasst all diese Punkte zusammen und macht sie dadurch überhaupt erst steuerbar.

Für IT-Entscheider gehört die Angriffsfläche zu den nützlichsten Größen der Sicherheitsarbeit. Sie übersetzt die abstrakte Frage nach dem Sicherheitsniveau in eine konkrete: Wo genau kann uns jemand angreifen, und welche dieser Stellen brauchen wir wirklich?

Was ist eine Angriffsfläche?

Die Angriffsfläche (englisch: Attack Surface) bezeichnet die Summe aller Punkte, an denen ein Angreifer versuchen kann, in Systeme einzudringen, Daten abzugreifen oder Abläufe zu stören. Dazu zählen technische Zugänge wie erreichbare Server, offene Ports, Schnittstellen und Webanwendungen ebenso wie Benutzerkonten, Zugangsdaten und die Menschen, die mit diesen Systemen arbeiten.

Wichtig ist der Blickwinkel: Die Angriffsfläche beschreibt die Perspektive des Angreifers. Entscheidend ist, was von außen oder von einem bereits kompromittierten Punkt aus erreichbar ist, unabhängig davon, was die interne Dokumentation ausweist. Deshalb gehören auch vergessene Systeme, Schatten-IT und Altlasten dazu. Gerade sie erweisen sich bei Vorfällen häufig als die kritischsten Punkte.

Als Faustregel gilt: Je größer und unübersichtlicher die Angriffsfläche, desto wahrscheinlicher findet ein Angreifer eine verwundbare Stelle. Die Angriffsfläche zu kontrollieren und zu verkleinern ist deshalb ein Kernziel moderner Sicherheitskonzepte wie Zero Trust.

Woraus sie besteht

In der Praxis hat sich die Einteilung in vier Bereiche bewährt:

  • Externe Angriffsfläche: Alles, was aus dem Internet erreichbar ist: Websites, Webanwendungen, APIs, VPN-Zugänge, Mailserver und exponierte Verwaltungszugänge. Diese Punkte werden von Angreifern automatisiert und rund um die Uhr gescannt.
  • Interne Angriffsfläche: Systeme und Verbindungen innerhalb des Netzwerks. Sie wird relevant, sobald ein Angreifer einen ersten Zugangspunkt erobert hat. Flache Netze ohne Segmentierung erlauben dann die ungehinderte Ausbreitung von System zu System.
  • Cloud-Angriffsfläche: Cloud-Ressourcen, SaaS-Dienste und deren Konfigurationen. Zu weit gefasste Berechtigungen, offen erreichbare Speicherdienste und ungenutzte Instanzen zählen hier zu den häufigsten Schwachpunkten.
  • Menschliche Angriffsfläche: Mitarbeitende, die über Phishing, Social Engineering oder gestohlene Zugangsdaten angegriffen werden. Jedes Konto mit Zugriff auf Unternehmenssysteme gehört dazu.

Für die Erfassung kombinieren Unternehmen mehrere Methoden: eine gepflegte Inventarisierung aller Systeme und Dienste, regelmäßige Scans der von außen sichtbaren Infrastruktur und Prüfungen der Cloud-Konfigurationen. Größere Organisationen setzen zusätzlich auf Attack Surface Management (ASM), also Werkzeuge, die die Außensicht auf das Unternehmen kontinuierlich erfassen und Veränderungen melden. Entscheidend ist die Regelmäßigkeit, denn die Angriffsfläche verändert sich mit jedem neuen System und jedem zusätzlichen Dienst.

Warum das wichtig ist

  • Weniger Einstiegspunkte: Jedes abgeschaltete Altsystem und jeder geschlossene Zugang ist eine Angriffsmöglichkeit weniger. Reduktion wirkt präventiv, noch bevor Schwachstellen entstehen.
  • Begrenzter Schaden: Eine segmentierte interne Angriffsfläche stoppt die Ausbreitung von Angriffen. Aus einem kompromittierten Endgerät wird kein Totalausfall des Unternehmens.
  • Gezielter Mitteleinsatz: Wer seine Angriffsfläche kennt, lenkt Budget und Aufmerksamkeit auf die tatsächlich exponierten Systeme, statt Schutzmaßnahmen breit zu streuen.
  • Schnellere Reaktion: Ein aktuelles Bild der eigenen Zugangspunkte beschleunigt die Bewertung neuer Bedrohungen. Wird eine kritische Schwachstelle bekannt, ist sofort klar, ob und wo sie das Unternehmen betrifft.
  • Regulatorische Anforderungen: Vorgaben wie NIS2 und Standards wie ISO 27001 verlangen einen nachweisbaren Überblick über Systeme und Risiken. Ein gepflegtes Bild der Angriffsfläche liefert diese Grundlage.

Typische Anwendungsfälle

  • Cloud-Migration: Vor und nach dem Umzug von Anwendungen zeigt eine Analyse, welche neuen Zugänge entstanden sind und welche Altsysteme sich abschalten lassen.
  • Homeoffice und Fernzugriff: Mobile Arbeit erweitert die Angriffsfläche um private Netze und zusätzliche Zugangswege. Eine Bewertung legt fest, welche Schutzmaßnahmen der Fernzugriff braucht.
  • Fusionen und Zukäufe: Mit jeder übernommenen Firma übernimmt ein Unternehmen auch deren Angriffsfläche. Eine frühe Analyse verhindert, dass Altlasten unbemerkt zum eigenen Risiko werden.
  • Vorbereitung von Penetrationstests: Die Erfassung der Angriffsfläche definiert den Prüfumfang und stellt sicher, dass Tests die wirklich exponierten Systeme abdecken.
  • Kontinuierliche Härtung: Regelmäßige Überprüfungen decken schleichenden Wildwuchs auf, etwa vergessene Subdomains, verwaiste Konten oder ungenutzte Dienste.

