Angriffsvektor und Angriffsfläche

Angriffsvektor und Angriffsfläche

Wesentliches in Kürze

  • Ein Angriffsvektor in der IT bezeichnet einen bestimmten Weg oder eine Technik für einen Angriff auf Computer, Netzwerkgeräte oder Softwaredienste.
  • Wenn ein IT-System ein oder mehrere Angriffsvektoren hat, spricht man auch von der Angriffsfläche des IT-Systems.
  • Je mehr Angriffsvektoren vorhanden sind, desto anfälliger ist das IT-System für Angriffe von Cyberkriminellen. Unter Ausnutzung eines oder auch mehrerer Angriffsvektoren können sie das IT-System angreifen, um Daten zu verändern, löschen oder zu entwenden.

1. Was ist ein Angriffsvektor?

In der IT-Sicherheit ist ein Angriffsvektor (engl. Attack Vector) ein Weg oder eine Technik, mit der ein Angreifer eine Sicherheitslücke ausnutzt, um einen Angriff auf ein Computersystem oder eine Softwarekomponente durchzuführen.

Die Summe aller Angriffsvektoren eines IT-Systems wird auch als Angriffsfläche (engl. Attack Surface) bezeichnet. Je mehr Angriffsvektoren ein IT-System bietet desto größer ist seine Angriffsfläche. Und je größer die Angriffsfläche, desto mehr Optionen hat ein Angreifer das IT-System zu kompromittieren – also um Daten zu manipulieren, löschen, zu stehlen oder um die Kontrolle zu übernehmen.

Häufig ist es nötig mehrere Angriffsvektoren hintereinander oder auch gleichzeitig auszunutzen damit ein Angreifer das gewünschte Ziel erreichen kann.

Beispiele von Angriffsvektoren

Beispiel: Zum Stehlen von Daten kann ein Angreifer die folgenden Angriffsvektoren hintereinander ausnutzen:

  • Ausnutzen einer SQL-Injection-Schwachstelle in der Webanwendung, um Zugriff mit normalen Benutzerrechten auf den Webserver über eine Reverse Shell zu bekommen.
  • Mit diesen Benutzerrechten kann eine Fehlkonfiguration in der DMZ-Firewall und eine nicht gepatchte Schwachstelle im Datenbankserver ausgenutzt werden, um normale Benutzerrechte auf dem Datenbankserver zu bekommen.
  • Mit den Benutzerrechten auf dem Datenbankserver lässt sich eine Fehlkonfiguration im Linux-Betriebssystem des Datenbankservers ausnutzen, um die Zugriffsrechte auf administrative Rechte auszuweiten. Damit hat der Angreifer alle Voraussetzungen geschaffen, um die komplette Datenbank auf einen externen Server ins Internet zu kopieren.

2. Wie werden Angriffsvektoren ausgenutzt?

Das grundsätzliche Vorgehen zum Ausnutzen von Angriffsvektoren ist häufig wie folgt:

  1. Die Cyberkriminellen identifizieren ein Zielsystem, in das sie eindringen oder das sie ausnutzen wollen.
  2. Die Cyberkriminellen verwenden Tools zur Datenerfassung und Beobachtung wie OSINT, E-Mails, Malware oder auch Social-Engineering, um mehr Informationen über das Zielsystem zu erhalten.
  3. Die Cyberkriminellen nutzen die erhaltene Information, um die Angriffsfläche mit den Angriffsvektoren des Ziels zu ermitteln. Damit werden dann die besten Angriffsvektoren bestimmt und die Werkzeuge entwickelt diese dann auch auszunutzen
  4. Mit den präparierten Mitteln werden die Sicherungsmaßnahmen durchbrochen und eine unauffällige Malware installiert. Diese initiale Malware enthält häufig noch keine Schadfunktion, sondern nimmt nur Kontakt mit einem zentralen Command & Control Server der Cyberkriminellen auf. Dann legt sich diese Malware „schlafen“ und wartet auf Befehle.
  5. Danach wird begonnen das Netzwerk zu überwachen, Passwörter und andere Zugänge per Keylogger gestohlen sowie persönlichen und finanziellen Daten in das Internet zu übertragen. Auch können in weiteren Schritten andere Computer infiziert werden, die weiter innen im Netzwerk stehen. In diesem Fall wird der initiale Rechner dann sogar häufig als Kommunikations-Proxy genutzt.

