Startseite Glossar Attack Surface

Attack Surface

Englisch: Attack Surface

Attack Surface ist die Gesamtheit aller potenziellen Angriffspunkte eines IT-Systems, einer Anwendung oder einer Organisation, über die ein Angreifer unbefugten Zugang erlangen, Daten entwenden oder Schaden anrichten könnte. Sie umfasst alle Einstiegspunkte (Entry Points) und Ausstiegspunkte (Exit Points) sowie alle zugehörigen schutzbedürftigen Daten und Zugriffskontrollen. ISO/IEC 27001:2022 adressiert die systematische Reduzierung der Angriffsfläche in Annex A Control 8.8 (Management of Technical Vulnerabilities) und Control 8.9 (Configuration Management): Durch lückenlose Asset-Inventarisierung, standardisierte Härtungskonfigurationen und strukturiertes Schwachstellenmanagement wird die exponierte Fläche auf das betrieblich notwendige Minimum begrenzt.

Normative Grundlage: ISO/IEC 27001:2022 Annex A.8.8 + NIST CSF 2.0 ID.AM-03/ID.AM-04 + OWASP Attack Surface Analysis Cheat Sheet

Hintergrund und normative Einordnung

Das Konzept der Attack Surface entstammt ursprünglich der Softwaresicherheitsforschung der frühen 2000er-Jahre. Michael Howard und andere Microsoft-Security-Forscher prägten den Begriff im Kontext der Secure Development Lifecycle (SDL) Methodik. Der Grundgedanke: Jede zusätzliche Funktion, jeder offene Port, jede Benutzerschnittstelle und jede externe Integration vergrößert die Fläche, die Angreifer ausnutzen können. Je kleiner die Angriffsfläche, desto geringer die Wahrscheinlichkeit, dass ein Angreifer einen nutzbaren Einstiegspunkt findet. OWASP hat dieses Konzept im Attack Surface Analysis Cheat Sheet für Anwendungssicherheit operationalisiert und in drei Kernkategorien strukturiert: Einstiegspunkte und Ausstiegspunkte (alle Pfade für Daten und Befehle in das System und aus dem System heraus), schutzbedürftige Daten (alle sensitiven Informationen, die das System verarbeitet, speichert oder überträgt) sowie Schutzcode (alle Authentifizierungs-, Autorisierungs- und Validierungslogiken). ISO/IEC 27001:2022 hat das Konzept in den normativen Rahmen überführt: Annex A Control 8.8 (Management of Technical Vulnerabilities) fordert die systematische Identifikation und Bewertung technischer Schwachstellen, was eine vollständige Kenntnis der exponierten Angriffsfläche voraussetzt. Annex A Control 8.9 (Configuration Management) ergänzt dies um das Prinzip standardisierter Härtungskonfigurationen, die die Angriffsfläche durch Deaktivierung nicht benötigter Dienste, Schnittstellen und Protokolle aktiv reduzieren.

