Intruder zufolge stehen exponierte Datenbanken an der Spitze der häufigsten Angriffsflächen der vergangenen zwölf Monate. Mehr als ein Viertel der untersuchten Organisationen stellte MySQL offen ins Internet, bei Postgres war demnach etwa jede sechste Organisation betroffen. Öffentlich erreichbare Datenbanken seien seit Langem ein Ziel opportunistischer Angreifer, so das Unternehmen.

Als Beispiel verweist Intruder auf die Ransomware-Kampagne PLEASE_READ_ME aus dem Jahr 2020. Dabei wurden nach Angaben des Unternehmens mehr als 250.000 MySQL-Datenbanken kompromittiert, indem schwache Zugangsdaten per Brute-Force ausprobiert wurden. Auch MongoDB und Elasticsearch seien in ähnlicher Weise ins Visier geraten.

Auf Rang drei der häufigsten Exponierungen landete API-Dokumentation — noch vor RDP, was Intruder nach eigenen Angaben überrascht hat. Zwar seien manche API-Dokumentationen absichtlich öffentlich, häufig würden Organisationen aber Unterlagen übersehen, die zu internen oder administrativen APIs gehören und nie auffindbar sein sollten. Öffentlich einsehbare API-Dokumentationen könnten aus ansonsten schwer zu findenden Schwachstellen klar dokumentierte Angriffspfade machen, warnt das Unternehmen.

RDP folgt in der Auswertung auf Platz fünf. Intruder bezeichnet das als besonders problematisch, weil der Dienst in der Vergangenheit immer wieder als Vektor für den Erstzugang bei Ransomware-Angriffen gedient habe. Als historisches Beispiel nennt das Unternehmen BlueKeep aus dem Jahr 2019, wodurch damals fast eine Million Systeme unmittelbar ausnutzbar gewesen seien. Das Erraten von Zugangsdaten bei offen erreichbarem RDP gehöre weiterhin zu den verlässlichsten Methoden, mit denen Ransomware-Akteure in Umgebungen eindringen.

Die übrigen Dienste in der Top-10-Liste sind laut Intruder SNMP, UPnP, NTP und RPC. Dabei handele es sich um ältere Dienste, die für interne Netze entwickelt wurden und nie dafür gedacht waren, direkt aus dem Internet erreichbar zu sein.

Intruder ordnet die Ergebnisse auch als Kritik an einer stark auf Patching fokussierten Sicherheitsstrategie ein. Viele Teams behandelten das Einspielen von Updates als Priorität. Bei großen Teilen der beobachteten Exponierungen — darunter Datenbanken, Admin-Panels und ältere Netzwerkdienste — stelle sich jedoch zunächst die grundlegendere Frage, warum diese Systeme überhaupt erreichbar seien. Genau dort setze die Reduzierung der Angriffsfläche an, die nach Einschätzung des Unternehmens in vielen Organisationen nicht die gleiche Aufmerksamkeit erhalte wie das Management von Schwachstellen.

Die vollständigen Ergebnisse, einschließlich Aufschlüsselungen nach Unternehmensgröße und Branche, hat Intruder im „2026 Attack Surface Management Index“ veröffentlicht.