Der Ivanti State of Cybersecurity Report 2025 stellte etwas wenig Überraschendes fest: Unternehmen berichten von einer erheblichen Vorbereitungslücke (also der Lücke zwischen der wahrgenommenen Bedrohungslage und ihrem Vorbereitungsgrad) über alle von uns abgefragten Bedrohungsvektoren und Schwachstellen hinweg.

Sicherheitsteams investieren zu Recht Ressourcen in den Aufbau von Resilienz, damit sie schnell auf Angriffe reagieren und sich davon erholen können. Um diese Vorbereitungslücken zu schließen, sind jedoch proaktive Cybersicherheitsmaßnahmen erforderlich.

Reaktive vs. proaktive Cybersicherheit: Was ist der Unterschied?

Proaktive Cybersicherheit bezeichnet Maßnahmen, die Sie vor einem Cyberangriff ergreifen, um Ihre Sicherheitslage zu verbessern und Ihre Angriffsfläche zu reduzieren; reaktive Cybersicherheit unterbricht einen Angriff, der bereits in Ihre Systeme eingedrungen ist, grenzt ihn ein und minimiert den potenziellen Schaden.

Diese Ansätze schließen sich keineswegs gegenseitig aus. Proaktive Sicherheit reduziert Risiken, beseitigt sie aber nicht vollständig. „Reaktiv“ mag leicht negativ klingen, doch Fähigkeiten, mit denen Sie auf einen Angriff reagieren können – ganz gleich, wie stark Sie Ihre Risikoexposition reduziert haben –, sind von entscheidender Bedeutung.

Beispiele für proaktive Cybersicherheitsmaßnahmen

Proaktive Sicherheit ist eher eine Philosophie als ein starrer Plan. Sie beruht auf der Idee, dass Maßnahmen zur Minimierung der Exposition lange bevor ein Risiko eintritt, der effektivste Einsatz von Sicherheitszeit und -ressourcen sind.

Dennoch gibt es konkrete Fähigkeiten, die Sie aufbauen können, um diese Philosophie umzusetzen, darunter unter anderem Schwachstellen-Scanning, Angriffssflächenmanagement, Schwachstellenmanagement, Expositionsvalidierung, Patchmanagement, Konfigurationsmanagement und Anwenderschulung.

Angriffsflächenmanagement

Angriffsflächenmanagement zielt darauf ab, alle Einstiegspunkte eines Unternehmens zu verstehen – ob digital, physisch oder menschlich –, die von Hackern genutzt werden können, um Zugriff auf die IT-Umgebung zu erlangen.

Die Angriffsfläche umfasst Geräte (bekannte und unbekannte), doch die Umgebung geht über Geräte hinaus. Auch Anwendungen, Software, Social-Media-Konten und andere digitale Bereiche oder Assets, die von Personen im Umfeld des Unternehmens genutzt werden, gehören dazu.

Verwandte Inhalte:Checkliste zur Angriffsfläche

Schwachstellen-Scanning

Schwachstellen-Scanning ist genau das, wonach es klingt: Spezialisierte Scanner prüfen Netzwerke und IT-Assets auf ausnutzbare Schwachstellen und markieren sie anschließend zur Bearbeitung durch Sicherheitsteams. Da es Tausende bekannter Schwachstellen gibt – und täglich neue entstehen –, ist Schwachstellen-Scanning am effektivsten, wenn es automatisiert erfolgt.

Externe Schwachstellen-Scans prüfen ein Netzwerk von außen nach innen und versuchen, Wege zu identifizieren, über die ein Hacker in das Netzwerk gelangen könnte. Interne Scans nehmen die Perspektive einer Person ein, die bereits in das Netzwerk eingedrungen ist, und betrachten die Schwachstellen, die sie von innen ausnutzen könnte.

Schwachstellenmanagement

Schwachstellen-Scanning und Angriffsflächenmanagement fließen in den längeren, umfassenderen Zyklus des Schwachstellenmanagements ein. Dabei handelt es sich um einen fortlaufenden Prozess, in dem Schwachstellen identifiziert und nach Prioritätsstufe kategorisiert werden, bevor Teams die beste Methode zu ihrer Behebung festlegen.

Ein Standardansatz im Schwachstellenmanagement besteht darin, nach Schweregrad zu priorisieren, doch dieser Ansatz kann manche Schwachstellen überbewerten und andere übersehen. Die Ergänzung um Bedrohungskontext – wird diese Schwachstelle aktiv ausgenutzt? – und Risikokontext – wie gravierend wäre die Ausnutzung dieser Schwachstelle für mein Unternehmen? – ergibt ein klareres Bild der tatsächlichen Priorität.

Expositionsvalidierung

Die Expositionsvalidierung testet die Machbarkeit eines Angriffs und die Stärke Ihrer Gegenmaßnahmen durch die Durchführung von Angriffsszenarien. Dieser Ansatz wird auch als offensive Sicherheit bezeichnet. Die beiden gängigsten Methoden sind Penetrationstests und Red Teaming.

  • Penetrationstests (oder Pen Testing) bedeutet, dass ethische Hacker versuchen, in Ihr System einzudringen, und anschließend Feedback dazu geben, was gut funktioniert hat und welche Bereiche weiter verbessert werden müssen. Pen Testing kann auch mit automatisierten Tools durchgeführt werden.
  • Red Teaming, ähnlich wie Pen Testing, bedeutet, dass ethische Hacker einen geplanten Cyberangriff durchführen, um herauszufinden, wo Ihre Abwehrmaßnahmen verbessert werden können. Red Teaming ist eine szenariobasierte Simulation, während Pen Testing darauf abzielt, möglichst viele verschiedene Schwachstellen zu finden.

