Attack Surface Management: Externe Angriffsfläche kennen und reduzieren
Attack Surface Management (ASM) ist der kontinuierliche Prozess, alle extern erreichbaren Assets einer Organisation zu entdecken, zu bewerten und zu überwachen. Dieser Artikel erklärt External ASM (EASM), Asset Discovery-Methoden, Exposure-Bewertung, Integration mit Vulnerability Management und relevante Tools (Shodan, Censys, netlas.io, kommerzielle EASM-Plattformen).
Inhaltsverzeichnis (4 Abschnitte)
“Sie können nicht schützen was Sie nicht kennen.” Attack Surface Management macht ernst damit. Es geht nicht mehr darum ein definiertes Asset-Set zu schützen - es geht darum kontinuierlich alle Wege zu kennen, durch die Angreifer eindringen könnten.
Was ist die Attack Surface?
Attack Surface - Definitionen:
Physical Attack Surface:
→ Physische Zugangs-Punkte: Büros, Serverräume
→ USB-Ports an Workstations
→ Öffentlich zugängliche Terminals
Digital Attack Surface:
External Attack Surface (Perimeter):
→ Alle extern erreichbaren IPs und Domains
→ Öffentliche Web-Apps, APIs, VPN-Endpunkte
→ E-Mail-Server, DNS-Server
→ Cloud Storage (S3, Azure Blobs)
→ Exposed Management Interfaces (RDP, SSH, Kubernetes API)
Internal Attack Surface (nach Initial Access):
→ Interne Systeme nach Überwindung des Perimeters
→ Lateral Movement Targets
Third-Party Attack Surface:
→ Lieferanten, Cloud-Provider, MSPs mit Zugang zu Systemen
→ "Ihr schwächstes Glied ist Ihr Lieferant" (SolarWinds!)
---
Warum ASM so schwierig ist:
"Shadow Assets" - unbekannte Systeme:
→ Alte Test-Server die vergessen wurden
→ Entwickler-VMs in AWS (Kreditkarte ohne IT-Wissen)
→ Cloud-Ressourcen die nach Projekt nicht gelöscht wurden
→ Subdomains auf alten IP-Adressen (Subdomain Takeover!)
→ Akquisitionen: übernommene Unternehmen mit unbekannter IT
Asset-Drift:
→ Heute: 150 externe Assets bekannt
→ Morgen: Entwickler deployt neues Internet-facing Service
→ IT weiß: nichts
→ ASM erkennt sofort: neues Asset entdeckt!
Statistiken:
→ 69% der Organisationen haben eine Datenpanne durch
unbekannte oder vergessene Assets (Mandiant 2024)
→ Durchschnittliches Unternehmen (1000 MA): 500-2000 externe Assets
→ Großkonzern: 50.000+ externe AssetsAsset Discovery
Discovery-Methoden:
1. Passive OSINT (ohne direkten Kontakt zu Zielsystemen):
DNS/Certificate Transparency:
# Alle Subdomains via CT-Log:
curl "https://crt.sh/?q=%.firma.de&output=json" | \
jq '.[].name_value' | sort -u
# Subfinder (aktive + passive Enumeration):
subfinder -d firma.de -all -silent
# amass (sehr umfangreich):
amass enum -passive -d firma.de
Shodan.io:
org:"Firma GmbH" → alle bekannten Assets der Firma
org:"Firma GmbH" port:22 → SSH-Server
org:"Firma GmbH" http.title:"login" → Login-Seiten
ssl.cert.subject.CN:"*.firma.de" → via Zertifikat
Shodan API (Python):
import shodan
api = shodan.Shodan('API_KEY')
results = api.search('org:"Firma GmbH"')
for r in results['matches']:
print(f"{r['ip_str']}:{r['port']} - {r.get('http',{}).get('title','')}")
Censys:
→ certificates.parsed.subject.common_name: "firma.de"
→ Findet alle Zertifikate für die Domain
→ IPv4 + IPv6 Hosts
→ Pro: sehr umfangreiche Scan-Daten
WHOIS + IP-Ranges:
# RIPE NCC für europäische IP-Ranges:
whois -h whois.ripe.net "Firma GmbH"
→ ASN, IP-Ranges der Organisation
# Dann alle IPs in Range:
nmap -sn 185.123.0.0/24 → aktive Hosts
2. Aktive Discovery (direkter Scan):
Port Scanning (nur auf eigene Systeme!):
# Schneller External Scan:
nmap -sV -p 1-65535 --open -T4 185.123.45.0/24
# Top-100 Ports schnell:
nmap --top-ports 100 -sV firma.de
HTTP/HTTPS Enumeration:
# httpx - schnelles HTTP-Probing:
cat subdomains.txt | httpx -title -tech-detect -status-code
# nuclei - Template-basierte Erkennung:
nuclei -l targets.txt -t exposures/configs/ -severity critical,high
3. Tool-Kombination für vollständige Discovery:
# Vollständige EASM-Pipeline (Open Source):
# Schritt 1: Subdomain Discovery
subfinder -d firma.de -o subs.txt
# Schritt 2: Alive-Check + HTTP-Infos
cat subs.txt | httpx -o alive.txt -title -tech-detect
# Schritt 3: Vulnerability Scan
nuclei -l alive.txt -t nuclei-templates/ -severity critical,high -o vulns.txt
# Ergebnis: vollständiges Bild in < 1 StundeExposure Assessment und Risikopriorisierung
Was nach Discovery zu prüfen ist:
Kritische Exposures (sofortiger Handlungsbedarf):
Exposed Management Interfaces:
→ RDP (Port 3389) öffentlich: häufigster Ransomware-Einstieg!
