Das Auskundschaften und Ausnutzen von Schwachstellen gehört seit Jahrtausenden zum Handwerk von Angreifern. Hagen von Tronje etwa schlich sich von hinten an Siegfried heran, zielte mit dem Speer und ermordete den unverwundbar geglaubten Helden. Er wusste um die Schwachstelle in Siegfrieds Schutzpanzer. Literaturhistoriker sprechen über Siegfrieds Tod als Intrige oder Ehrenmord, doch Securityprofis wissen: Das war mangelhaftes Attack Surface Management. Worauf es in Sachen IT-Security beim Reduzieren der Angriffsoberfläche ankommt, beleuchtet dieser Beitrag.
Attack Surface Management (ASM) ist eines der jüngsten Akronym-Ferkelchen, die durchs globale Security-Dorf getrieben werden. Die einschlägigen Analysten und Anbieter bezeichnen damit Tools und SaaS-Angebote, die es insbesondere größeren Unternehmen ermöglichen sollen, ihre Angriffsflächen genauer zu kennen und schneller auf Veränderungen in ihrer Risikolage zu reagieren. So erklärte das Analystenhaus KuppingerCole in seinem "Leadership Compass" zu ASM vom September 2023 [1], ASM habe sich "zu einer wichtigen Disziplin entwickelt, die proaktive Cybersicherheitsstrategien ermöglicht und Risiken mindert, indem sie die Anfälligkeit eines Unternehmens für potenzielle Angriffe reduziert."
Als Angriffsfläche definiert KuppingerCole dabei "die Gesamtheit aller möglichen Eintrittspunkte innerhalb einer Organisation sowie der digitalen Infrastruktur ihrer Tochtergesellschaften und Partner". Dazu zählen die Analysten neben Hardware, Software, Speichergerätschaft sowie Netzwerken vor Ort und in der Cloud auch Identitäten (von Benutzern, Konten und Geräten), die ein Angreifer ausnutzen könnte, um Dienste zu blockieren, sich unbefugten Zugriff zu verschaffen, Angriffe durchzuführen oder sensible Daten zu kompromittieren. Das Problem: Die Angriffsfläche wandelt sich laufend, schon allein deshalb, weil sich die Bestandteile einer IT-Umgebung ständig verändern. Deshalb ist es laut KuppingerCole für die gebotene Sorgfaltspflicht erforderlich, diese Angriffsflächen rund um die Uhr zu überwachen und zu evaluieren.
Ähnlich beschreibt das US-Analystenhaus Forrester ASM als "Prozess, die Risiken des IT-Bestands eines Unternehmens kontinuierlich zu erkennen, zu identifizieren, zu inventarisieren und zu bewerten" [2] – und weiß von Erfolgen zu berichten: ASM-Anwender loben demnach vor allem den besseren Überblick, die Zeitersparnis und die Möglichkeit, Risiken nach Priorität zu ordnen.
Attack Surface Management (ASM) ist eines der jüngsten Akronym-Ferkelchen, die durchs globale Security-Dorf getrieben werden. Die einschlägigen Analysten und Anbieter bezeichnen damit Tools und SaaS-Angebote, die es insbesondere größeren Unternehmen ermöglichen sollen, ihre Angriffsflächen genauer zu kennen und schneller auf Veränderungen in ihrer Risikolage zu reagieren. So erklärte das Analystenhaus KuppingerCole in seinem "Leadership Compass" zu ASM vom September 2023 [1], ASM habe sich "zu einer wichtigen Disziplin entwickelt, die proaktive Cybersicherheitsstrategien ermöglicht und Risiken mindert, indem sie die Anfälligkeit eines Unternehmens für potenzielle Angriffe reduziert."
