Exposure Management ist nicht gleich Exposure Management. Die meisten Plattformen folgen einer von vier architektonischen Ansätzen, die fundamentale Unterschiede in ihrer Leistungsfähigkeit mit sich bringen.
Der erste Typ sind sogenannte “Stitched Portfolios” – zusammengesetzte Lösungen, die mehrere akquirierte Produkte integrieren. Sie können nur das erkennen, wofür jedes Einzelprodukt ursprünglich entwickelt wurde. Der zweite Typ sind Aggregatoren, die Daten aus verschiedenen Quellen normalisieren, aber auf die Qualität dieser Eingaben begrenzt bleiben. Der dritte Typ sind Single-Domain-Plattformen, die sich auf ein spezifisches Sicherheitsfeld konzentrieren – etwa Cloud-Sicherheit oder Netzwerk-Schwachstellen. Der vierte Typ sind integrierte Plattformen, die nativ mehrere Expositionstypen erkennen.
Why diese Unterscheidung kritisch ist: CVEs machen nur etwa 25% der Expositionstypen aus, die Angreifer tatsächlich ausnutzen. Fehlkonfigurationen, gecachte Anmeldedaten, übermäßige Berechtigungen und Identity-Schwächen bilden den Rest. Eine Plattform, die nur CVEs aggregiert, hat massive Blindspots.
Doch Abdeckung allein genügt nicht. Die Tiefe der Informationen pro Exposure ist entscheidend. Eine Plattform, die Findings von Dritttools importiert, ist auf deren Metadaten beschränkt – auf deren Aussagen zu Ausnutzbarkeit und Remediation-Hinweisen. Eine nativ arbeitende Plattform kontrolliert jede Informationsschicht selbst.
Die kritischste Schwachstelle vieler Lösungen: Sie können Angriffspfade nicht über Umgebungsgrenzen hinweg modellieren. Ein Angreifer, der Cloud-Credentials On-Premise stiehlt, kann jede Cloud-native Verteidigung umgehen – aber die meisten Plattformen erfassen diesen Cross-Environment-Pfad gar nicht. Ein externes Vulnerability mag isoliert niedrig-priorisiert sein, führt aber zu einem internen Asset mit Weg zu kritischen Systemen? Das ist ein Notfall.
Echte Validierung bedeutet, mehrere Bedingungen pro Exposure zu testen: Wird die vulnerable Library geladen? Ist der Port offen? Ist das Asset erreichbar? Ein CVSS-9.8-Vulnerability, das durch eine Firewall blockiert wird, kann nicht für Lateral Movement genutzt werden – es ist blockiert. Ein Identity-Exposure mit Score 5.5, aber direktem Pfad zum Domain Controller, ist ein Emergency.
Die entscheidende Frage bei der Priorisierung: Gefährdet diese Exposure ein kritisches Asset? Score-basiertes Ranking ignoriert die eigene Umgebung. Effektive Priorisierung beginnt mit den kritischen Assets und arbeitet rückwärts. Eine gute Plattform beweist Ausnutzbarkeit, modelliert den tatsächlichen Angreifer-Weg und zeigt die Verbindung zu Business-kritischen Systemen. In großen Enterprise-Umgebungen reduziert das die Prioritätsliste auf etwa 2% aller Exposures.
Deutsche Unternehmen sollten bei der Evaluation besonders auf drei Punkte achten: Nativ erkannte Exposure-Typen (nicht nur aggregiert), Cross-Environment-Pfadanalyse und Integration von Security Controls wie EDR und Segmentation in die Risikobewertung. Nur so entsteht der notwendige Kontext für eine ehrliche Antwort: Sind wir wirklich sicherer?