Angriffsfläche vs. Schwachstelle vs. Risiko

Die drei Begriffe werden oft vermischt, beschreiben aber Verschiedenes. Die Angriffsfläche ist die Menge aller möglichen Angriffspunkte, unabhängig davon, ob diese aktuell verwundbar sind. Eine Schwachstelle ist ein konkreter, ausnutzbarer Fehler an einem dieser Punkte, etwa eine veraltete Softwareversion oder eine Fehlkonfiguration.

Das Risiko bewertet schließlich die Kombination aus beidem: Wie wahrscheinlich wird eine Schwachstelle ausgenutzt, und welcher Schaden entstünde dabei? Ein internes Testsystem mit einer bekannten Lücke trägt ein anderes Risiko als ein öffentlich erreichbarer Webshop mit derselben Lücke.

Für die Praxis folgt daraus: Die Verkleinerung der Angriffsfläche wirkt breiter als das Schließen einzelner Schwachstellen. Ein System, das abgeschaltet oder von außen unsichtbar gemacht wurde, muss nie wieder gepatcht werden. Schwachstellenmanagement bleibt dennoch notwendig, beide Disziplinen ergänzen einander.

Angriffsflächen-Management bei KAEMI

KAEMI reduziert Angriffsflächen auf mehreren Ebenen. Mikrosegmentierung verkleinert die interne Angriffsfläche, indem sie Systeme in isolierte Zonen trennt und die Ausbreitung von Angriffen stoppt. Application Security schützt die externe Angriffsfläche Ihrer Webanwendungen und APIs, unter anderem mit Web Application Firewall und DDoS-Abwehr. Bei Analyse und Priorisierung unterstützt Sie unser Team im Rahmen der Professional Services . Den Einstieg bildet ein unverbindliches Gespräch: Nehmen Sie Kontakt auf .

Häufige Fragen zu Angriffsfläche

Was gehört alles zur Angriffsfläche eines Unternehmens?

Alle Punkte, über die Angreifer einwirken können: aus dem Internet erreichbare Systeme wie Websites, APIs und Fernzugänge, interne Systeme und Netzwerkverbindungen, Cloud-Dienste samt ihrer Konfigurationen sowie Benutzerkonten und Mitarbeitende als Ziele von Phishing. Auch vergessene Altsysteme und Schatten-IT zählen dazu, obwohl sie in keiner Inventarliste stehen.

Worin unterscheidet sich die Angriffsfläche von einer Schwachstelle?

Die Angriffsfläche beschreibt, wo ein Angriff grundsätzlich ansetzen kann, also alle erreichbaren Systeme, Zugänge und Konten. Eine Schwachstelle ist ein konkreter, ausnutzbarer Fehler an einem dieser Punkte, zum Beispiel eine veraltete Software. Eine große Angriffsfläche erhöht die Wahrscheinlichkeit, dass irgendwo eine ausnutzbare Schwachstelle existiert und gefunden wird.

Wie lässt sich die Angriffsfläche eines Unternehmens verkleinern?

Mit einer Kombination aus Aufräumen und Architektur: ungenutzte Systeme, Dienste und Konten abschalten, Zugänge auf das Notwendige beschränken und Multi-Faktor-Authentifizierung durchsetzen. Architektonisch wirken Segmentierung des internen Netzes und Zero-Trust-Zugriffe, die Anwendungen von außen unsichtbar machen. Wichtig ist ein wiederkehrender Prozess, denn mit jeder Änderung an der IT verändert sich auch die Angriffsfläche.

Was ist Attack Surface Management (ASM)?

Attack Surface Management bezeichnet die kontinuierliche Erfassung, Bewertung und Überwachung der eigenen Angriffsfläche, meist aus der Außenperspektive eines Angreifers. Entsprechende Werkzeuge finden automatisiert exponierte Systeme, Subdomains, offene Dienste und Konfigurationsfehler und melden Veränderungen. ASM ersetzt keine Schutzmaßnahmen, liefert aber die Übersicht, ohne die gezielte Absicherung kaum möglich ist.

Warum wächst die Angriffsfläche durch Cloud und Homeoffice?

Beide verlagern Systeme und Zugriffe aus dem geschützten Firmennetz nach außen. Jeder Cloud-Dienst bringt eigene Zugänge, Schnittstellen und Konfigurationen mit, die korrekt abgesichert werden müssen. Homeoffice ergänzt private Netzwerke, zusätzliche Geräte und Fernzugriffswege. Ohne Gegenmaßnahmen wie Zero-Trust-Zugriffe und klare Cloud-Richtlinien entstehen dadurch laufend neue, oft unbemerkte Angriffspunkte.

Sie möchten das Thema im eigenen Netzwerk angehen? Sprechen Sie mit KAEMI, anforderungsorientiert und mit Betrieb aus einer Hand.