Als Angriffsfläche definiert KuppingerCole dabei "die Gesamtheit aller möglichen Eintrittspunkte innerhalb einer Organisation sowie der digitalen Infrastruktur ihrer Tochtergesellschaften und Partner". Dazu zählen die Analysten neben Hardware, Software, Speichergerätschaft sowie Netzwerken vor Ort und in der Cloud auch Identitäten (von Benutzern, Konten und Geräten), die ein Angreifer ausnutzen könnte, um Dienste zu blockieren, sich unbefugten Zugriff zu verschaffen, Angriffe durchzuführen oder sensible Daten zu kompromittieren. Das Problem: Die Angriffsfläche wandelt sich laufend, schon allein deshalb, weil sich die Bestandteile einer IT-Umgebung ständig verändern. Deshalb ist es laut KuppingerCole für die gebotene Sorgfaltspflicht erforderlich, diese Angriffsflächen rund um die Uhr zu überwachen und zu evaluieren.
Ähnlich beschreibt das US-Analystenhaus Forrester ASM als "Prozess, die Risiken des IT-Bestands eines Unternehmens kontinuierlich zu erkennen, zu identifizieren, zu inventarisieren und zu bewerten" [2] – und weiß von Erfolgen zu berichten: ASM-Anwender loben demnach vor allem den besseren Überblick, die Zeitersparnis und die Möglichkeit, Risiken nach Priorität zu ordnen.
Prävention im Fokus von NIS 2
Dr. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen, gibt zu bedenken: "Prävention ist ein zentraler Aspekt von NIS 2. Die Richtlinie baut auf dem Grundsatz, dem Gedanken von Prävention auf. Das bedeutet zu schauen, was die Angriffsvektoren sind, und dass ich, wenn ich doch mal kompromittiert werde, ein Notfallmanagement eingerichtet habe. Das umfasst letzten Endes auch sämtliche Maßnahmen des Risikomanagements. Unter dem Gesichtspunkt kann ASM für manche Unternehmen interessant sein. Es ist aber keine gesetzlich geforderte Anforderung.”
Zwei ASM-Varianten
Marktbeobachter wie Gartner, Forrester oder KuppingerCole unterscheiden zweierlei ASM-Spielarten: EASM (External ASM) und CAASM (Cyber Asset ASM). CAASM soll es Unternehmen ermöglichen, sämtliche internen und externen Assets zu erfassen, vorrangig durch API-Integration mit bereits vorhandenen Tools, etwa zur Inventarisierung. Die per CAASM ermittelten und konsolidierten Daten dienen dazu, Art und Ausmaß von Schwachstellen festzustellen, um diese analysieren und laufend überwachen zu können. Zu den CAASM-Anbietern zählt Gartner [3] zum Beispiel Armis, Axonius, Balbix, JupiterOne, Lansweeper, OctoXLabs, runZero oder auch ThreatAware.
Besonders gefährdet sind in Zeiten von Ransomware & Co. jene Ressourcen, die in Richtung Internet exponiert sind. Nicht umsonst werden Securityfachleute aller Couleur nicht müde, vor den Gefahren aus dem Internet zu warnen – und davor, dass IT-Teams heutzutage statt Tagen mitunter nur noch Stunden haben, um Lücken zu patchen. Auf diesen besonders brisanten Verteidigungsfall konzentriert sich die zweite ASM-Variante, das EASM.
Das Aufgabengebiet von EASM umfasst laut Gartner zum Beispiel falsch konfigurierte Public-Cloud-Dienste und -Server, aber auch offengelegte Unternehmensdaten wie Anmeldeinformationen sowie Schwachstellen in Softwarecode von Drittanbietern, die ein Angreifer ausnutzen könnte – denken wir etwa an die Kompromittierung von SolarWinds im Jahr 2020 oder den jüngst von Andres Freund eher zufällig aufgedeckten Angriff auf die Open-Source-Toolsammlung XZ Utils.
Im EASM-Marktsegment tummeln sich einerseits diverse große Player wie IBM (per Akquisition von Randori 2022), Google Cloud (per Übernahme von Mandiant, ebenfalls 2022) und Microsoft. Letztere dürften momentan eher damit beschäftigt sein, die hauseigenen Angriffsflächen in den Griff zu bekommen. Zu diesen Größen gesellen sich zahlreiche Security-Spezialisten, darunter CrowdStrike, Group-IB, Palo Alto Networks oder Trend Micro.
