Compliance-Lexikon · Risiko
Attack Surface
[əˈtæk ˈsɜːfɪs] · auch: Angriffsflaeche, Angriffsoberflaeche
Die Attack Surface bezeichnet die Gesamtheit aller exponierten Einstiegspunkte, ueber die ein Angreifer versuchen kann, in ein System, eine Anwendung oder eine Organisation einzudringen – einschliesslich Netzwerkdienste, Schnittstellen, Benutzeraccounts, Software-Komponenten und physischer Zugangspunkte.
Warum Attack Surface ein Risikosteuerungsbegriff ist
Jeder unnoetig exponierte Dienst, jeder unbenutzte Account, jede nicht gepatchte Schnittstelle ist ein potenzieller Einstiegspunkt fuer Angreifer. Die Attack Surface zu kennen und systematisch zu reduzieren ist eine der wirksamsten Praeventivmässnahmen – und eine regulatorische Erwartung. NIS-2 und ISO 27001 verlangen, dass technische Massnahmen dem Stand der Technik entsprechen. Systemhaertung und Attack-Surface-Reduktion sind anerkannte Best Practices.
Wo Attack Surface gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.8.8 / A.8.20 | Schwachstellenmanagement und Netzwerksicherheit: Reduktion der Angriffsflaeche als implizite Anforderung. |
| NIS-2 / BSIG | § 30 Abs. 2 | Technische Massnahmen muessen dem Stand der Technik entsprechen -- Attack-Surface-Reduktion als anerkannte Praxis. |
| DORA | Art. 9 | IKT-Sicherheitsmassnahmen: Minimierung unnoetig exponierter Dienste und Schnittstellen. |
| BSI IT-Grundschutz | NET.1.1 / SYS.1.1 | Netzarchitektur und Systemhaertung: Reduktion der Angriffsflaeche durch Deaktivierung unnoetig Dienste. |
| CIS Controls v8 | Control 4 | Secure Configuration: Minimierung der Angriffsflaeche durch Haertungsmassnahmen als CIS-Pflicht. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Kein vollständiges Inventar exponierter Dienste und Ports
- Ungenutzte Dienste und Accounts nicht deaktiviert
- Legacy-Schnittstellen ohne Haertung im Betrieb
- Cloud-Assets ohne Attack-Surface-Kontrolle
Dimensionen der Attack Surface
Die Attack Surface umfasst drei Dimensionen: die digitale Angriffsflaeche (Netzwerkdienste, APIs, Webanwendungen, E-Mail, VPN-Endpunkte, Cloud-Ressourcen), die physische Angriffsflaeche (Serverraeume, Endgeraete, USB-Ports, Drucker) und die menschliche Angriffsflaeche (Mitarbeiter als Phishing-Ziele, Social Engineering, Insider Threats). Effektives Attack-Surface-Management adressiert alle drei Dimensionen -- und priorisiert nach Wahrscheinlichkeit und Auswirkung eines Angriffs über den jeweiligen Einstiegspunkt.
Attack-Surface-Reduktion in der Praxis
Systemhaertung (Hardening) ist der erste Schritt: Alle unnoetig laufenden Dienste deaktivieren, Standardpasswoerter aendern, nicht benoetigt Software deinstallieren. Port-Scanning und Asset-Discovery-Tools (Nmap, Shodan, Qualys) identifizieren exponierte Dienste -- sowohl intern als auch extern sichtbar. Regelmässige externe Attack-Surface-Scans aus Angreiferperspektive sind fuer NIS-2-pflichtige Organisationen Best Practice. Cloud-Assets sind besonders anfällig: Fehlkonfigurierte S3-Buckets, offene Security Groups und ungeschützte APIs sind häufige Quellen unbeabsichtigter Exposition.
Nächste Ebene
Attack Surface in der Praxis: Inventar, Scans und Evidence
Wie die Angriffsflaeche inventarisiert, reduziert und im Audit nachgewiesen wird.