Compliance-Lexikon · Praxis
Attack Surface – Praxis
Attack Surface ist im Audit ein Pruefpunkt, der zeigt, ob die Organisation ihre eigene Exposition kennt. Was Auditoren konkret pruefen und welche Evidence benoetigt wird, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Bei einer Pruefung der Attack Surface prueft der Auditor, ob ein vollstaendiges Inventar exponierter Dienste vorliegt und Haertungsmassnahmen nachweisbar umgesetzt sind. Das BAM-Objekt RISK-AS-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Attack-Surface-Inventar fehlt -- kein systematischer Überblick über exponierte Dienste
- Externe Perspektive fehlt -- nur internes Inventar, kein externer Scan
- Haertungsmassnahmen undokumentiert
- Cloud-Assets nicht im Scope des Attack-Surface-Managements
Praxis-Tipp
Für Attack Surface gilt: Der Auditor fragt häufig „Was sieht ein Angreifer aus dem Internet?“ Ein externer Attack-Surface-Scan mit einem Tool wie Shodan oder einem Dienstleister-Report ist die stärkste Antwort -- und offenbart regelmässig Überraschungen.
Umsetzung Schritt für Schritt
Erster Schritt: Internes Asset-Inventar mit allen aktiven Diensten, Ports und Schnittstellen aufbauen. Zweiter Schritt: Externen Attack-Surface-Scan durchführen -- was ist aus dem Internet erreichbar? Dritter Schritt: Haertungsstandards definieren und für alle Systemklassen dokumentieren. Vierter Schritt: Unnoetige Dienste deaktivieren und Ergebnis dokumentieren. Fünfter Schritt: Regelmässige Wiederholung des Scans (quartalsmässig empfohlen).
Evidence-Anforderungen im Audit
Der Auditor erwartet: datiertes Attack-Surface-Inventar, Ergebnisse externer Scans, Haertungsrichtlinien und Nachweise der Umsetzung sowie Massnahmenplan für identifizierte Exponierungen.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und ISO 27001 in 20 Minuten.
Die strategische Einordnung – warum Attack Surface langfristig mehr als ein Inventar-Thema ist – findet sich auf Ebene 3.