KuppingerCole geht davon aus, dass die beiden ASM-Spielarten früher oder später zu einem ganzheitlichen ASM zusammenfließen werden. Denn Anwenderunternehmen wollen mittelfristig sicher keine separaten Tools, Prozesse oder auch Cloud-Services unterhalten und bezahlen, um zwei Seiten des gleichen Lindenblatts zu überwachen.
Kritische Schwachstellen erkennen
König Gunther und sein Gefolgsmann Hagen gaukeln Siegfrieds Ehefrau Kriemhild einen drohenden Krieg mit den Sachsen vor. So kann Hagen ihr Siegfrieds Geheimnis entlocken: Unter dem Vorwand, Siegfried dann umso besser schützen zu können, überredet er Kriemhild, an der kritischen Stelle ein Kreuz auf Siegfrieds Gewand zu nähen. Social Engineering war eben schon immer einer der effektivsten Pfeile im Köcher der Angreifer. Heute hingegen stehen auch noch ganz andere Wege offen, als das Opfer Auge in Auge zu übertölpeln: Lücken lassen sich oft einfach aus der Ferne aufspüren. Denn viele Unternehmen machen Schwachstellen mit geradezu Kriemhildscher Leichtfertigkeit vom Internet aus auffindbar.
Wie aber vermeidet Attack Surface Management, dass Übeltäter allzu viele digitale Kreuzchen vorfinden, die sie schamlos ausnutzen können? Zunächst ist ASM vor allem vom klassischen Schwachstellen-Management abzugrenzen. Dieses baut auf netzwerkweite Scans des hauseigenen IT-Bestands, um die Ergebnisse zur Risikobewertung mit CVSS-Scores (Common Vulnerability Scoring System) abzugleichen. Gegenüber dem traditionellen Vorgehen sollen ASM-Werkzeuge und -Services eine schnellere und allem präzisere Priorisierung ermöglichen. Mit ASM können Unternehmen laut KuppingerCole einen risikobasierten Ansatz verfolgen und ihre Ressourcen strategisch auf die potenziell meistgefährdeten Bereiche ausrichten.
Dieses Versprechen klingt allerdings doch recht vertraut. Da hebt unwillkürlich, einem gereizten Drachen gleich, ein Verdacht sein Haupt: Sollten findige Marketiers alten Vulnerability-Management-Wein in neue ASM-Schläuche gegossen haben? "ASM ist sozusagen alter Wein mit ein paar neuen Geschmackszusätzen in neuen Schläuchen", urteilt Stefan Strobel, Chef des Security-Beratungshauses Cirosec. Denn die Basis bildet auch hier ein Schwachstellen-scanner, somit etablierte Technik. ASM reagiert aber laut Strobel zudem auf das Problem, dass Unternehmen oft dezentral organisiert sind und immer mehr Cloud-Services nutzen – und deshalb schnell den Überblick über ihre IP-Adressen verlieren. "Der neue Geschmack besteht darin, vor dem Scan erst einmal herauszufinden, was ich eigentlich scannen muss", sagt er. Es geht also um Fragen wie etwa: Welche Domänen sind im Einsatz, wer hat das registriert, bei welchem Provider, in welchem Subnetz?
Was zunächst einfach klingen mag, erweist sich in größeren IT-Umgebungen schnell als tückisch. Ein Beispiel: Als Forrester für seinen Report ASM-Nutzer befragte, erklärte laut den Analysten der Securityexperte eines Gebrauchtwagen-Marktplatzes, das ASM-Tool habe "50 Prozent mehr Assets gefunden, als wir zu besitzen glaubten." Musste sich der Drachentöter von einst nur um eine einzige verwundbare Stelle sorgen, gerät der Schutz von Angriffsflächen heute im Unternehmen zunächst zur Suche nach dem Lindenblatt im Laubhaufen – und in der Regel findet sich dann umso weiter verzweigtes Blattwerk, das im Auge zu behalten ist.
Cloud Computing steigert das Risiko
Als wichtiger Treiber für den Bedarf an digitaler Lindenblattsuche gilt unter Securityexperten vor allem das erwähnte Cloud Computing. Schließlich ist es in manch einem Unternehmen Usus, dass Fachabteilungen Public-Cloud-Services nach Bedarf abonnieren, oft ohne die hauseigene IT-Abteilung davon in Kenntnis zu setzen. Derlei Schatten-IT verschärft die Lage für das IT-Team, da sie den Überblick über den IT-Bestand erschwert und die Zugriffspfade dichtlaubig überwuchert.