Adversarial Exposure Validation, kurz AEV, etabliert sich ebenfalls als Praxis. Dabei wird Software eingesetzt, um kontinuierlich und autonom Angriffssimulationen durchzuführen und das Vorhandensein von Expositionen nachzuweisen.

Patchmanagement

Nachdem Schwachstellen durch Angriffsflächenmanagement und Schwachstellen-Scanning identifiziert, durch Schwachstellenmanagement priorisiert und anschließend durch Expositionsvalidierung validiert wurden, stellt sich die Frage: Wie reagiere ich?Patchmanagement ist eine Möglichkeit, auf Schwachstellen zu reagieren und sie zu schließen – insbesondere Software-Schwachstellen, für die Patches verfügbar sind.

Patchmanagement eignet sich besonders für die Automatisierung, vor allem in Kombination mit risikobasiertem Schwachstellenmanagement. Workflows, die automatisch von der Erkennung über die Entscheidungsfindung bis zur Bereitstellung führen, verkürzen die mittlere Zeit bis zur Behebung und minimieren menschliche Fehler.

Patchmanagement hat jedoch einen wichtigen blinden Fleck: Schatten-IT. Ohne eine genaue Bestandsaufnahme der von Mitarbeitenden genutzten Software lässt sich Patch-Compliance nicht durchsetzen. Deshalb ist die Erkennungskomponente des Angriffsflächenmanagements so entscheidend.

Konfigurationsmanagement

Konfigurationsmanagement ist, ebenso wie Patchmanagement, eine Möglichkeit, auf identifizierte Schwachstellen zu reagieren – in diesem Fall auf Schwachstellen, die die Geräte selbst betreffen und nicht die darauf ausgeführte Software. Konfiguration bezeichnet die proaktiven Cybersicherheitsmaßnahmen, die auf Geräteebene festgelegt werden, etwa die Durchsetzung von Multi-Faktor-Authentifizierung oder Verschlüsselung. Zwar können diese Maßnahmen von Endanwendern einzeln angewendet werden, am effektivsten werden sie jedoch mithilfe von Endpoint-Management-Software durchgesetzt.

Auch hier erschwert Schatten-IT, ähnlich wie beim Patchmanagement, die Lage. Unbekannte, nicht verwaltete Geräte entsprechen möglicherweise nicht den Sicherheitsstandards Ihres Unternehmens – Gewissheit gibt es nicht. Und genau wie beim Patchmanagement ist die Erkennungskomponente des Angriffsflächenmanagements entscheidend. Indem IT-Teams zuvor unbekannte Geräte identifizieren und in die Verwaltung aufnehmen, können sie Compliance durchsetzen.

Anwenderschulung

Ihre Angriffsfläche ist nicht ausschließlich digital – es gibt auch eine menschliche Komponente. Phishing und andere Formen des Social Engineering nutzen menschliche Schwachstellen aus und verknüpfen sie häufig mit digitalen Expositionen (Software-Schwachstellen, fehlerhafte Konfigurationen usw.), um einen Angriff zu starten. Die Schulung von Mitarbeitenden trägt dazu bei, Expositionen zu minimieren – genauso wie die Behebung digitaler Schwachstellen.

Unterstützung für proaktive Cybersicherheitsmaßnahmen gewinnen

Unterstützung für proaktive Cybersicherheitsmaßnahmen zu gewinnen, ist in mancher Hinsicht schwieriger als bei reaktiven Cybersicherheitsmaßnahmen. Die Bedrohung ist noch nicht eingetreten, daher ist es für Stakeholder außerhalb der Sicherheitsteams schwieriger, notwendige Kompromisse zu verstehen – etwa vorübergehende Geschäftsunterbrechungen oder andere Faktoren, die zumindest kurzfristig die Produktivität beeinträchtigen. Anwenderschulungen beanspruchen Zeit in ohnehin vollen Terminkalendern. Die Bereitstellung von Patches kann Anwendungen offline nehmen oder Fehlerbehebung erfordern.

Um Unterstützung für solche Maßnahmen zu gewinnen und zu erhalten, sollten Sicherheitsteams darauf achten, die durch die Behebung verursachten Unterbrechungen möglichst gering zu halten (zum Beispiel durch Ring-Deployment, bei dem Software-Updates schrittweise auf immer größere „Ringe“ ausgerollt werden, wobei in jedem Schritt Probleme identifiziert und behoben werden, bevor die Bereitstellung auf die gesamte Nutzerbasis ausgeweitet wird).

Eine Risikobewertungsübung kann ebenfalls hilfreich sein, um eine noch nicht eingetretene Bedrohung für andere Stakeholder greifbar zu machen. Eine objektive Bewertung Ihrer Exposition und der Kosten der damit verbundenen Risiken – insbesondere, wenn Sie diese Exposition finanziell quantifizieren können – kann den Unterschied zwischen widerwilliger Akzeptanz und echter Unterstützung für proaktive Sicherheit ausmachen.

Verwandte Inhalte:Cyberrisiken objektiv bewerten: Ein Leitfaden für datengestützte Risikobewertungen

Warum proaktive Cybersicherheit wichtig ist

Eine proaktive Cybersicherheitsstrategie steht nicht im Widerspruch zu reaktiver Sicherheit – ein gesundes Unternehmen verfügt über robuste Fähigkeiten, um Risiken zu begegnen, bevor und nachdem sie eintreten. Präventive Maßnahmen verbessern jedoch Ihre Risikolage und sorgen dafür, dass Risiken seltener eintreten. Proaktive Cybersicherheitsmaßnahmen wie das Management der Angriffsfläche, Patching, solide Konfigurationen und Anwenderbewusstsein sind klare Investitionen in die langfristige Sicherheit Ihres Unternehmens.