Cyberangriffe sind längst keine Ausnahme mehr – sie sind Alltag. Doch viele Unternehmen wissen nicht, wie sichtbar sie im Netz sind – und welche Schwachstellen Angreifende ausnutzen könnten. Der IT Security Talk mit Censys zeigt: Wer seine Angriffsfläche kennt, kann gezielt gegensteuern.
- 02.06.2025
- Fachbeitrag
- Hacking & Abwehr
Hacking erkennen, bevor es passiert
Warum Threat Hunting und Angriffsflächenmanagement unverzichtbar sind
Geschrieben von it-sa Team
Sponsored by
Die Realität: Angreifer sind schneller als Verteidiger
Der aktuelle „State of the Internet“-Report 2025 zeigt eine alarmierende Entwicklung:
- Über 3.000 aktive Malware-Instanzen weltweit
- Deutschland auf Platz 6 mit 123 identifizierten C2-Infrastrukturen
- Häufigste Malware: CobaltStrike, Viper, Silver, Remcos
- 55 % der bösartigen Aktivitäten stammen aus China und den USA
Diese Zahlen belegen: Command-and-Control-Server (C2) sind global verteilt – und oft unbemerkt aktiv.
Threat Hunting: Vom Reagieren zum Agieren
Threat Hunting bedeutet, proaktiv nach Bedrohungen zu suchen, bevor sie Schaden anrichten. Moderne Plattformen ermöglichen:
- Tagesaktuelle Karten aktiver Bedrohungsinfrastrukturen
- Verfolgung bekannter Gruppen wie FIN7 oder APTs
- Automatisierte Blocklisten für Firewalls
- Live-Scans zur Überprüfung von Veränderungen
Ein Beispiel: Die Gruppe FIN7 betreibt weltweit über 600 aktive Hosts. Durch kontinuierliches Monitoring lassen sich deren Aktivitäten frühzeitig erkennen – und blockieren.
Angriffsflächenmanagement: Was ist von außen sichtbar?
Viele Unternehmen unterschätzen, wie viel ihrer Infrastruktur öffentlich erreichbar ist. Beispiele aus der Praxis:
- Offene Kamera-Streams ohne Authentifizierung
- Telnet-Zugänge mit Standardpasswörtern
- Steuerungssysteme (HMI) direkt über das Internet erreichbar
Diese Systeme sind nicht nur angreifbar – sie sind oft auch nicht dokumentiert oder nicht im Blick der IT-Abteilung.
Ein hilfreiches Werkzeug zur Analyse solcher Risiken ist eine Plattform wie die von Censys. Sie ermöglicht es, die eigene Infrastruktur aus der Perspektive eines Angreifers zu betrachten: Welche Dienste sind öffentlich erreichbar? Welche Protokolle laufen auf ungewöhnlichen Ports? Gibt es Hinweise auf veraltete Software oder falsch konfigurierte Systeme?
Mit Funktionen wie:
- tagesaktuellen Scans
- historischen Zustandsvergleichen
- automatisierten Risikoanalysen
- und Threat Intelligence zu bekannten Angreifergruppen
können Unternehmen ihre Angriffsfläche systematisch erfassen und reduzieren – bevor sie ausgenutzt wird.
Was Unternehmen jetzt tun sollten
- Angriffsfläche erfassen: Welche Systeme sind öffentlich erreichbar? Welche Protokolle sind offen?
- Threat Intelligence nutzen: Welche Bedrohungsgruppen sind aktiv? Welche IPs sollten blockiert werden?
- Live-Scans durchführen: Hat sich etwas verändert? Gibt es neue Schwachstellen?
- Verantwortlichkeiten klären: Wer ist zuständig für externe Sichtbarkeit und Reaktion?
- Security by Design etablieren: Sicherheitsaspekte müssen Teil der Entwicklung und des Betriebs sein.
________________________________________
Fazit: Sichtbarkeit ist der erste Schritt zur Sicherheit
Wer nicht weiß, was sichtbar ist, kann sich nicht schützen. Threat Hunting und Angriffsflächenmanagement sind keine Kür – sie sind Pflicht. Denn nur wer seine digitale Angriffsfläche kennt, kann gezielt verteidigen.
Redaktioneller Hinweis:
Dieser Beitrag basiert auf dem entsprechenden Vortrag während des IT Security Talks zum Thema Hacking&Abwehr am 31.07.2025 und wurde mit Unterstützung von KI erstellt.