Bewährte Routine stößt deshalb an Grenzen. Führt das IT-Team etwa wie früher wöchentlich Schwachstellenscans durch, entgeht ihm potenziell ein großer Teil dieser Clouddynamik. ASM hingegen zielt darauf ab, das gesamte Internet zu scannen, um zu verstehen, was zur Infrastruktur eines Unternehmens gehört. Dadurch kann ein ASM-Tool beispielsweise Zertifikate eines Cloudservices auf ein Unternehmen mappen, selbst wenn der IT-Leiter oder CISO gar nicht weiß, dass ein Fachbereich diesen Cloud-Service gebucht hat.
Als Reaktion auf überwucherten Durchblick liegt ein Gedanke nahe: Na gut, dann setzen wir eben einfach Shodan ein! Doch davor warnen die ASM-Anbieter. Sie geben zu bedenken, dass es heute schier unmöglich ist, alle Bedrohungen zu berücksichtigen, die einem Unternehmen oder seinem Marktauftritt schaden könnten. ASM-Spezialisten verweisen dem gegenüber auf ihre Kompetenz beim Aufspüren aktiv genutzter Exploits. Oft unterhalten sie Forschungsteams, die ermitteln, wie Bedrohungsakteure bei Angriffen vorgehen, oder haben gar die Dark-Web-Szene infiltriert.
Umgang mit erkannten Risiken
In puncto Risiken unterscheidet Security-Experte Richard Werner von Trend Micro zwei Arten von Ernstfällen:
1. Ein Risiko wurde entdeckt und nun ist zu entscheiden, wie damit umzugehen ist.
2. Das Risiko ist eingetreten, sprich: Ein Angriff findet statt.
Laut NIS-2-Verordnung müssen sich betroffene Unternehmen auf beides vorbereiten, betont Werner, kann es doch nicht davon ausgehen, alle Risiken ausschließen zu können. Lange pflegten Securityteams das Bild von IT-Sicherheit als mittelalterliche Festung: Die Guten sind drinnen, die Bösen draußen, dazwischen Burgmauer und Burggraben. Doch die Abschottung nach Art einer Burg hat sich längst als trügerischer Mythos erwiesen – ganz zu schweigen davon, dass es im bekanntesten deutschen Mythos so gar nicht klappen will, Verwundbarkeit komplett zu eliminieren.
So sind laut einer Untersuchung von Trend Micro im Durchschnitt elf Prozent der Assets in Unternehmen hochgradig angreifbar. Diese muss ein Sicherheitsteam also besonders genau beobachten, um bei Anzeichen steigenden Risikos schnell Maßnahmen zu ergreifen. Der japanische Securityanbieter nennt diesen Ansatz "Attack Surface Risk Management", gemeint ist damit aber auch nichts anderes als ASM.
Funktionsumfang von ASM
Attack Surface Management umfasst laut KuppingerCole fünf Aufgabenbereiche:
1. Eine ASM-Lösung entdeckt verwundbare Assets,
2. erstellt die Profile und bewertet die Schwachstellen,
3. priorisiert Schachstellen gemäß der Risikobewertung,
4. überwacht sie laufend und
5. behebt die Schwachstellen oder unterstützt zumindest dabei, sie zu beheben.
Aus diesen fünf Aufgabenbereichen ergibt sich eine Reihe von Kern- und Zusatzfunktionen, die darauf abzielen, die Angriffsfläche zu analysieren, grafisch darzustellen, zu überwachen und möglichst automatisiert zu verkleinern (siehe Kasten "ASM-Funktionen").
