Framestock - stock.adobe.com
Warum CTEM die IT-Sicherheit künftig neu definiert
Eine zentralisierte und kontinuierliche Risikoüberwachung soll durch CTEM für Unternehmen möglich werden. Das soll unter anderem die Priorisierung von Risiken vereinfachen.
Würden Sie sich einer komplexen Operation unterziehen, wenn der Chefarzt ankündigt, der Kontrollmonitor im OP messe die Herzfrequenz nur alle zehn Minuten? Wahrscheinlich nicht. In vielen Organisationen funktioniert klassisches Vulnerability Management genau so: Schwachstellen werden erst beim nächsten Test entdeckt, wodurch kritische Risiken zwischenzeitlich unentdeckt bleiben.
Hier schafft Continuous Threat Exposure Management (CTEM) Abhilfe. Der Begriff, ursprünglich von Gartner geprägt, beschreibt einen strategischen Ansatz, wie Unternehmen von zyklischen Sicherheitsbewertungen zu einem kontinuierlichen, risikobasierten Exposure-Management übergehen können.
Einige Hersteller bieten inzwischen Softwarelösungen an, die bestimmte oder teilweise große Phasen von CTEM unterstützen. Dennoch ist CTEM kein einzelnes Tool, sondern ein Rahmenwerk, das auf bestehenden Sicherheitsmaßnahmen der Organisation aufbaut. Ziel ist es, Bedrohungen frühzeitig zu erkennen, Schwachstellen kontinuierlich zu bewerten und gezielt Gegenmaßnahmen umzusetzen, bevor Angreifer diese ausnutzen können.
Der entscheidende Unterschied zum herkömmlichen Vulnerability Management liegt im Ansatz: nicht zyklisch, sondern kontinuierlich und stark automatisiert. Das Konzept ist ressourcenintensiv und in der praktischen Umsetzung noch experimentell. Dennoch lohnt sich ein Blick, vor allem für große und sicherheitsreife Organisationen. Denn: Das Potenzial ist riesig.
Von der Illusion der Abschottung zur Realität der Vernetzung
Früher war IT-Sicherheit einfach: außen dicht, innen geschützt. Firewalls hoch, Türen verriegelt und fertig. Heute ist die IT-Landschaft hochvernetzt. Cloud-Dienste, umfangreiche APIs und hybride Infrastrukturen greifen ineinander. Jedes System kann ein potenzielles Einfallstor sein.
Die Zahl der Schwachstellen wächst stetig, ihre Identifikation und Bewertung gleicht einer Sisyphusarbeit. Zwar verfügen Unternehmen über etablierte Prozesse wie Audits, Penetrationstests, OSINT-/Leak-Monitoring oder Phishing-Simulationen, doch fehlt häufig die Orchestrierung: Erkenntnisse bleiben in separaten Systemen, Risiken werden nicht ganzheitlich bewertet.
CTEM: Der kontinuierliche Sicherheitskreislauf
CTEM verknüpft vorhandene Mechanismen, etwa Penetrationstests, Schwachstellenscans, Audits, Bedrohungsanalysen oder Darknet-Recherchen zu einem kontinuierlichen Bewertungs- und Reaktionsprozess. Unternehmen erhalten damit gebündelt einen Echtzeitüberblick über ihre Bedrohungs- und Risikolage, beispielsweise weil alle Daten in einem zentralisierten Dashboard landen.
Die fünf Phasen des CTEM
- Scoping: Festlegen, welche Systeme, Geschäftsbereiche und Assets im Fokus stehen.
- Discovery: Ein automatischer Schwachstellenscan oder Penetrationstest findet beispielsweise veraltete Softwareversionen. Parallel entdeckt ein OSINT-/Leak-Monitoring, dass valide Anmeldedaten geleakt worden sind. Beide Erkenntnisse werden zentral erfasst und korreliert.
- Prioritization: Bewertung der erkannten Schwachstellen nach Eintrittswahrscheinlichkeit, Auswirkung und Business Impact, es folgt die Behebung der Schwachstellen.
- Validation: Prüfung der Wirksamkeit der implementierten Gegenmaßnahmen durch beispielsweise Red Teaming, Penetrationstests oder Sichtprüfung.
- Mobilization: Die Risiken sind minimiert, allerdings geht es nun in die Ursachenforschung. Welche organisatorische und/oder technische Maßnahmen können optimiert werden, um das Auftreten solcher Schwachstellen künftig allgemein zu reduzieren. Beispielsweise Anpassung der Patch-Zyklen, Awareness bei Entwicklern schärfen und so weiter.
Unterschiede zum klassischen Vulnerability Management
Klassisches Vulnerability Management arbeitet in der Regel punktuell und disziplin-spezifisch. Pentests werden meist einmal jährlich durchgeführt, häufig auf einzelne Assets beschränkt und die Prüftiefe und Prüfdauer an die Kritikalität geknüpft. OSINT- und Leak-Überprüfungen erfolgen gelegentlich, in vielen Fällen nur auf Unternehmensebene, nicht jedoch spezifisch auf einzelne Applikationen oder kritische Assets ausgerichtet. Schwachstellenscans finden unregelmäßig statt, je nach Verfügbarkeit von Zeit und Ressourcen. Häufig resultieren aus diesen Prüfungen zahlreiche Schwachstellen, welche es zu beheben gilt, sodass in der Praxis strategische Puffer zwischen den einzelnen Prüfungen liegen. Die Folge: Erkenntnisse stammen aus verschiedenen Zeitpunkten, teilweise sind Schwachstellen bereits behoben, und eine kontextualisierte Risikobetrachtung ist praktisch unmöglich.
