Zur Angriffsfläche zählen alle IT-Systeme, Komponenten und Dienste, die ein Angreifer für einen Cyberangriff ausnutzen oder missbrauchen kann. Die größten Angriffsflächen im Cyberraum findet der Angreifer in Form von IP-Adressen, Domains und URLs sowie E-Mail-Adressen und Schwachstellen vor. Die Angriffsfläche für Cyberangriffe wächst generisch mit der Digitalisierung mit. Sie wächst jedoch auch, wenn Präventionsmaßnahmen wie etwa eine Segmentierung von Netzen oder ein wirksames Patchmanagement fehlen. Falsch konfigurierte Server oder schwachstellenbehaftete Anwendungen können die Folge sein.

Im Rahmen der Dimension Angriffsfläche wird hierbei ein Überblick zur aktuellen Gefährdungslage erstellt, auf Grundlage der Analyse folgender Cyberbedrohungen und deren spezifischen Messgrößen: Schwachstellen.

Schwachstellen

• Insgesamt ist die Lage bei bekannt gewordenen Schwachstellen durchschnittlich bedrohlich.
• Die Gesamtzahl an Schwachstellen ist von 10.487 in Q4/2024 auf 10.591 im Q1/2025 angestiegen

Sachverhalt

Schwachstellen in Softwareprodukten dienen oftmals als erstes Einfallstor zur Kompromittierung von Systemen und ganzen IT-Netzen – schließlich sind sie häufig über das Internet ausnutzbar und erlauben den Angreifenden somit maximale Anonymität und Flexibilität aus der Ferne. Das BSI berichtet an dieser Stelle sowohl über die aktuelle Anzahl und Kritikalität der bekannt gewordenen Schwachstellen. Für die Bewertung der Kritikalität wurde der etablierte und anerkannte Industriestandard Common-Vulnerability-Scoring-System (CVSS-Score) herangezogen. Dieser verwendet neben dem Angriffsvektor, dem Bedarf an Nutzerinteraktion und den benötigten Rechten auch weitere Faktoren ein, die die Schwierigkeit der Ausnutzung der Ausnutzung und den mit der Ausnutzung erreichten Effekt quantifizieren. Der CVSS-Score ist der De-Facto-Standard für die Bewertung von Schwachstellen und wird regelmäßig weiterentwickelt.

Der Darstellung ist zu entnehmen, dass die Anzahl der Schwachstellen tendenziell ansteigt. Die Schwachstellenstatistik des BSI wird auf Basis von weltweiten Rohdaten des US-amerikanischen National Institute of Standards and Technology (NIST) erstellt.

Es liegen für einige Schwachstellen keine CVSS v3.1. Bewertung vor. Diese werden in den kommenden Berichten nachgereicht, sobald sie existieren.

Bewertung

Insgesamt ist die Lage bei bekannt gewordenen Schwachstellen durchschnittlich bedrohlich.

Maßnahmenempfehlungen

Sofern vorhanden sollte eine Installation von zur Verfügung stehenden Betriebssystem-Updates, Security-Patches bzw. gegebenenfalls die Umsetzung weiterer Mitigationsmaßnahmen umgehend durchgeführt werden, um Schwachstellen schnellstmöglich zu schließen. Zudem sollte ein gutes Asset-Management vorhanden sein, um eine ganzheitliche Übersicht sämtlicher Hard- und Software Komponenten zu ermöglichen und so auch einer Schatten-IT vorbeugen zu können.