Wie aber lässt sich bei den vielen ASM-Angeboten die Spreu vom Weizen trennen beziehungsweise der professionelle Lindenlaubbläser vom müden Handföhn? Hier gibt es laut Stefan Strobel zwei Ebenen. Erstens die Frage: Was gehört zum Unternehmensnetz, was nicht? Cirosec hat mehrere ASM-Lösungen getestet, einige haben hier laut Strobel "extrem schlecht" abgeschnitten. Ein Tool habe nicht einmal eine Wildcard bei Webadressen korrekt abgebildet. Die zweite Ebene: Wie viele Schwachstellen findet das Tool? Hier bietet der Markt etablierte Schwachstellen-Engines etwa von Qualys, Rapid7 oder Tenable. Andere Tools hingegen beziehen laut Strobel Aspekte mit ein, die weniger spannend sind, etwa Websites ohne Impressum oder Cookiebanner, finden die wirklich relevanten Risiken aber eventuell gar nicht.
Kernbaustein ist stets die automatisierte Validierung von Sicherheitslücken. Sie soll es IT- oder Security-Teams ermöglichen, sich auf diejenigen Angriffsflächen zu konzentrieren, die ein professioneller Angreifer ausnutzen würde. IBM verweist hier auf eine Forrester-Umfrage, laut der die Nutzer des IBM-Tools Randori 90 Prozent weniger Zeit für Schwachstellen-scans pro Jahr benötigen.
ASM-Spezialisten wie die Google-Cloud-Tochter Mandiant raten zu einer umfassenden Plattform, die das Dark Web, Schwachstellen sowie Bedrohungsdaten überwacht und Funktionen bietet, um Risiken zu erkennen und zu priorisieren. Insbesondere aktuelle Bedrohungsinformationen (Threat Intelligence) spielen dabei laut dem US-Anbieter eine wichtige Rolle. Die ASM-Plattform von Google Cloud führt deshalb externe Ressourcen mit den Frontline-Bedrohungsdaten von Mandiant zusammen, um das aktuelle Verhalten relevanter Bedrohungsakteure oder potenzieller Malware laufend zu erkennen.
In die Priorisierungslogik fließen laut Angaben des Anbieters zahlreiche Aspekte ein: Schatten-IT oder unbekannte Anlagen inklusive deren Lücken ebenso wie Schwachstellen und Fehlkonfigurationen von Cloudressourcen, unerlaubte Entwickler-Repositories, Verdächtiges wie Typosquatting (Missbrauch von Tippfehlern oder Wortähnlichkeiten in Webadressen) und Punycode-Domänen (Einsatz von Nicht-ASCII-Zeichen in Domänennamen für Angriffszwecke), zudem Markenmissbrauch bei Mobilgeräte-Apps, die Endpunkte von Webanwendungen sowie die Sicherheitslage von Drittanbietern.
Laut dem Sicherheitsspezialisten Group-IB legen ASM-Anwender dabei Wert auf Scans der Nutzdaten, die Aufnahme von Dark-Web-, Malware- und Leak-Informationen in eine Übersicht, API- und benutzerdefinierte Benachrichtigungsoptionen sowie detaillierte Anleitungen zur Remediation. Das hauseigene ASM-Produkt folgt laut Group-IB dem Interessenmuster eines Benutzers und konzentriert sich mehr oder weniger auf bestimmte Ressourcen. Dies soll es dem System erlauben, Risiken dynamisch zu bewerten. Gemeint ist: anhand variabler statistischer Werte wie der Relevanz einer Ressource oder deren Bedrohungsniveau für das Unternehmen.
Mandiant betont dabei den Wert von Integrationen in die Anwenderinfrastruktur, um die Transparenz zu verbessern. Denn dies erleichtere es, Prioritäten zu setzen und kritische Sicherheitsprobleme effektiv anzugehen.
ASM-Funktion
Kernfunktionen:
- Verkleinerung der Angriffsfläche: Zero-Trust-Architektur, starke Authentifizierung, granulare Autorisierung, Netzwerksegmentierung, Interoperabilität mit Securitytools.
- Visualisierung der Angriffsfläche: Dashboards, Mapping auf MITRE ATT&CK.
- Integration mit CTI-Feeds (Cyber Threat Intelligence): Aggregation von Daten aus unterschiedlichen Quellen, um die Angriffsflächebesser zu verstehen.
- Angriffsflächenanalyse: Aggregation und Auswertung umfangreicher Datenbestände, gegebenenfalls per maschinellem Lernen.