Warum ist kontextualisierte Risikobetrachtung unabdingbar? Ein gutes Beispiel ist die Durchführung von Penetrationstests. In der IT-Sicherheit spricht man dann häufig von Schwerpunktprüfungen. Zwischen Kunde und Tester wird ein spezifischer Scope definiert, der Prüftiefe und Prüfbreite festlegt und innerhalb einer bestimmten Zeitspanne bearbeitet wird.
Allerdings decken isolierte Schwerpunktprüfungen nur einen Teil des realen Angreiferverhaltens ab. Ein klassischer Pentest identifiziert in erster Linie technische Schwachstellen, zwar werden OSINT-Recherchen – etwa zur Identifikation geleakter Zugangsdaten – zunehmend Teil der Pentest-Reconnaissance-Phase. Allerdings beantworten diese Komponenten nicht, ob Angriffe über Phishing oder andere Social-Engineering-Techniken erfolgreich sein könnten.
Ein möglicher Schritt zur ganzheitlichen Betrachtung sind Red-Teaming-Engagements, bei denen organisatorische und technische Schwachstellen gleichzeitig untersucht werden. Sie ermöglichen eine orchestrierte Analyse über verschiedene Disziplinen hinweg. Doch auch diese Engagements sind zeitlich begrenzt, typischerweise auf zwei bis drei Monate, und bieten daher keine kontinuierliche Risikoüberwachung.
CTEM löst dieses Problem durch zentralisierte und kontinuierliche Risikoüberwachung. Schwachstellenscans laufen in kurzen Intervallen, OSINT- und Leak-Monitoring erfolgen tagesaktuell und sind direkt auf kritische Assets und Applikationen ausgerichtet. So können die Ergebnisse sofort im Kontext des Unternehmens bewertet werden. Schwachstellen lassen sich schneller priorisieren, der tatsächliche Business Impact wird transparenter, und Maßnahmen können gezielt dort umgesetzt werden, wo das Risiko für das Unternehmen am größten ist. Auch in diesem Konzept gilt weiterhin: Penetrationstests und andere Arten der offensiven IT-Revision prüfen die Wirksamkeit der umgesetzten Maßnahmen.
Grundsätzlich ließe sich dieser Ansatz auch über klassisches Vulnerability Management abbilden. Der entscheidende Vorteil von CTEM liegt jedoch darin, dass alle relevanten Daten zentralisiert verfügbar sind und kontinuierlich zusammengeführt werden. Dadurch wird die Analyse effizienter und die Priorisierung von Risiken im Gesamtkontext deutlich einfacher.
„Organisationen, die mit dem Gedanken spielen, CTEM einzuführen, müssen sich langfristig über die Konsequenzen im Klaren sein. Zyklische Maßnahmen des klassischen Vulnerability Managements führen zu zyklischen Befunden, während CTEM tägliche Meldungen liefert, die zeitnah untersucht werden müssen.“
Philipp Kalweit, Kalweit ITS
Herausforderungen und Ausblick
Der Aufbau eines CTEM-Frameworks erfordert sorgfältige Planung und langfristige Ressourcen. Der eigentliche Aufwand liegt im kontinuierlichen Betrieb: Das Scoping muss regelmäßig überprüft, Bewertungsregeln angepasst und automatisierte Werkzeuge kontinuierlich feinjustiert werden. CTEM ist komplex, fehleranfällig und pflegeintensiv, weshalb es derzeit vor allem großen, risikoaffinen Organisationen mit ausgereiften Security-Teams vorbehalten bleibt.
Durch den zunehmenden Einsatz von künstlicher Intelligenz könnte sich dieser Aufwand jedoch deutlich reduzieren. Konsequent umgesetzt, bietet CTEM einen klaren Mehrwert gegenüber klassischem Vulnerability Management: nicht zyklisch und reaktiv, sondern zentralisiert und kontinuierlich. Es arbeitet mit denselben grundlegenden Mitteln, identifiziert neue Assets und Schwachstellen fortlaufend und liefert vor allem durch die Zentralisierung und Kontextualisierung von Risiken entscheidende Vorteile. Alle relevanten Informationen werden an einem Ort gebündelt, sodass Security-Teams fundierte Entscheidungen treffen und priorisierte Maßnahmen effizient umsetzen können.
Allerdings bleibt CTEM experimentell und fehleranfällig
Organisationen, die mit dem Gedanken spielen, CTEM einzuführen, müssen sich langfristig über die Konsequenzen im Klaren sein. Zyklische Maßnahmen des klassischen Vulnerability Managements führen zu zyklischen Befunden, während CTEM tägliche Meldungen liefert, die zeitnah untersucht werden müssen. Wie im OP gilt: Ein ausgeklügeltes Monitoring ist nur dann wertvoll, wenn die Ergebnisse durch qualifiziertes Personal interpretiert und in Maßnahmen umgesetzt werden. Ohne ausreichend Personal, das Meldungen analysiert, False Positives erkennt und Risiken priorisiert, droht, dass wichtige Befunde untergehen und die Vorteile von CTEM eben nicht genutzt werden.
Über den Autor:
Philipp Kalweit ist Unternehmer, IT-Sicherheitsberater sowie CEO von Kalweit ITS. Bereits in jungen Jahren machte er sich als White Hat Hacker einen Namen. Als Gründer und Geschäftsführer von Kalweit ITS unterstützt er heute Organisationen dabei, Schwachstellen aufzudecken und ihre Systeme wirksam gegen digitale Bedrohungen zu schützen. Für seine Expertise wurde er in die Forbes „30 Under 30“-Liste aufgenommen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