In der Umkehrung – also um Angriffsvektoren vor einer Ausnutzung zu schützen – müssen Richtlinien und Prozesse eingeführt. Damit sollen Angreifer, bösartige Hacker und Kriminelle wirkungsvoll daran gehindert werden Informationen über Angriffsvektoren zu finden und diese auszunutzen.

3. Welche Rolle spielen Angriffsvektoren und die Angriffsfläche?

Je nach Ziel, das ein Angreifer erreichen will, spielt die Prüfung der Angriffsfläche eine entscheidende Rolle.

Bei einem Server, der nicht aus dem Internet erreichbar ist, fällt die Angriffsoberfläche vollkommen anders aus als bei einem öffentlichen Webserver Auch unterscheiden sich häufig die Wahl der Mittel je nach Angriffsziel und der möglichen Angriffsvektoren sowie deren Bewertung hinsichtlich der Erfolgsaussichten, des Aufwandes sowie des Risikos entdeckt zu werden.

Cyberkriminelle verdienen Geld mit illegalen Angriffen auf IT-Systeme oder der dort laufenden Softwaredienste um Bankinformationen, persönliche Daten, Kundenlisten und Firmengeheimnisse zu stehlen. Die Angriffsziele sind dabei häufig IT-Systeme in Unternehmen, beispielsweise der Desktop der Mitarbeiter. Angriffsvektoren beinhalten regelmäßig Social-Engineering-Aktivitäten wie Phishing.

Einige Cyberkriminelle haben aber noch andere, raffiniertere, Methoden entwickelt, um ihre Angriffe zu Geld zu machen, beispielweise die Kompromittierung hunderttausender IT-Systeme, um ein Botnetz aufzubauen, um damit Spam zu versenden, verdeckte Cyberangriffe durchzuführen, Kryptowährungen zu schürfen oder einfach nur zur kostenpflichtigen Weitervermietung des Botnetzes an andere Kriminelle für deren Zwecke. Bei der großen Masse an IT-Systemen sind Angriffsvektoren interessant die hoch-automatisiert ablaufen können, beispielsweise das Scannen des Internets nach IoT-Geräten mit schwacher Sicherheitskonfiguration wie nicht veränderter Standardpasswörter. Beispielsweise hat sich das Mirai-Botnetz über aus dem Internet erreichbare IoT-Geräte und Standardpasswörter ausgebreitet.

4.Typische Angriffsvektoren und Beispiele

Phising nach Passwörtern

Benutzername und Passwort sind weiterhin die am häufigsten verwendeten Zugangsdaten. Als kompromittierte bezeichnet diese, wenn sie für Unbefugte zugänglich geworden sind. Phishing ist eine Technik aus dem Bereich des Social-Engineering bei der eine E-Mail/SMS/Nachricht an eine Person geschickt wurde mit der Aufforderung die Zugangsdaten auf einer gefälschten Website einzugeben. Die gefälschte Website übertragt die gestohlenen Zugangsdaten dann an den Angreifer. Je nach Vorbereitungsaufwand und „Realismus“ ist dieses Vorgehen leider auch heute noch recht wirkungsvoll.

Eine sehr effektive Gegenmaßnahme dieses Angriffsvektors ist die Nutzung einer Zwei-Faktor-Authentisierung (2FA) für Logins.

Ausnutzen von Fehlkonfigurationen

Fehler in der Systemkonfiguration können beispielsweise nicht deaktivierte Setupseiten oder eingerichtete Benutzer mit Standardbenutzernamen und -kennwörtern sein. Auch die nicht genügende Härtung von erreichbaren IT-Systemen, nicht deaktiviere Systemdienste oder eine fehlerhafte Firewall-Konfiguration können darunterfallen. Diese Fehlkonfigurationen stellen für Angreifer einen einfachen Einstiegspunkt dar, den sie ausnutzen können.

Jüngste Malware-Angriffe wie Mirai (Nutzung von Standardpasswörtern über SSH auf IoT Geräten) verdeutlichen diese Bedrohung.

Als Gegenmaßnahme bieten sich hier vernünftige Härtungsregeln an. Auch Penetrationstests können bei der Prüfung auf solche Angriffsvektoren helfen.

Ausnutzen von Schwachstellen in nicht gepatchter Software

Wenn ein IT-System, Netzwerkgerät oder Anwendung eine nicht gepatchte Sicherheitslücke aufweist, kann ein Angreifer dies Ausnutzen, um sich unbefugten Zugang zu verschaffen.

Da echte Zero-Day Angriffe sehr selten sind eignet sich als effektive Gegenmaßnahme das zeitnahe Einspielen aller Software-Patches und Updates.