- Automatisiertes Angriffsflächenmanagement: Kontinuierliche Erkennung, Analyse und Überwachung von Assets und deren Schwachstellen.
Ergänzende oder aufkommende Funktionen:
- Cloud: Überwachung von SaaS- und IaaS-Ressourcen; laut KuppingerCole sind aktuelle ASM-Systeme zudem selbst in der Cloud gehostet.
- IoT-Überwachung, darunter fällt auch das Industrial IoT, also Industrieumgebungen.
- Dark-Web-Überwachung: Einige ASM-Anbieter haben Dark-Web-Foren und Angreifergruppen wie etwa Ransomwareas-a-Service-Sites infiltriert.
- Markenschutz: Überwachung auf Markenmissbrauch, von DNS-Manipulation bis zum Monitoring von Social-Media-Kanälen.
- DevSecOps-Integration: ASM sollte frühzeitig in DevOps-Prozesse eingebunden sein.
- Bedrohungsmodellierung und Angriffssimulation: Einsatz von ASM-Informationen für die Simulation von Angriffen.
- Compliance: Abgleich mit gesetzlichen Vorgaben wie der DSGVO oder gegebenenfalls NIS 2.
ASM im Industrieeinsatz
Besondere Schwierigkeiten bereiten dem Securityteam, wie so oft, die Industrienetze. Schließlich sind Industrieunternehmen in doppelter Hinsicht Gefahren ausgesetzt, umfasst ihre potenzielle Angriffsfläche doch IT wie auch OT (Operational Technology, industrielle Betriebstechnik). Die zunehmende Automatisierung und Vernetzung von Maschinen und Anlagen vergrößert diese Angriffsfläche noch. OT-Securityspezialisten wie Kaspersky oder Claroty weisen zudem auf eine brisante Besonderheit des Industrieumfelds hin: Oft laufen hier Legacygeräte, etwa Anlagensteuerungen, mit derart veralteten Betriebssystemen, dass es für diese keine Updates und auch keine Sicherheitspatches mehr gibt. Solche Herausforderungen machen den Schutz von Industrieumgebungen zum Duell mit einem Drachen, der sehr begeistert Feuer speit.
Die allererste Maßnahme industrieller Drachenbekämpfung muss laut Anbietern wie etwa CrowdStrike darin bestehen, Industrieumgebungen (CrowdStrike spricht hier von XIoT, kurz für Extended Internet of Things) umfassend zu inventarisieren. Eine solche Inventarisierung soll Klarheit schaffen, indem sie tief in ICS-Subnetze (Industrial Control System, Industriesteuerung) eindringt und mittels Tests und Abfragen alle XIoT-Geräte unabhängig vom Protokoll identifiziert und mit einem Fingerabdruck versieht. Dazu ermittelt sie Geräteinformationen zu Gerätetyp, Hersteller, Standortname, Geräteklasse, Stufe im Purdue-Referenzmodell, Standort, Protokoll, Betriebssystem et cetera. Erst dieser Scan ermöglicht laut CrowdStrike den erforderlichen tiefen Einblick in die Angriffsfläche und den potenziellen Schaden im Fall eines Angriffs.
Viele Experten warnen jedoch: So dringend notwendig der Überblick über den IT- und OT-Bestand auch ist, alle Assets zu erfassen wird oft nicht vollständig gelingen. Die logische Konsequenz: Das Securityteam eines Industrieunternehmens muss Fähigkeiten aufbauen, um mit den Waffen der Cyberkriminellen mitzuhalten. Letztlich geht es darum, im IT- wie im OT-Bereich ebenso schnell wie die Angreifer herausfinden zu können, wo das Unternehmen welche verwundbaren Stellen hat – und schnell darauf zu reagieren.