In der deutschen und europäischen Compliance-Landschaft hat das Attack-Surface-Management seit 2022 erheblich an regulatorischer Bedeutung gewonnen. NIS-2 (Richtlinie EU 2022/2555) verpflichtet wesentliche und wichtige Einrichtungen in Artikel 21 Absatz 2 zu einem umfassenden risikobasierten Ansatz für Netzwerk- und Informationssicherheit. Die Analyse und kontinuierliche Überwachung der Angriffsfläche ist methodische Voraussetzung für die dort geforderten Sicherheitskonzepte. BSI IT-Grundschutz-Kompendium Edition 2023 verankert das Prinzip der Angriffsflächen-Minimierung in mehreren Bausteinen: Der Begriff "Härten" und seine Variationen erscheinen in der Edition 2023 insgesamt 55-mal, verglichen mit nur 27-mal in der Edition 2018. OPS.1.1.1 (Allgemeiner IT-Betrieb) fordert rollenbasierte Härtungskonfigurationen für unterschiedliche Systemkategorien. SYS.1.1 (Allgemeiner Server) und SYS.2.1 (Allgemeiner Client) benennen die Minimierung der Angriffsfläche durch Deaktivierung nicht benötigter Dienste und Schnittstellen als Standardanforderung. ORP.4 (Identitäts- und Berechtigungsmanagement) adressiert die Reduzierung der logischen Angriffsfläche durch Least-Privilege-Prinzip und Deaktivierung inaktiver Identifikatoren. ENISA Threat Landscape 2024 belegt, dass die Angriffsfläche moderner Organisationen durch drei Entwicklungen erheblich gewachsen ist: die Verlagerung von Diensten in die Cloud (neue externe Angriffspunkte), die Ausweitung von Lieferketten und Software-Abhängigkeiten (Supply-Chain-Surface) sowie die Proliferation von IoT- und OT-Geräten. Unsere ISO 27001-Zertifizierung unterstützt Organisationen dabei, die Anforderungen von Annex A.8.8 und A.8.9 strukturiert umzusetzen und die organisationale Angriffsfläche systematisch zu erfassen und zu begrenzen.

Normative Bezüge:

ISO/IEC 27001:2022 Annex A Control 8.8 (Management of Technical Vulnerabilities) ISO/IEC 27001:2022 Annex A Control 8.9 (Configuration Management) ISO/IEC 27001:2022 Annex A Control 8.20 (Networks security)

Vorgehen in der Praxis

Das Attack-Surface-Management folgt einem iterativen Viererschritt-Prozess: von der vollständigen Asset-Inventarisierung über das Exposure-Mapping und die gezielten Reduktionsstrategien bis zur kontinuierlichen Wiederentdeckung neuer Angriffsflächen. Ziel ist nicht die theoretische Nullfläche, sondern eine bewusst gestaltete, dokumentierte und auf das betrieblich Notwendige begrenzte Angriffsfläche, die den Anforderungen von ISO 27001:2022 Annex A.8.8 und A.8.9 sowie NIST SP 800-53 CM-8 entspricht.