Ausnutzen von Insiderwissen

Böswillige oder verärgerte Mitarbeiter können sich mit ihren Rechten in Netzwerke und Systeme verbinden, um sensible Informationen wie Kundenlisten (PII) und geistiges Eigentum (IP) zu erlangen.

Gegenmaßnahmen sind hier zugegebenermaßen gar nicht so einfach. Die Umsetzung des „Need-to-know“ Prinzips für die Erteilung von Zugriffsrechten hilft hier aber dennoch weiter da damit sichergestellt wird, dass jeder Mitarbeiter wirklich nur auf die Informationen Zugriff hat welche für die aktuellen Tätigkeiten notwendig sind. Insofern lässt sich zumindest der Schaden in solchen Fällen begrenzen. Prinzipiell könnte auch UBA (User Behavior Analytics) zum Erkennen helfen, in der Praxis ist eine saubere Umsetzung aber recht herausfordernd.

DDoS-Angriffe

Bei DDoS-Angriffen werden die Opfer mit gefälschten Anfragen überschwemmt, so dass ihr IT-System oder das Netzwerk unbrauchbar wird. Damit sind die dort verfügbaren Dienste für die legitimen Empfänger nicht mehr verfügbar. Diese Art von Angriffen zielen häufig auf die Webserver von Finanz-, Handels- und Regierungsorganisationen ab.

Die wichtigsten DDoS-Gegenmaßnahmen sind die Nutzung eines bandbreitenstarken Cloud-Anbieters der den Netzwerkverkehr vorfiltert („Scrubbing-Center“), die Nutzung von regional verteilten Rechenzentren und auch eigene Filtermaßnahmen, beispielsweise über eine Web-Application-Firewall (WAF).

Eindringen in Gebäude

Bei gezielten Angriffen setzen Angreifer häufig physische Angriffsvektoren ein, um starke digitale Kontrollen zu umgehen. Da die Kriminellen damit rechnen, dass IT-Sicherheitsexperten den meisten Aufwand im Cyberbereich investiert haben, wird bei gezielten Angriffen gerne oft auf das Umgehen der physischen Sicherheitsbarrieren wie Türen/Fenster umgestellt. Dazu gehören auch Techniken des Social-Engineerings, um beispielsweise dem Sicherheitsteam an der Eingangspforte einen Servicemitarbeiter oder Handwerker vorzugaukeln. Oder ein Angreifer gibt sich als neuer Angestellter aus und verlässt sich darauf, dass ein echter Angestellter ihm höflich die Tür aufhält, wenn sie zusammen das Firmengebäude betreten.

5. Wie reduziere ich das Risiko, dass Angriffsvektoren ausgenutzt werden?

Kriminelle verwenden eine große Zahl von Methoden, um in die IT-Systeme von Unternehmen einzudringen. Klar, diese Methoden werden ständig weiterentwickelt. Die Aufgabe der Teams für IT-Sicherheit und IT-Betrieb ist es Richtlinien, Werkzeuge und Techniken umzusetzen, die am wirksamsten vor diesen Angriffen schützen. Die nachfolgende Liste soll dabei einige wirksame Schutzmechanismen aufzeigen:

