Neue kritische Sicherheitslücken lassen sich nicht vorhersagen. Doch wie stark Ihre Umgebung exponiert ist, wenn eine solche Lücke öffentlich wird, können Sie sehr wohl kontrollieren. Das Problem: Die meisten Sicherheitsteams unterschätzen ihre tatsächliche Internet-Exposition erheblich.
Je größer und unkontrollierter eine Angriffsfläche ausfällt, desto mehr Exploitationsmöglichkeiten entstehen. Und das Zeitfenster zur Reaktion schrumpft rapide. Bei besonders kritischen Schwachstellen können zwischen Veröffentlichung und aktiver Ausnutzung nur 24 bis 48 Stunden liegen. Zero Day Clock prognostiziert, dass diese Zeitspanne bis 2028 auf Minuten zusammenschrumpfen wird.
Das ist äußerst knapp, wenn man bedenkt, was vorher noch geschehen muss: Scans durchführen, auf Ergebnisse warten, Tickets erstellen, Prioritäten absprechen, Patches einspielen und verifizieren. Trifft die Meldung außerhalb der Geschäftszeiten ein, verlängert sich alles noch erheblich.
In vielen Fällen müssen verwundbare Systeme gar nicht ins Internet exponiert sein. Mit vollständiger Sicht auf die Angriffsfläche können Teams unnötige Exposures von vornherein eliminieren und vermeiden damit den ganzen Stress, wenn neue Schwachstellen auftauchen.
Das ToolShell-Beispiel zeigt die Realität
ToolShell war eine unauthentifizierte Remote-Code-Execution-Lücke in Microsoft SharePoint. Wer Zugang hatte, konnte Code auf dem Server ausführen — und weil SharePoint mit Active Directory verbunden ist, landete man sofort in einem hochsensiblen Bereich des Netzwerks.
Dies war eine Null-Day-Lücke. Angreifer exploitierten sie bereits, bevor ein Patch existierte. Microsoft kündigte das Loch an einem Samstag an und bestätigte, dass chinesische Gruppen mit staatlicher Unterstützung es schon zwei Wochen lang ausnutzten. Zum Zeitpunkt der öffentlichen Warnung starteten opportunistische Cyberkriminelle bereits Scans nach exponierten SharePoint-Instanzen im großen Stil.
Intruders Recherche offenbarte damals tausende öffentlich zugängliche SharePoint-Instanzen — obwohl SharePoint überhaupt nicht ins Internet gehört. Jede einzelne Exposition war unnötig, jeder ungepatche Server eine offene Tür.
Warum werden solche Exposures übersehen?
In typischen Sicherheitsscans ertrinken informative Befunde unter hunderten kritischer, hoher und mittlerer Probleme. Aber genau diese informativen Einträge können echte Exposures enthalten wie:
— Offene Verwaltungsinterfaces (SharePoint, Managementports) — Öffentlich erreichbare Cloud-Services ohne Authentifizierung — Vergessene Subdomains mit sensiblen Funktionen
Aus Scan-Perspektive macht die Klassifizierung als “informativ” manchmal Sinn. Wenn der Scanner im gleichen privaten Subnetz sitzt wie die gescannten Systeme, ist eine exponierte Applikation tatsächlich oft gering kritisch. Aber sobald dieselbe Applikation ins Internet ragt, trägt sie echtes Risiko — ganz ohne bekannte Schwachstelle. Noch nicht, würde man sagen.
Das Tückische: Traditionelle Scan-Berichte behandeln beide Fälle identisch. Die echten Risiken verschwinden in den Rissen.
Drei Säulen der Angriffsflächen-Reduzierung
Bevor Sie Ihre Angriffsfläche verkleinern können, brauchen Sie Klarheit: Was besitzt Ihre Organisation und was ist von außen erreichbar? Das beginnt damit, Shadow IT zu identifizieren — Systeme, die Ihre Organisation betreibt, aber nicht aktiv überwacht.
Die Beseitigung dieser Blindflecken erfordert drei Maßnahmen:
- Vollständige Asset-Erfassung: Alle Systeme inventarisieren und deren externe Erreichbarkeit prüfen.
- Fokussierte Scans: Regelmäßig scan Sie nicht nur die bekannten, sondern auch potentiell vergessenen Bereiche.
- Klare Ownership: Jemand muss verantwortlich sein — nicht nur in Krisenfällen, sondern kontinuierlich.
Risiko als Kategorie etablieren
Der nächste Schritt besteht darin, Angriffsflächen-Exposition als eigenständige Risikokategorie zu behandeln.
Dafür brauchen Sie eine Erkennungsfähigkeit, die identifiziert, welche informativen Befunde real exponiert sind, und weist ihnen angemessene Schweregrade zu. Eine offene SharePoint-Instanz könnte beispielsweise legitim als mittleres Risiko eingestuft werden.
Es bedeutet auch, dieser Arbeit in Ihrer Priorisierung Raum zu geben. Wenn strategische Projekte wie Angriffsflächen-Reduzierung ständig gegen dringende Patches verlieren, werden sie nie passieren. Das könnte bedeuten: Jeden Quartal Zeit für systematische Exposure-Überprüfungen reservieren oder klare Verantwortlichkeiten schaffen.
Kontinuierliches Monitoring ist unverzichtbar
Angriffsflächen-Reduzierung ist kein einmalig durchgeführtes Projekt. Exposition ändert sich ständig — eine Firewall-Regel wird korrigiert, ein neuer Service deployt, eine Subdomain wird vergessen. Ihr Team muss diese Änderungen schnell erkennen.
Vollständige Vulnerability-Scans brauchen Zeit und tägliche Durchläufe sind meist nicht machbar. Tägliches Port-Scanning ist besser geeignet. Es ist leichtgewichtig, schnell und ermöglicht, neu exponierte Services zeitnah zu erkennen. Falls jemand versehentlich Remote Desktop freigeben würde, erfahren Sie es am gleichen Tag — nicht beim nächsten geplanten Scan, der Wochen entfernt sein könnte.
Proaktiv statt reaktiv
Wenn unnötige Services gar nicht erst exponiert werden, landen sie deutlich weniger häufig in den Exploitationswellen nach großen Disclosures. Das bedeutet: weniger Überraschungen, weniger hektische Notfallmaßnahmen und mehr Zeit, um bewusst auf neue Schwachstellen zu reagieren.