Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Das Scheitern der angriffszentrierten Cybersicherheit: Die Sichtweise eines Veteranen

A10 Blog / Cloud & Networking - Cybersicherheit / Das Scheitern der angriffszentrierten Cybersicherheit: Die Sichtweise eines Veteranen
Jamison Utter
Jamison Utter
|
September 15, 2025

Als 20-jähriger Veteran der Cybersicherheitsbranche - mit einer Karriere, die sowohl seriöse Penetrationstests als auch ein früheres Leben als Blackhat umfasst - habe ich aus erster Hand erfahren, wie die Besessenheit der Branche von angriffsorientierter Sicherheit nicht nur dem Schutz von Unternehmen geschadet, sondern auch den Fortschritt in Richtung eines sinnvollen Schutzes aktiv behindert hat. Wenn wir die Cybersicherheit wirklich auf die nächste Stufe heben wollen, dann ist es Zeit für einen Paradigmenwechsel. Wir müssen aufhören, uns ausschließlich auf die transaktionale Bewertung von Angriffen zu konzentrieren, und stattdessen einen breiteren, dynamischeren Ansatz verfolgen, der das Verhalten externer Unternehmen in den Vordergrund stellt.

Die Besessenheit von angriffsorientierter Sicherheit

Angriffsorientierte Sicherheit ist die vorherrschende Denkweise in unserer Branche. Es ist die Vorstellung, dass Cybersicherheit eine binäre Transaktion ist: etwas ist gut oder schlecht, erlaubt oder blockiert, sicher oder bösartig. Die meisten heutigen Tools - Firewalls, Endpoint Detection and Response (EDR), Intrusion Detection Systems (IDS) und sogar SIEM-Plattformen - basieren auf diesem simplen, reaktiven Modell. Ein Ereignis tritt ein, wird ausgewertet und eine Entscheidung wird getroffen. Dieser Ansatz ist tief verwurzelt in den Produkten, die Anbieter verkaufen, in den Frameworks, die Unternehmen einsetzen, und in den Schulungen, die SOC-Teams erhalten.

Der Gedanke ist folgender: Wenn wir Angriffe schneller erkennen, Exploits effektiver blockieren und Malware präziser identifizieren können, werden wir Sicherheit erreichen. Aber hier ist die unbequeme Wahrheit: Dieser Ansatz hat noch nie funktioniert, er funktioniert jetzt nicht und er wird auch in Zukunft nicht funktionieren. Und warum? Weil er die Natur des Problems grundlegend missversteht.

Warum angriffszentrierte Sicherheit scheitert

Unternehmen legen Wert auf Kontinuität, Widerstandsfähigkeit und die Minimierung der Auswirkungen von Sicherheitsverletzungen

Der Zweck der Cybersicherheit besteht nicht darin, eine Reihe von Schlachten gegen Angreifer zu gewinnen. Es geht darum, das Unternehmen zu schützen. Und dem Unternehmen ist es egal, ob wir 98 Prozent der Malware blockiert oder 7 von 10 Phishing-Versuchen abgewehrt haben. Dem Unternehmen geht es um Kontinuität, Widerstandsfähigkeit und die Minimierung der Auswirkungen von Sicherheitsverletzungen. Wenn wir uns auf einzelne Angriffe konzentrieren, vernachlässigen wir das Gesamtbild: die Summe der Interaktionen.

Angreifer operieren nicht in Isolation. Sie sondieren, passen sich an und entwickeln sich weiter. Sie führen Erkundungen durch, testen die Verteidigung und schwenken um, wenn ein Angriffsvektor fehlschlägt. Bei der angriffszentrierten Sicherheit wird jedoch jedes Ereignis als Einzelereignis behandelt.

  • Eine Phishing-E-Mail wird blockiert. Erfolg.
  • Ein Schwachstellen-Scan wird erkannt. Erfolg.