  • Umsetzung wirksamer Passwortrichtlinien. Stellen Sie sicher, dass Benutzernamen und Passwörter die richtigen Kriterien für Länge und Stärke erfüllen und dass dieselben Anmeldedaten nicht für den Zugriff auf mehrere Anwendungen und Systeme verwendet werden. Verwenden Sie eine Zwei-Faktor-Authentifizierung (2FA) wo immer möglich, insbesondere für den VPN-Zugriff auf das interne Netzwerk und für administrative Berechtigungen.
  • Installieren aller Updates. Sofort. Nicht nächsten Monat. Jetzt. Wann immer ein Firmware- oder Software-Update herausgegeben wird, sollte die IT-Abteilung dieser Aktualisierung umgehend installieren. Sehr häufig sind in solchen Updates auch Sicherheitspatches „versteckt“, welche die Hersteller nicht an die große Glocke hängen. Die meisten ernsthaften Sicherheitsvorfälle beinhalten aktuell das Ausnutzen einer irgendwie nicht zeitnah genug gepatchten Schwachstelle.
  • Installieren einer leistungsfähige EDR-Software (Edpoint-Detection-Response). Damit kann die Sichtbarkeit auf den Endsystemen erhöht, ungewöhnliches Verhalten erkannt und Incident-Response-Maßnahmen schnell eingeleitet werden. Diese Software vollbringt zwar keine Wunder, dennoch werden zufällige regemäßig gestoppt und auch gezielt vorgehende Kriminelle in ihrer Bewegungsfreiheit deutlich eingeschränkt.
  • Regelmäßige Prüfung und Test der IT-Systeme auf Schwachstellen. Mindestens vierteljährlich sollten IT-Schwachstellenprüfungen durchgeführt werden, und eine externe IT-Sicherheitsprüfungsfirma sollte die IT-Ressourcen mindestens jährlich einem Penetrationstest unterziehen. Die daraus gewonnen Erkenntnisse sollten zeitnah umgesetzt werden (regelmäßigen Verbesserung).
  • Trainieren der Benutzer. Alle neuen Mitarbeiter sollten eine umfassende Schulung zu den IT-Sicherheitsrichtlinien und -praktiken erhalten, und bestehende Mitarbeiter sollten jährlich eine Auffrischungsschulung erhalten. Das IT-Personal, insbesondere im Sicherheitsbereich, sollte auf dem neuesten Stand der Sicherheitsrichtlinien und -praktiken sein.
  • Zusammenarbeit mit der Personalabteilung. Mindestens alle zwei bis drei Jahre sollte eine externe Sicherheitsfirma mit der Überprüfung von Schwachstellen im Bereich Social-Engineering beauftragt werden. Bei Sicherheitsvorfällen sollte die IT-Abteilung aber auch Kontakt mit der Personalabteilung suchen, um weiteren Trainings- oder Schulungsbedarf zu erörtern.
  • Verschlüsseln Sie mobile Geräte und mobile Datenträger. Nutzen Sie Herstelleroptionen zur Datenträgerverschlüsselung, beispielsweise Bitlocker für Windows. Denken sie dabei auch an SD-Karten, USB-Sticks und Smartphones mit Unternehmensdaten.
  • Härten Sie Ihre IT. Validieren Sie die Sicherheitskonfiguration für Betriebssysteme, Browser, Security-Software, Firewalls und auch Edge-Geräte wie Sensoren, Smartphones und Router.
  • Sichern physischer Räume. Während die meisten Datenschutzverletzungen und Sicherheitshacks auf die IT abzielen, kann auch in physische Räume eingedrungen werden. Rechenzentren, Server in verschiedenen Unternehmensabteilungen und Außenstellen, medizinische Geräte, Sensoren vor Ort und sogar physische Aktenschränke in Büros sind allesamt Ziele von Hackern. Sie sollten gesichert, geschützt und regelmäßig geprüft werden.

Häufig gestellte Fragen

Ein Angriffsvektor ist ein Weg oder eine Technik, mit der ein Angreifer eine Sicherheitslücke ausnutzt, um in ein IT-System oder eine Softwarekomponente einzudringen. Typische Angriffsvektoren sind Phishing, Fehlkonfigurationen, ungepatchte Schwachstellen, Insiderwissen, DDoS-Angriffe und das physische Eindringen in Gebäude.

Ein Angriffsvektor ist ein einzelner Weg in ein System, die Angriffsfläche ist die Summe aller Angriffsvektoren eines IT-Systems. Je mehr Angriffsvektoren ein System bietet, desto größer ist seine Angriffsfläche – und desto mehr Möglichkeiten hat ein Angreifer, das System zu kompromittieren.

Zu den häufigsten Angriffsvektoren zählen Phishing nach Passwörtern, das Ausnutzen von Fehlkonfigurationen, ungepatchte Software-Schwachstellen, Insiderwissen, DDoS-Angriffe und das physische Eindringen in Gebäude. Häufig werden mehrere Angriffsvektoren hintereinander kombiniert.

Angreifer identifizieren zunächst ein Zielsystem und sammeln über OSINT, E-Mails, Malware oder Social-Engineering Informationen. Damit bestimmen sie die Angriffsfläche und die besten Angriffsvektoren und durchbrechen anschließend die Sicherungsmaßnahmen – oft mit unauffälliger Malware, die Kontakt zu einem Command-and-Control-Server aufnimmt.

Wirksame Schutzmaßnahmen sind starke Passwortrichtlinien mit Zwei-Faktor-Authentifizierung, das sofortige Einspielen aller Updates, EDR-Software, regelmäßige Schwachstellenprüfungen und Penetrationstests, Mitarbeiterschulungen sowie die Verschlüsselung und Härtung von Geräten und physischen Räumen.

