In der IT-Sicherheit ist der Begriff "Angriffsoberfläche" bzw. "Angriffsfläche" ein Begriff, den man immer wieder hört. Als Angriffsfläche bezeichnet man im Grunde das, was ein Angreifer attackiert, um an ein bestimmtes Ziel zu kommen. Häufig hört man im deutschsprachigen Raum auch den englischen Begriff: "Attack Surface". Die Angriffsfläche kann dabei digital, physisch oder sozial sein. In der Regel ist die Angriffsfläche umso größer, je mehr Assets ein Unternehmen hat. Das können IP-Adressen, Dienste, Mitarbeiter, Gebäude oder auch Lieferanten sein. Die Angriffsfläche zu minimieren ist ein wichtiger Schritt in Richtung besserer IT-Sicherheit.
Angriffsoberfläche oder Angriffsvektor - was ist was?
Leider hat sich in der Praxis eingebürgert beide Begriffe gleichwertig zu verwenden. Das sorgt jedoch oft für Verwirrung. Man sollte zwischen Angriffsfläche und Angriffsvektor unterscheiden.
- Ein Angriffsvektor ist eine bestimmte Sicherheitslücke, ein E-Mail Anhang, ein schwaches Kennwort oder eine bestimmte Angriffstechnik.
- Die Angriffsfläche hingegen ist eher ein Asset, ein Dienst, eine Website, eine Person oder ein Gebäude, Fenster oder eine Tür - je nach Kontext.
Welche Arten von Angriffsflächen gibt es?
Digitale Angriffsflächen
Wie bereits eingangs erwähnt sind digitale Angriffsoberflächen beispielsweise ASN, CIDR, einzelne IP-Adressen oder bestimmte Dienste, die auf einem Host laufen. Eine Angriffsfläche kann aber auch eine API oder Website sein. Auch ein Login-Formular oder ein Kontaktformular können Angriffsflächen sein. Ein Angreifer kann beispielsweise versuchen schwache Passwörter von Administratoren mittels Brute Force zu erraten (das wäre ein Angriffsvektor).
Physische Angriffsflächen
Im Kontext physischer Penetrationstests bzw. dem Red Teaming wäre ein Gebäude bzw. dessen Zugänge, wie etwa Tore, Fenster oder Türen, eine Angriffsfläche. Auch Personen können Angriffsflächen sein. Ein Angreifer könnte versuchen, sich als Mitarbeiter auszugeben und so Zugang zu einem Gebäude zu erhalten. Innerhalb einer Schutzzone wären Endgeräte, wie Laptops, Smartphones oder Tablets, Angriffsflächen. Auch ein Drucker oder ein Server können Angriffsflächen sein.
Social-Engineering Angriffsflächen
Social Engineering ist ein Spezialfall. In der Regel ist hier die Angriffsoberfläche der Mensch bzw. der Mitarbeiter, Lieferant, Postbote oder sonstige Person, die eine bestimmte Funktion in einem Unternehmen hat. Angreifer versuchen also über bestimmte Methoden (beispielsweise Phishing) etwas von der Zielperson zu bekommen oder sie dazu zu bewegen eine bestimmte Aktion durchzuführen.
Externe Angriffsflächen
Diese Kategorie ist eine Kategorie, die DSecured gerne verwendet. Hierunter fallen Assets, die man schwer kontrollieren kann, weil sie formal nicht der eigenen Zuständigkeit unterliegen. Das können beispielsweise Portale sein, in denen Firmeninterna gespeichert sind, die aber von einer dritten Partei verwaltet werden. Auch das Thema Supply Chain Security fällt in diese Kategorie. Was Lieferanten, Dienstleister oder Partner so treiben, ist oft schwer zu kontrollieren. Man sollte sich aber darauf vorbereiten, dass ggf. genau diese Parteien zum Ziel eines Angriffs werden und so auch das eigene Unternehmen in Mitleidenschaft gezogen wird. Streng genommen gehört diese Kategorie im Grunde zu jeder der anderen drei Kategorien, da sie immer auch eine physische, digitale oder soziale Komponente haben kann.
Attack Surface Management als Lösung
Wenn man etwas schützen will, muss man wissen, dass es existiert. Das ist die Aufgabe von ASM-Software. Hiervon gibt es diverse Unterkategorien, die sich nur auf Untergebiete dieses Themenkomplexes spezialisieren. Ein Beispiel wäre DSecured Argos eASM - hierbei handelt es sich um eine Software, die kontinuierlich versucht die gesamte externe Angriffsoberfläche eines Unternehmens zu erfassen und nach Schwachstellen zu scannen. Auch neue Assets sowie Schatten IT können damit aufgedeckt und überwacht werden. Das oberste Ziel ist hier die Reduzierung der Angriffsfläche bzw. die Minimierung der Risiken. Mit Hilfe der zur Verfügung gestellten Daten von Software dieser Art, lassen sich auch Penetrationstests und Red Teamings effizienter durchführen.
Tipps zum Minimieren der Angriffsoberfläche
Was sich einfach anhört, ist in der Praxis oft schwer umzusetzen - je größer ein Unternehmen, desto größer die Angriffsfläche, desto mehr Verantwortliche existieren. Der erste Schritt in die richtige Richtung ist eigentlich immer der Versuch sich eine Übersicht zu verschaffen und eine Asset-Liste anzulegen. Hierfür gibt es diverse Tools und Dienstleister (so wie uns). Im zweiten Schritt macht es oft Sinn die "einfachen" Dinge umzusätzen - 2FA ist hier ein Begriff, der näher beleuchtet werden sollten. Anschließend kann man sich in Detailarbeit verlieren - wichtige Schritte hierbei ist die Stilllegung alter irrelevanter Dienste, das Patchen von Systemen und das regelmäßige Scannen der Angriffsfläche in Kombination mit Penetrationstests, Red Teaming und Schulungen.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.