1
Schritt 1: Asset-Inventarisierung (Asset Inventory) Die vollständige Kenntnis aller vorhandenen Assets ist die unverzichtbare Grundlage für jede Attack-Surface-Analyse. NIST SP 800-53 Rev. 5 Control CM-8 fordert, ein Inventar aller Systemkomponenten zu entwickeln und zu dokumentieren, das das System akkurat abbildet, alle Komponenten umfasst, keine Doppelzählungen enthält und mit dem Detailgrad geführt wird, der für Nachvollziehbarkeit und Berichterstattung erforderlich ist. Das Inventar muss Systembezeichnungen, Softwareversionen, Netzwerkadressen über alle implementierten Protokolle (IPv4, IPv6) sowie Eigentümer-Informationen enthalten. NIST CSF 2.0 ID.AM-04 ergänzt die Anforderung auf Lieferantenleistungen: Inventare der von Lieferanten bereitgestellten Dienste müssen geführt werden, da diese einen eigenständigen Teil der organisationalen Angriffsfläche bilden. In der Praxis werden Asset-Inventar-Tools (z.B. netzwerkbasierte Discovery-Scanner, CMDB-Systeme) mit manuellen Erhebungen für nicht-netzwerkgebundene Assets kombiniert. BSI IT-Grundschutz SYS.1.1 und SYS.2.1 fordern die Dokumentation aller aktivierten Dienste und Schnittstellen als Mindestanforderung für Server- und Client-Systeme.
2
Schritt 2: Exposure-Mapping (Exponierungsanalyse) Auf Basis des Asset-Inventars wird für jeden Asset-Typ und jeden Dienst die tatsächliche Exposition bewertet: Welche Assets sind über das Internet erreichbar? Welche Schnittstellen sind nur intern zugänglich? Welche Daten fließen über welche Kanäle? NIST CSF 2.0 ID.AM-03 fordert explizit, Repräsentationen der autorisierten Netzwerkkommunikation und der internen wie externen Datenflüsse zu führen, was einem formalen Exposure-Mapping entspricht. OWASP empfiehlt im Attack Surface Analysis Cheat Sheet, Entry Points und Exit Points systematisch zu erfassen: Webformulare und HTTP-Header, APIs und Web-Services, Datei-Uploads, Datenbankzugriffe, externe System-Schnittstellen sowie Legacy-Schnittstellen und Backward-Compatible-Protokolle. ISO/IEC 27001:2022 Annex A.8.20 (Networks security) adressiert die Netzwerkdimension: Netzwerkzugangskontrollen, Netzwerksegmentierung und die Überwachung des Netzwerkverkehrs sind Kontrollen, die direkt die Netzwerk-Angriffsfläche begrenzen. Besondere Aufmerksamkeit gilt hochriskanten Kategorien: internet-exponierter Code, benutzerdefinierte APIs, Sicherheitscode (Kryptographie, Authentifizierung, Autorisierung) und Session-Management-Logik.
3
Schritt 3: Reduction-Strategien (Angriffsflächen-Reduzierung) Nach der Exposition folgt die aktive Reduzierung der Angriffsfläche. ISO/IEC 27001:2022 Annex A.8.9 (Configuration Management) ist der primäre normative Rahmen: Durch standardisierte Härtungskonfigurationen werden nicht benötigte Dienste deaktiviert, Standard-Passwörter geändert und unnötige Ports geschlossen. BSI IT-Grundschutz Edition 2023 konkretisiert dies in OPS.1.1.1: Organisationen sollen betriebene IT-Komponenten kategorisieren und gehärtete Standardkonfigurationen für diese Kategorien erstellen und bereitstellen. OWASP nennt fünf Reduktionsstrategien: (1) Ungenutzte Funktionen und Schnittstellen eliminieren, (2) Benutzerrollen vereinfachen, (3) unnötige Datenspeicherung reduzieren, (4) operative Kontrollen einsetzen (WAF, Intrusion Detection) und (5) Versions- und Konfigurationsmanagement aufrechterhalten. Eine kritische Dimension ist die logische Angriffsfläche: ORP.4 (Identitäts- und Berechtigungsmanagement) fordert die Deaktivierung inaktiver Identifikatoren und das Least-Privilege-Prinzip, was die logische Angriffsfläche durch Minimierung der Anzahl privilegierter Konten reduziert. CWE-1125 (Excessive Attack Surface) klassifiziert eine zu groß dimensionierte Angriffsfläche als Schwachstelle auf Design- und Implementierungsebene, was die Bedeutung von Reduction als integraler Teil der Sicherheitsarchitektur unterstreicht.
4
Schritt 4: Continuous Discovery (Kontinuierliche Wiederentdeckung) Die Angriffsfläche ist keine statische Größe: Neue Assets, Dienste, Cloud-Ressourcen, Drittanbieter-Integrationen und Shadow-IT-Komponenten entstehen kontinuierlich. ISO/IEC 27001:2022 Clause 10.2 (Continual Improvement) und das im Continual-Improvement-Gebot implizierte regelmäßige Review der Angriffsfläche bilden den normativen Rahmen. NIST SP 800-53 CM-8(3) (Automated Unauthorized Component Detection) geht weiter: Automatisierte Mechanismen sollen unautorisierte Hardware-, Software- und Firmware-Komponenten erkennen und als Reaktion den Netzwerkzugang deaktivieren, Komponenten isolieren oder zuständige Stellen benachrichtigen. ENISA Threat Landscape 2024 belegt die Dynamik empirisch: Cloud-Dienste, Lieferanten-APIs und Unified-Communications-Plattformen sind in den letzten Jahren zu eigenständigen Angriffsflächen-Kategorien geworden, die mit klassischen On-Premises-Inventarisierungsmethoden nicht vollständig erfasst werden. Continuous Discovery kombiniert aktive Netzwerk-Scans, passive Traffic-Analyse, API-Gateway-Monitoring und externe Attack-Surface-Management-Plattformen, um neue Angriffspunkte schnell zu erkennen. NIST CSF 2.0 ID.AM-03 und ID.AM-04 sind als kontinuierliche Anforderungen formuliert (Inventare "werden geführt", nicht "wurden erstellt"), was den iterativen Charakter des Attack-Surface-Managements normativ verankert.

