Mit jedem neuen System und jedem zusätzlichen Cloud-Dienst wachsen die Möglichkeiten eines Unternehmens, und zugleich die Möglichkeiten seiner Angreifer. Viele Sicherheitsvorfälle beginnen an Stellen, die intern niemand mehr auf dem Schirm hatte: ein vergessener Testserver oder ein verwaistes Benutzerkonto mit weitreichenden Rechten. Der Begriff Angriffsfläche fasst all diese Punkte zusammen und macht sie dadurch überhaupt erst steuerbar.
Für IT-Entscheider gehört die Angriffsfläche zu den nützlichsten Größen der Sicherheitsarbeit. Sie übersetzt die abstrakte Frage nach dem Sicherheitsniveau in eine konkrete: Wo genau kann uns jemand angreifen, und welche dieser Stellen brauchen wir wirklich?
Was ist eine Angriffsfläche?
Die Angriffsfläche (englisch: Attack Surface) bezeichnet die Summe aller Punkte, an denen ein Angreifer versuchen kann, in Systeme einzudringen, Daten abzugreifen oder Abläufe zu stören. Dazu zählen technische Zugänge wie erreichbare Server, offene Ports, Schnittstellen und Webanwendungen ebenso wie Benutzerkonten, Zugangsdaten und die Menschen, die mit diesen Systemen arbeiten.
Wichtig ist der Blickwinkel: Die Angriffsfläche beschreibt die Perspektive des Angreifers. Entscheidend ist, was von außen oder von einem bereits kompromittierten Punkt aus erreichbar ist, unabhängig davon, was die interne Dokumentation ausweist. Deshalb gehören auch vergessene Systeme, Schatten-IT und Altlasten dazu. Gerade sie erweisen sich bei Vorfällen häufig als die kritischsten Punkte.
Als Faustregel gilt: Je größer und unübersichtlicher die Angriffsfläche, desto wahrscheinlicher findet ein Angreifer eine verwundbare Stelle. Die Angriffsfläche zu kontrollieren und zu verkleinern ist deshalb ein Kernziel moderner Sicherheitskonzepte wie Zero Trust.
Woraus sie besteht
In der Praxis hat sich die Einteilung in vier Bereiche bewährt:
- Externe Angriffsfläche: Alles, was aus dem Internet erreichbar ist: Websites, Webanwendungen, APIs, VPN-Zugänge, Mailserver und exponierte Verwaltungszugänge. Diese Punkte werden von Angreifern automatisiert und rund um die Uhr gescannt.
- Interne Angriffsfläche: Systeme und Verbindungen innerhalb des Netzwerks. Sie wird relevant, sobald ein Angreifer einen ersten Zugangspunkt erobert hat. Flache Netze ohne Segmentierung erlauben dann die ungehinderte Ausbreitung von System zu System.
- Cloud-Angriffsfläche: Cloud-Ressourcen, SaaS-Dienste und deren Konfigurationen. Zu weit gefasste Berechtigungen, offen erreichbare Speicherdienste und ungenutzte Instanzen zählen hier zu den häufigsten Schwachpunkten.
- Menschliche Angriffsfläche: Mitarbeitende, die über Phishing, Social Engineering oder gestohlene Zugangsdaten angegriffen werden. Jedes Konto mit Zugriff auf Unternehmenssysteme gehört dazu.
Für die Erfassung kombinieren Unternehmen mehrere Methoden: eine gepflegte Inventarisierung aller Systeme und Dienste, regelmäßige Scans der von außen sichtbaren Infrastruktur und Prüfungen der Cloud-Konfigurationen. Größere Organisationen setzen zusätzlich auf Attack Surface Management (ASM), also Werkzeuge, die die Außensicht auf das Unternehmen kontinuierlich erfassen und Veränderungen melden. Entscheidend ist die Regelmäßigkeit, denn die Angriffsfläche verändert sich mit jedem neuen System und jedem zusätzlichen Dienst.
