Die Geschwindigkeit, mit der Angreifer zuschlagen, ist beeindruckend und verstörend zugleich. Spezialisierte Scanning-Plattformen wie Shodan und Censys durchsuchen kontinuierlich das gesamte öffentliche Internet. Wenn ein neues System online geht, wird es innerhalb einer Stunde bereits katalogisiert: offene Ports werden identifiziert, Banner-Informationen wie Webserver-Versionen und SSH-Fingerprints erfasst, und die Antwortmuster gegen bekannte Schwachstellendatenbanken verglichen.
Die Forschungsgruppe Unit 42 hat ein eindrückliches Experiment durchgeführt: Sie verteilte 320 Honeypots (Köder-Systeme) mit häufigen Anwendungen wie RDP, SSH, SMB und Postgres über verschiedene Cloud-Provider. Das Ergebnis ist verheerend: 80 Prozent dieser Systeme waren innerhalb von 24 Stunden kompromittiert. Für Systeme mit ausnutzbaren Schwachstellen, Fehlkonfigurationen oder Standard-Passwörtern reicht dieser eine Tag aus, um vollständig übernommen zu werden.
Doch das eigentliche Problem liegt oft im Verborgenen. Viele gefährliche Exponierungen entstehen durch Assets, von denen die eigenen Teams nicht einmal wissen, dass sie öffentlich erreichbar sind. Ein besonders tückisches Beispiel: Eine Logistik-Anwendung serviert JavaScript-Code an Browser-Clients. In diesem Code versteckt sich eine Referenz zu einem Backend-API – nie bewusst exponiert, aber live und völlig ungeschützt. Durch einfache HTTP-Requests lassen sich danach Daten abrufen, ohne dass Authentifizierung erforderlich wäre.
Solche versteckten APIs sind Standardziele für Angreifer-Scanning-Tools, die genau diese Enumerations-Techniken nutzen. Die durchschnittliche Organisation sieht monatlich über 300 neue Dienste in ihrer externen Attack Surface auftauchen – mehr als 20 Prozent der extern erreichbaren Cloud-Services wechseln monatlich.
Das zentrale Problem: Sicherheitsteams halten mit dieser Dynamik nicht Schritt. Bei den meisten Sicherheitsverletzungen stellt sich nachher heraus: “Wir wussten gar nicht, dass das System im Internet erreichbar war.” Ein Asset, das man nicht kennt, kann man weder patchen noch überwachen noch abschalten, wenn es zu Problemen kommt.
Das BSI empfiehlt deutschen Organisationen dringend, ihre externe Attack Surface kontinuierlich zu überwachen und zu inventarisieren. Dies ist nicht nur eine technische Best Practice, sondern auch eine Compliance-Anforderung unter der DSGVO: Unternehmen müssen wissen, welche Systeme Kundendaten verarbeiten und wie diese exponiert sind. Nur wer seine Assets kennt, kann auch angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen.