.jpg)
Sicherheitsteams mangelt es nicht an Tools für das Expositionsmanagement. Es gibt Bestandsverzeichnisse, Schwachstellenscanner, EDR-Lösungen, cloud , Identitätsmanagementsysteme, Plattformen für das Attack Surface Management (ASM) und SIEM-Systeme. Jedes dieser Tools liefert einen Einblick in die Umgebung.
Und doch stellen wir uns immer wieder dieselbe Frage: Wo genau sind wir gerade gefährdet?
Wo liegt also das Problem? Sollten wir mit all diesen Tools nicht erkennen können, was neu konfiguriert werden muss oder wo Zugriffsrechte entzogen werden müssen? Das Problem ist nicht, dass es an Daten mangelt, sondern dass diese Daten nicht klar genug sind.
Das Problem ist nicht die Sichtbarkeit, sondern die Zersplitterung
Die meisten Sicherheitsprogramme basieren auf Systemen, die für den eigenständigen Betrieb ausgelegt sind. Jedes Tool dient einem anderen Zweck. Ein CAASM-Tool erfasst Ressourcen. Ein Schwachstellenscanner deckt Schwachstellen auf. Ein weiteres protokolliert Aktivitäten. Ein weiteres sorgt für die Durchsetzung von Richtlinien. Sie alle sind nützlich. Doch keines von ihnen spiegelt die Umgebung so wider, wie sie tatsächlich funktioniert, und hat direkten Einfluss auf die Sicherheitslage eines Unternehmens.
Wenn CISOs oder Sicherheitsverantwortliche Fragen gestellt werden wie:
- Sind wir gerade gefährdet?
- Welches Risiko ist wirklich entscheidend?
- Welche Auswirkungen wird dies auf das Unternehmen haben?
Die Antworten liegen nicht ohne Weiteres auf der Hand. Sie müssen zusammengetragen werden und werden oft unter Zeitdruck manuell über mehrere Systeme hinweg ermittelt. Dies zwingt CISOs oder Führungskräfte dazu, Entscheidungen mit weitreichenden Konsequenzen zu treffen, ohne über verlässliche Belege zu verfügen.
Moderne Umgebungen haben das alte Modell überholt
Die Herausforderung liegt nicht in den Werkzeugen, sondern darin, dass sich das Umfeld selbst verändert hat.
Unternehmen sind heutzutage von Natur aus dynamisch. Systeme werden ständig hoch- und heruntergefahren. Der Zugriff wird programmgesteuert gewährt. Daten fließen ohne klare Grenzen zwischencloud, SaaS- und Identitätssystemen hin und her. Gleichzeitig gibt es eine Vielzahl nicht-menschlicher Identitäten (NHIs). Dienstkonten, APIs, Workloads und KI-gesteuerte Prozesse sind mittlerweile in der gesamten Umgebung aktiv und übertreffen die Anzahl der Menschen oft bei weitem.
Angreifer haben sich an diese Realität angepasst. Sie verlassen sich nicht mehr nur darauf, eine einzelne Schwachstelle auszunutzen oder die Sicherheitsperimeter zu durchbrechen. Sie bewegen sich durch die Umgebung und schaffen Angriffspfade, indem sie legitime Zugriffe und die Ausweitung von Berechtigungen nutzen, sich in das normale Verhalten einfügen und Lücken zwischen den Systemen ausnutzen.
Infolgedessen ist die Exposition nicht mehr statisch. Sie entsteht fortwährend durch das Verhalten und die Interaktion von Systemen.
Herkömmliche Ansätze zur Verwaltung von Sicherheitsrisiken, wie Identitäts- oder cloud , haben nicht Schritt gehalten. Sie stützen sich auf unvollständige Einblicke in die Umgebung, was bedeutet, dass weiterhin blinde Flecken bestehen, insbesondere bei nicht verwalteten Ressourcen, Identitäten und cloud . Sie betrachten Sicherheitsrisiken als eine Liste von Problemen und nicht als etwas, das im Kontext steht. Und sie spiegeln selten wider, wie sich moderne Angriffe systemübergreifend ausbreiten.
Was muss sich ändern?
Wir müssen von statischen Messungen hin zu einem kontinuierlichen Verständnis übergehen. Und das beginnt damit, dass wir die Sicherheitsrisiken aus einer anderen Perspektive betrachten. Anstatt zu schauen, was auf dem Papier steht, sollten wir uns ansehen, was tatsächlich vor sich geht. Nicht nur, wer Zugriff hat, sondern auch, wie dieser Zugriff genutzt wird. Nicht nur, wo Schwachstellen liegen, sondern auch, ob sie im Kontext realer Aktivitäten ausgenutzt werden können. Darüber hinaus müssen wir die Validierung von Sicherheitsrisiken durchsetzen.
Dies ist ebenso ein Perspektivwechsel wie ein technologischer Wandel.
Das bedeutet, dass man umziehen muss:
- Von Bestandslisten zu aktiven Umgebungen
- Von vereinzelten Befunden zum vernetzten Risiko
- Von Annahmen zu Beweisen
Belichtungsdaten in tatsächliche Belichtung umsetzen
Um mit den heutigen Risiken Schritt zu halten, benötigen Sicherheitsteams eine Möglichkeit, ihr Verständnis auf das zu stützen, was tatsächlich auf der gesamten Angriffsfläche geschieht. Dies erfordert eine Evidenzebene oder etwas, das die tatsächliche Kommunikation, das tatsächliche Verhalten und die tatsächlichen Interaktionen zwischen Systemen widerspiegelt.
Betrachtet man das Risiko aus dieser Perspektive, wird das Bild klarer. Teams können erkennen, was aktiv ist, was nicht verwaltet wird, wie Systeme miteinander verbunden sind und wo sich Risiken in entscheidender Weise abzeichnen. Anstatt eine Vielzahl von Informationen zusammenzuflicken, erhalten wir einen durchgängigen Überblick über das Risiko, während es sich entwickelt.
Wie sieht das in der Praxis aus?
Wenn das Risikomanagement die Realität widerspiegelt, ändern sich die Ergebnisse auf wesentliche Weise.
Sicherheitsverantwortliche können kritische Fragen mit Sicherheit und nicht nur mit Schätzungen beantworten. Die Teams verbringen weniger Zeit mit der Datenkorrelation und mehr Zeit damit, auf das Wesentliche zu reagieren. Und Unternehmen können anhand von Belegen nachweisen, dass das Cyberrisiko im Laufe der Zeit sinkt. Dies ist besonders wichtig angesichts des Drucks, unter dem CISOs heute stehen, um nachzuweisen, dass die Kontrollmaßnahmen wirksam sind und sich die Sicherheitslage kontinuierlich verbessert – auch außerhalb von Audits.
Kurz gesagt: Lasst uns unseren Umgang mit der Belichtung ändern
Das Risikomanagement versagt nicht, weil es den Sicherheitsteams an Engagement oder Investitionen mangelt. Es versagt, weil das Modell nicht mit den Entwicklungen in modernen Umgebungen und den neuen Angriffsmethoden Schritt gehalten hat.
Um dieses Problem zu beheben, müssen wir uns von einer fragmentierten Sichtweise lösen und zu einem einheitlichen, evidenzbasierten Verständnis der Exposition gelangen.