Um Daten zu stehlen, kann ein Angreifer zunächst eine SQL-Injection in einer Webanwendung ausnutzen, über eine Fehlkonfiguration der DMZ-Firewall und eine ungepatchte Schwachstelle auf den Datenbankserver gelangen, dort die Rechte bis auf Administrator-Ebene ausweiten und schließlich die gesamte Datenbank kopieren.

Möchten Sie mehr über Ihre Angriffsoberfläche erfahren?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

oder nutzen Sie unser Kontaktformular. Wir freuen uns auf Ihre Anfrage!

Ihre Anfrage

Datenschutz

Auch interessant

CIS Controls kurz erklärt

CIS Controls kurz erklärt

Die CIS Critical Security Controls (CIS Controls) sind eine priorisierte Liste von Schutzmaßnahmen um die häufigsten Cyberangriffe auf IT-Systeme abzuwehren.

Schutzziele der Informationssicherheit

Schutzziele der Informationssicherheit

Die Informationssicherheit soll die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen. Dabei können die zu schützenden Informationen…

Informations­sicherheits­managementsystem (ISMS)

Informations­sicherheits­managementsystem (ISMS)

Ein Information Security Management System (ISMS) definiert Methoden, um die Informationssicherheit in einer Organisation zu gewährleisten.

CVSS (Common Vulnerability Scoring System)

CVSS (Common Vulnerability Scoring System)

Der CVSS Score bietet eine numerische Darstellung (0,0 bis 10,0) des Schweregrads einer Sicherheitslücke in der IT. Wir erklären wie das Common Vulnerability Scoring System funktioniert, wie CVSS…

NTLM-Authentifizierung

NTLM-Authentifizierung

In diesem Artikel erklären wir, was die NTLM-Authentifizierung ist, wie sie funktioniert und wie sie von Angreifern ausgenutzt werden kann.

Top 10 Vulnerability Scanner für 2026

Top 10 Vulnerability Scanner für 2026

Vulnerability Scanner sind automatisierte Tools, mit denen Unternehmen prüfen können, ob ihre Netzwerke, Systeme und Anwendungen Sicherheitslücken aufweisen. Schwachstellen-Scans sind eine bewährte…

Need-to-Know-Prinzip

Need-to-Know-Prinzip

Das Need-to-know-Prinzip beschreibt ein Sicherheitsziel für vertrauliche Informationen. Der Zugriff sollte nur dann für einen Benutzer freigegeben werden, wenn die Information unmittelbar für die…

Endpoint Security

Endpoint Security

Endpoint Security umfasst Technologien und Maßnahmen zum Schutz von Endgeräten wie Laptops, Servern, Smartphones und IoT-Geräten vor Cyberbedrohungen.

Was ist MITRE ATT&CK?

Was ist MITRE ATT&CK?

Das MITRE ATT&CK Framework ist eine laufend aktualisierte Wissensdatenbank, bestehend aus Taktiken und Techniken von Cyber-Angreifern über den gesamten Angriffslebenszyklus hinweg.

IT-Sicherheitskonzept in 8 Schritten

IT-Sicherheitskonzept in 8 Schritten

Unter einem IT-Sicherheitskonzept versteht man Richtlinien welche die IT-Sicherheit im Unternehmen gewährleisten sollen. Es geht darum, die Verfügbarkeit, Integrität und Vertraulichkeit von…

Buffer-Overflow

Buffer-Overflow

Ein Buffer-Overflow ist ein Programmierfehler, die von Hackern ausgenutzt werden kann, um sich unbefugten Zugang zu IT-Systemen zu verschaffen. Er ist eine der bekanntesten Sicherheitslücken in der…

Authentifizierung: Unterschiede zur Authentisierung und Autorisierung

Authentifizierung: Unterschiede zur Authentisierung und Autorisierung

Authentisierung, Authentifizierung und Autorisierung sind Begriffe, die in der IT-Security verwendet werden. Sie mögen ähnlich klingen, sind aber völlig verschieden voneinander. Authentisierung und…

Was ist Datensicherheit? Standards & Technologien

Was ist Datensicherheit? Standards & Technologien

Datensicherheit ist ein wichtiges Thema für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen Rahmen.

Firewall-Grundlagen und Firewall-Architektur

Firewall-Grundlagen & Firewall-Architektur

Firewalls spielen eine entscheidende Rolle beim Schutz von Unternehmensnetzen. Malware, Cyberangriffe und Datenschutzverletzungen lassen sich mit der richtigen Firewall-Architektur verhindern oder zumindest deutlich erschweren.