Aber was ist mit dem Angreifer hinter diesen Ereignissen? Was ist mit den Mustern, die sie hinterlassen, den Anzeichen für ihre sich entwickelnde Strategie, der übergreifenden Kampagne, die sie gegen Ihr Unternehmen führen? Die Konzentration auf einzelne Angriffe macht uns blind für die größere Bedrohung.

Die Illusion von "gut genug

Wenn der binäre, angriffszentrierte Ansatz funktionieren würde, hätten wir das Problem der Cybersicherheit schon vor Jahrzehnten gelöst. Denken Sie einmal darüber nach. Seit Jahren blockieren wir "offensichtliche" Angriffe, flicken Schwachstellen und setzen stärkere Erkennungstools ein. Dennoch kommt es immer wieder zu Sicherheitsverstößen, oft in schwindelerregendem Ausmaß. Und warum? Weil Angreifer nicht gleich beim ersten Versuch erfolgreich sein müssen. Sie müssen nicht einmal bei ihren ersten 100 Versuchen erfolgreich sein. Sie müssen nur eine Lücke in Ihrem Schutzwall finden.

Hier liegt das Problem: Angriffsorientierte Sicherheit ist von Natur aus reaktiv. Sie wartet, bis etwas passiert, wertet es aus und entscheidet dann, wie sie reagieren soll. Wenn Sie einen Angriff erkannt haben, ist der Angreifer wahrscheinlich schon zur nächsten Phase seiner Operation übergegangen. Und wenn Ihre Verteidigungsmaßnahmen nur darauf ausgelegt sind, einzelne Ereignisse auszuwerten, werden Sie nie das vollständige Bild des Verhaltens eines Angreifers sehen.

Der Schlüssel: Konzentration auf die externe Entität

Um Unternehmen wirklich zu schützen, müssen wir unseren Fokus weg von einzelnen Angriffen und hin zur externen Einheit - demAngreifer - verlagern. Das bedeutet, dass wir über die transaktionale Bewertung von "gut" und "böse" hinausgehen und stattdessen die Summe ihrer Interaktionen mit Ihrer Umgebung analysieren müssen. Das Ziel besteht nicht darin, festzustellen, ob ein einzelnes Ereignis ein Angriff ist. Das Ziel ist es, zu verstehen, ob sich eine Entität auf einen Angriff hin entwickelt.

Wenn wir uns auf die externe Einheit konzentrieren, können wir das:

  1. Frühzeitige Aufklärung erkennen Angreifer schlagen selten ohne Vorbereitung zu. Sie sammeln Informationen, kartieren Ihre Umgebung und testen Ihre Verteidigungsmaßnahmen. Durch die Überwachung von Verhaltensmustern - fehlgeschlagene Anmeldungen, ungewöhnliche Abfragen, wiederholte Scans bestimmter Endpunkte - können wir Angreifer identifizieren, lange bevor sie ihre Nutzlast ausführen.
  2. Anpassung und Pivotisierung verstehen Wenn ein Angriffsvektor versagt, geben Angreifer nicht auf. Sie schwenken um. Sie versuchen es mit einem anderen Exploit, einem anderen Endpunkt, einer anderen Technik. Ein einzelner fehlgeschlagener Angriff mag unbedeutend erscheinen, aber mehrere fehlgeschlagene Versuche über verschiedene Systeme hinweg deuten auf Hartnäckigkeit hin, und Hartnäckigkeit ist ein Kennzeichen für eine ernsthafte Bedrohung.
  3. Identifizieren Sie Kampagnen, nicht Vorfälle Angreifer operieren oft in Kampagnen, die als Teil einer größeren Strategie mehrere Organisationen oder Systeme angreifen. Durch die Analyse ihres Verhaltens über mehrere Interaktionen hinweg können wir Muster erkennen, die auf eine umfassendere Kampagne hindeuten, und uns so proaktiv statt reaktiv verteidigen.
  4. SOC-Betreiber und Bedrohungsjäger verstehen es SOC-Betreiber und Bedrohungsjäger leben in den Schützengräben. Sie sehen die Muster, die Hartnäckigkeit und die Entwicklung von Angreifern. Sie wissen, dass der derzeitige Ansatz - sich auf Tools zu verlassen, die einzelne Ereignisse auswerten - nicht funktioniert. Sie wissen, dass die eigentliche Herausforderung darin besteht, Angreifer zu identifizieren, bevor sie zuschlagen, das Gesamtbild zu sehen und nicht nur zu sagen: "Das war ein Angriff", sondern "Das wird ein Angriff sein".