Warum das wichtig ist
- Weniger Einstiegspunkte: Jedes abgeschaltete Altsystem und jeder geschlossene Zugang ist eine Angriffsmöglichkeit weniger. Reduktion wirkt präventiv, noch bevor Schwachstellen entstehen.
- Begrenzter Schaden: Eine segmentierte interne Angriffsfläche stoppt die Ausbreitung von Angriffen. Aus einem kompromittierten Endgerät wird kein Totalausfall des Unternehmens.
- Gezielter Mitteleinsatz: Wer seine Angriffsfläche kennt, lenkt Budget und Aufmerksamkeit auf die tatsächlich exponierten Systeme, statt Schutzmaßnahmen breit zu streuen.
- Schnellere Reaktion: Ein aktuelles Bild der eigenen Zugangspunkte beschleunigt die Bewertung neuer Bedrohungen. Wird eine kritische Schwachstelle bekannt, ist sofort klar, ob und wo sie das Unternehmen betrifft.
- Regulatorische Anforderungen: Vorgaben wie NIS2 und Standards wie ISO 27001 verlangen einen nachweisbaren Überblick über Systeme und Risiken. Ein gepflegtes Bild der Angriffsfläche liefert diese Grundlage.
Typische Anwendungsfälle
- Cloud-Migration: Vor und nach dem Umzug von Anwendungen zeigt eine Analyse, welche neuen Zugänge entstanden sind und welche Altsysteme sich abschalten lassen.
- Homeoffice und Fernzugriff: Mobile Arbeit erweitert die Angriffsfläche um private Netze und zusätzliche Zugangswege. Eine Bewertung legt fest, welche Schutzmaßnahmen der Fernzugriff braucht.
- Fusionen und Zukäufe: Mit jeder übernommenen Firma übernimmt ein Unternehmen auch deren Angriffsfläche. Eine frühe Analyse verhindert, dass Altlasten unbemerkt zum eigenen Risiko werden.
- Vorbereitung von Penetrationstests: Die Erfassung der Angriffsfläche definiert den Prüfumfang und stellt sicher, dass Tests die wirklich exponierten Systeme abdecken.
- Kontinuierliche Härtung: Regelmäßige Überprüfungen decken schleichenden Wildwuchs auf, etwa vergessene Subdomains, verwaiste Konten oder ungenutzte Dienste.
Angriffsfläche vs. Schwachstelle vs. Risiko
Die drei Begriffe werden oft vermischt, beschreiben aber Verschiedenes. Die Angriffsfläche ist die Menge aller möglichen Angriffspunkte, unabhängig davon, ob diese aktuell verwundbar sind. Eine Schwachstelle ist ein konkreter, ausnutzbarer Fehler an einem dieser Punkte, etwa eine veraltete Softwareversion oder eine Fehlkonfiguration.
Das Risiko bewertet schließlich die Kombination aus beidem: Wie wahrscheinlich wird eine Schwachstelle ausgenutzt, und welcher Schaden entstünde dabei? Ein internes Testsystem mit einer bekannten Lücke trägt ein anderes Risiko als ein öffentlich erreichbarer Webshop mit derselben Lücke.
Für die Praxis folgt daraus: Die Verkleinerung der Angriffsfläche wirkt breiter als das Schließen einzelner Schwachstellen. Ein System, das abgeschaltet oder von außen unsichtbar gemacht wurde, muss nie wieder gepatcht werden. Schwachstellenmanagement bleibt dennoch notwendig, beide Disziplinen ergänzen einander.
Angriffsflächen-Management bei KAEMI
KAEMI reduziert Angriffsflächen auf mehreren Ebenen. Mikrosegmentierung verkleinert die interne Angriffsfläche, indem sie Systeme in isolierte Zonen trennt und die Ausbreitung von Angriffen stoppt. Application Security schützt die externe Angriffsfläche Ihrer Webanwendungen und APIs, unter anderem mit Web Application Firewall und DDoS-Abwehr. Bei Analyse und Priorisierung unterstützt Sie unser Team im Rahmen der Professional Services . Den Einstieg bildet ein unverbindliches Gespräch: Nehmen Sie Kontakt auf .