Dass sich diese Reaktion in der Industrie als äußerst schwierig gestaltet, liegt längst nicht nur an den erwähnten hartnäckigen Altgeräten. Auch bei aktuellen Systemen stellt das Patchen hier anders als in reinen IT-Umgebungen eine große Herausforderung dar. Schließlich ist mit Sicherheit im OT-Kontext traditionell vorrangig Betriebssicherheit gemeint: Die Anlage soll möglichst ununterbrochen laufen. Deshalb betonen OT-Experten die Schlüsselrolle eines risikobasierten Schwachstellenmanagements: Insbesondere in der Industrie geht es laut Claroty eben nicht darum, jede bekannte Schwachstelle zu schließen, sondern zu prüfen, wie wahrscheinlich es ist, dass Angreifer die Lücken in den eigenen Systemen ausnutzen. Auf der Basis dieser Erkenntnisse gilt es dann, gezielt Abhilfe zu schaffen – oder aber, falls dies nicht geht, als Ausgleich zumindest Kontrollmechanismen zu etablieren.
Laut Cirosec-Chef Strobel ist ASM im Industriekontext allerdings nur bedingt hilfreich, nimmt doch ASM in der Regel nur extern erreichbare Komponenten in den Blick. Bei OT-Umgebungen sei von außen aber oft gar nichts zu sehen. Zwar werden im Rahmen von Industrie 4.0, Digital Twins et cetera Cloudanbindungen, Schnittstellen oder Fernwartungszugänge eingerichtet, und diese würde ein ASM-System hoffentlich finden. Das sind laut Strobel aber Randprobleme: "Das Kernproblem liegt in der Regel im unternehmensinternen OT- beziehungsweise IT-Netzwerk."
Um Angriffsflächen im Industrieumfeld zu minimieren, geben Securityfachleute immer wieder den gleichen Ratschlag: Als Königsweg – und einzige Alternative, wenn sich ein System nicht oder nicht mehr patchen lässt – gilt die Netzwerksegmentierung, idealerweise entlang der Geschäftsprozesse. Diese Segmentierung sollten Industrieunternehmen laut den Experten möglichst um Schutzmaßnahmen ergänzen, darunter Intrusion-Detection- und Prevention-Systeme, Firewalls und Antivirus-Software für OT-Umgebungen. Als nicht minder wichtig erachten sie eine regelmäßige – besser kontinuierliche – Überwachung und Analyse der Netzwerkaktivitäten.
Und schließlich verweisen Experten auch immer wieder auf jene Angriffsflächen, die mit der Schwachstelle Mensch zu tun haben: Gerade im Industriebereich teilt das Betriebspersonal zum Beispiel gerne Passwörter für eine Anlagensteuerung im Team – ein Alptraum für jeden Sicherheitsverantwortlichen. Setzt ein Industrieunternehmen also das kleine Einmaleins der Cyberhygiene konsequent um, lässt dies den Laubhaufen angreifbarer Stellen schon mal deutlich schrumpfen.
KI unterstützt das ASM
Wie fast überall in der Securitybranche betonen auch beim Thema ASM diverse Hersteller den Nutzen künstlicher Intelligenz (KI). Gemeint sind hier meist nicht LLMs (Large Language Models) und die derzeit heiß diskutierte generative KI, sondern selbstlernende statistische Analysen (maschinelles Lernen, ML). CrowdStrike etwa betont, bereits seit 2011 mit KI zu arbeiten. 2021 hat der US-amerikanische Anbieter mit Exprt.ai ein KI-gestütztes Bewertungssystem vorgestellt, um bei der Bedrohungsabwehr besser Prioritäten setzen zu können. Denn das Exprt.ai-Rating wird anhand des aktuellen Exploit-Status und der Bedrohungsdaten dynamisch angepasst.
Eine gute Nachricht: ML-Unterstützung funktioniert laut Experten wie Sergej Epp von Palo Alto Networks in Industrienetzen viel besser als in der IT, weil OT relativ statische Kommunikationsmuster aufweist. Beobachtet ein ML-gestütztes Securitysystem das OT-Netz über zwei, drei Tage Trainingszeit, so Epp, dann weiß es: Dieses Steuerungsgerät gehört zu diesem Protokoll und dieser Anlage. Anschließend kann das Tool der Firewall automatisiert die Empfehlung geben, in diesem Segment nur das eine Protokoll zuzulassen, um den Wirkungskreis eines Angriffs zu minimieren.