→ SSH (Port 22) ohne Zertifikat
→ Kubernetes API (Port 6443) öffentlich
→ Exposed Database Ports: MySQL 3306, PostgreSQL 5432, Redis 6379
(Redis ohne Auth = Daten gestohlen, RCE möglich)
→ Admin-Panels: Phpmyadmin, Adminer, pgAdmin öffentlich
→ Jenkins, Grafana, Kibana ohne Auth
Subdomain Takeover:
→ Subdomain zeigt auf nicht-existenten CNAME-Ziel
→ Angreifer registriert das Ziel → kontrolliert Subdomain!
# Erkennung:
subzy run --targets subs.txt # Automatische Erkennung
Exposed Cloud Storage:
→ S3 Bucket öffentlich lesbar: kundendaten.firma.de.s3.amazonaws.com
→ Azure Blob öffentlich
→ Erkennung: AWSBucketDump, BlobHunter
# S3 Check:
aws s3 ls s3://firma-kundendaten --no-sign-request
Outdated/Vulnerable Versions:
→ Apache 2.4.49 (CVE-2021-41773, RCE!)
→ Outlook Web Access ohne aktuellem Patch
→ Citrix ADC ungepatcht
→ Erkennung: nuclei mit version-matching Templates
Expired/Weak Certificates:
→ SSL-Zertifikat abgelaufen
→ TLS 1.0/1.1 noch aktiv
→ SHA-1 Zertifikat
# Check:
testssl.sh --full firma.de
---
Risikoscoring Framework:
Score = Base Severity × Exposure × Asset Criticality
Base Severity (CVSS 0-10):
Exposed RDP: 8.0 (High)
SQL Injection: 9.8 (Critical)
Exposure Multiplier:
Internet-facing, no auth: ×3
Internet-facing, with auth: ×1.5
Internal only: ×0.5
Asset Criticality:
Produktionsdatenbank: ×3
Test-Server: ×0.5
Marketing-Website: ×1
Priorisierung: Score > 8 → sofort, 6-8 → diese Woche, 4-6 → diesen MonatEASM-Lösungen
Kommerzielle EASM-Plattformen:
Microsoft Defender External Attack Surface Management:
→ In Microsoft 365 Defender integriert
→ Automatische Asset-Entdeckung für die eigene Organisation
→ Kontinuierliches Monitoring
→ Integration mit Sentinel und Defender for Cloud
Preis: Teil von M365 E5 Security oder Add-on
CrowdStrike Falcon Surface:
→ Ehemals Reposify
→ Breite Asset-Klassen: Zertifikate, Cloud-Assets, Code-Repos
→ Risk-Score pro Asset
→ API für Integration
Palo Alto Cortex Xpanse:
→ Marktführer laut Gartner
→ Globaler Scan: 6 Milliarden+ IPs täglich
→ Automatische Zuordnung zu Organisation
→ SaaS + Zertifikate + Cloud + IoT
Preis: Enterprise-Pricing
Open Source Alternative (Self-Hosted):
OWASP Amass + Nuclei + Custom Dashboard:
→ git clone https://github.com/owasp-amass/amass
→ Täglich cron-job: amass enum → nuclei scan → Report
→ Einfaches Dashboard: Python Flask + SQLite
→ Kosten: 0 EUR + Server-Zeit
---
Integration mit Vulnerability Management:
ASM-Finder → VM-Scanner → Remediation:
1. EASM entdeckt neues Asset (neue IP/Domain)
2. Automatischer Import in Tenable/Qualys
3. Scan getriggert innerhalb 24h
4. Findings → Ticketsystem (JIRA/ServiceNow)
5. Remediation-Tracking
Metriken für ASM:
→ Attack Surface Size: Anzahl externe Assets (Trend!)
→ High-Risk Exposures: Anzahl kritischer Exposures
→ Mean Time to Discover New Assets: wie schnell erkannt?
→ Mean Time to Remediate Exposures: wie schnell behoben?
→ Unknown Assets Discovered: durch EASM gefunden, vorher unbekanntFragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.
17 Publikationen
- Understanding the Privacy Implications of Browser Extensions (2025)
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Security Awareness Trainings - A Scientometric Analysis (2024)
- Understanding Dark Patterns in Chatbots (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Analyzing Cybersecurity Risk with a Phishing Simulation Website (2024)
- The Elephant in the Background: A Quantitative Approach to Empower Users Against Web Browser Fingerprinting (2023)
- On the Similarity of Web Measurements Under Different Experimental Setups (2023)
- Building a Cybersecurity Awareness Program for SMEs (2022)
- Rethinking Cookie Banners: How to Comply with the GDPR and Still not Annoy Users (2022)
- An Empirical Analysis on the Use and Reporting of National Security Letters (2022)
- Comparing Approaches for Secure Communication in E-Mail-Based Business Processes (2022)
- Phish and Chips: Experiences from an Automated Phishing System (2022)
- Digital Risk Management (DRM) (2020)
- Social Media Scraper im Einsatz (2021)
- People, Processes, Technology — The Cybersecurity Triad (2023)
- New Work — Die Herausforderungen eines modernen ISMS (2024)
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