Aber die ihnen zur Verfügung gestellten Werkzeuge unterstützen diesen Ansatz nicht. Die Anbieter verkaufen weiterhin Lösungen, die sich auf Transaktionsauswertungen, die Erkennung und Blockierung einzelner Angriffe konzentrieren. Das Problem ist nicht, dass den SOC-Teams die Fähigkeiten oder das Wissen fehlen. Das Problem besteht darin, dass die ihnen zur Verfügung gestellten Tools grundlegend falsch auf die anstehende Aufgabe abgestimmt sind.

Ein Aufruf zum Handeln für Anbieter

Wenn Anbieter Unternehmen dabei helfen wollen, ihr Geschäft wirklich zu schützen, müssen sie ihren Ansatz überdenken. Der Schwerpunkt sollte auf der Entwicklung von Tools liegen, die es SOC-Teams ermöglichen, die Summe der Interaktionen zu überwachen und zu analysieren, nicht nur einzelne Ereignisse. Dies bedeutet Investitionen in:

  • Verhaltensanalyse: Werkzeuge zur Ermittlung von Verhaltensmustern im Zeitverlauf, über mehrere Systeme hinweg und in verschiedenen Kontexten.
  • Verfolgung von Entitäten: Lösungen, die sich auf den Angreifer als Einheit konzentrieren, anstatt jedes Ereignis als Einzelereignis zu behandeln.
  • Proaktive Verteidigung: Fähigkeiten, die es Teams ermöglichen, Angriffe auf der Grundlage frühzeitiger Aufklärung und Erkundung vorherzusagen und zu verhindern.

Dabei geht es nicht darum, die traditionelle Erkennung und Reaktion aufzugeben. Es geht darum, diese Fähigkeiten durch einen breiteren, dynamischeren Ansatz zu ergänzen, der dem Verhalten des Angreifers Vorrang vor einzelnen Angriffen einräumt.

Bei der Cybersicherheit geht es nicht darum, eine Reihe von Schlachten zu gewinnen. Es geht darum, die Burg zu schützen.

Die Zukunft der Cybersicherheit

Bei der Cybersicherheit geht es nicht darum, eine Reihe von Schlachten zu gewinnen. Es geht darum, die Burg zu schützen, und dazu muss man den Feind vor den Toren verstehen, nicht nur die Pfeile, die er schießt. Die Besessenheit der Branche von angriffsorientierter Sicherheit ist gescheitert - und wird weiter scheitern -, weil sie sich auf das Falsche konzentriert. Es ist Zeit für einen Wechsel.

Indem wir unseren Fokus auf die externe Einheit verlagern, können wir über die reaktive, transaktionale Sicherheit hinausgehen und zu einem proaktiven, strategischen Ansatz übergehen, der das Unternehmen wirklich schützt. Die Angreifer werden nicht aufhören, sich anzupassen. Das sollten wir auch nicht.

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Cloud & Vernetzung Cyber-Sicherheit
Vorheriger Beitrag
Nächster Beitrag
Jamison Utter
Jamison Utter
|
September 15, 2025

Verwandte Ressourcen

  1. Der einzige Fehlerpunkt: Warum die Entscheidung für einen einzigen Anbieter ein gefährliches Spiel ist
  2. Ein genauerer Blick auf die Einführung der Zero Trust Cybersecurity Strategie