Doch auch LLMs können nach Einschätzung von Security-Experten für Abhilfemaßnahmen von Vorteil sein. Denn sie sind in der Lage, große Mengen an Informationen aus unterschiedlichsten Quellen zusammenzufassen. Diese Fähigkeit der Sprachmodelle, umfassende kontextbezogene Ratschläge zu geben, könnte künftig etwa helfen, Aufgaben der Remediation zu beschleunigen.
Die Grenzen von ASM
"Als Disziplin nimmt ASM die Sichtweise der Angreifer ein. Einige Anbieter beschreiben ihre ASM-Dienste sogar als kontinuierliches Red Teaming", berichtet KuppingerCole in seinem Report. Diese Aussagen treffen laut Cirosec-Chef Strobel aber nicht so ganz zu: "Das muss man relativieren. Eine APT-Gruppierung schaut sich beispielsweise auch die Mitarbeiter eines Unternehmens genau an oder verwendet Spear-Phishing. Das ist bei ASM nicht im Scope."
Insbesondere der Behauptung, ASM erlaube quasi ein automatisiertes Red-Teaming, widerspricht er vehement: "Red Teaming ist etwas ganz anderes!" Denn es ist laut Strobel ein Projekt, das sich mit viel Aufwand über Monate erstreckt, einschließlich Spear-Phishing, Social Engineering, physischer Hardware, die im Unternehmen an die Steckdose angeschlossen wird, eigener Schadsoftware für die Backdoor und so weiter. "Das lässt sich nicht automatisieren", betont er. "Wer so argumentiert, missbraucht den Begriff Red Teaming." Außerdem gehe es beim Red Teaming darum, die Reaktionsfähigkeit des Blue Teams, also der Verteidiger, zu testen – "ein ganz anderes Ziel als bei ASM". Trotz solcher Marketingübertreibungen kann ASM aber auch nach Strobels Einschätzung durchaus nützlich sein, vor allem bei größeren Unternehmen mit Tochtergesellschaften und Auslandsstandorten, denen der Überblick über ihre IT-Umgebung fehlt.
Fazit
Es ist sehr schwierig, alle Angriffsflächen im Blick zu behalten. Davon konnten schon die Nibelungen ein Lied singen. Diesem Lied können wir einige Warnungen entnehmen, die auch heute noch gelten: Am gefährlichsten sind Angreifer, die wie Hagen von Tronje mit Geduld und gründlicher Planung vorgehen, heutzutage Advanced Persistent Threat oder kurz APT genannt. Noch gefährlicher sind sie, wenn sie über detaillierte Kenntnisse zu Angriffsflächen verfügen – nicht zuletzt durch leichtfertig preisgegebene Interna. Last but not least zeigt der Mord an Siegfried: Das Ausnutzen selbst einer kleinen Sicherheitslücke kann fatale Folgen haben, wenn der Angreifer entschlossen und gezielt agiert.
Softwarelösungen und SaaS-Angebote für das Attack Surface Management können die Verteidiger bei der Abwehr unterstützen. Laut Fachleuten spielen ASM-Tools insbesondere in großen, unübersichtlichen und sich laufend wandelnden IT-Landschaften ihre Stärken aus: Sie sind hilfreich, wenn das Lindenlaub vor lauter Bäumen nicht mehr zu sehen ist. Denn sie erleichtern es Securityteams, den Überblick über wild verstreute Lindenblätter zu gewinnen und zeitnah Prioritäten zu setzen, um die jeweils brisantesten Lücken schnellstmöglich zu schließen.
Auch in Industrieumgebungen kann ASM einen Beitrag leisten, zumindest wenn sich das Industrienetz im Rahmen von Industrie-4.0- oder Smart-Factory-Initiativen zum Internet hin öffnet. Gesetzlich vorgeschrieben, etwa in NIS 2, ist zwar ein Cyberrisikomanagement, ASM hingegen nicht. Erlangt ein Unternehmen aber im Rahmen seines Risikomanagements Kenntnis über Angriffsflächen, dann muss es darauf auch reagieren. Schließlich sollen Angreifer keine unnötig große Zielscheibe vorfinden. Zugleich gilt es, der juristischen Keule des Gesetzgebers auszuweichen. Denn gegen diese hilft nicht einmal ein Bad in Drachenblut.