ISO/IEC 27001:2022 Annex A.8.9 und NIST SP 800-53 CM-8(3) belegen, dass eine vollständige Angriffsflächen-Erfassung (Asset-Inventar plus Exposure-Mapping) die notwendige Voraussetzung für jede wirksame Härtungsmaßnahme ist: Wer seine Angriffsfläche nicht kennt, kann sie weder reduzieren noch überwachen.

Abgrenzung zu verwandten Begriffen

Begriff Fokus Verhältnis zu Attack Surface
Angriffsvektor (Attack Vector) Der konkrete, tatsächlich genutzte Pfad, den ein Angreifer für einen spezifischen Angriff wählt (z.B. Phishing-E-Mail mit Schadanhang, Exploit eines offenen Webservice-Ports). Die Attack Surface ist die Menge aller theoretisch nutzbaren Angriffspunkte, der Angriffsvektor ist der einzelne, tatsächlich verwendete Pfad innerhalb dieser Fläche. Je größer die Angriffsfläche, desto mehr potenzielle Angriffsvektoren existieren. Attack-Surface-Reduzierung verringert die Anzahl verfügbarer Vektoren, ohne dass für jeden Vektor eine separate Gegenmaßnahme entwickelt werden muss.
Schwachstelle (Vulnerability) Eine konkrete Schwäche eines Assets oder einer Kontrolle, die durch eine Bedrohung ausgenutzt werden kann (ISO 27000:2018 Clause 3.77); beschreibt den ausnutzbaren Defekt, nicht die Gesamtexponierung. Schwachstellen sind die ausnutzbaren Defekte an den einzelnen Angriffspunkten der Attack Surface. Eine große Angriffsfläche erhöht die statistische Wahrscheinlichkeit, dass Schwachstellen vorhanden sind, weil mehr Code, mehr Dienste und mehr Schnittstellen zu pflegen sind. Attack-Surface-Reduzierung verringert die Anzahl potenzieller Schwachstellen-Orte proaktiv, bevor Schwachstellen entstehen.
Asset-Inventur (Asset Inventory) Das vollständige Verzeichnis aller organisationalen Assets (Hardware, Software, Daten, Dienste) als Basis für Risikobewertung und Kontrollumsetzung nach ISO 27001:2022 Annex A.5.9. Das Asset-Inventar ist die Vorstufe und Datengrundlage für die Attack-Surface-Analyse. Ein Asset-Inventar listet auf, was existiert; das Attack-Surface-Mapping bewertet zusätzlich, welche dieser Assets nach außen exponiert sind, welche Interaktionspunkte sie bieten und wie groß ihre Angriffsfläche ist. Ohne vollständiges Asset-Inventar ist keine zuverlässige Attack-Surface-Analyse möglich.

Typische Fehler und wie ihr sie vermeidet

  • Shadow-IT und unvollständiges Asset-Inventar: Ein häufiger Fehler ist die Annahme, dass das offizielle Asset-Inventar die gesamte Angriffsfläche abbildet. In der Praxis betreiben Fachabteilungen eigenverantwortlich Cloud-Dienste, Testumgebungen, SaaS-Applikationen und IoT-Geräte außerhalb der zentralen IT-Governance. Diese sogenannte Shadow-IT bildet einen nicht erfassten Teil der Angriffsfläche und untergräbt das Prinzip vollständiger Inventarisierung nach NIST SP 800-53 CM-8. BSI IT-Grundschutz OPS.1.1.1 fordert explizit, dass IT-Betrieb alle betriebenen IT-Komponenten kategorisiert und in Härtungskonfigurationen einbezieht. Wer Shadow-IT nicht systematisch aufdeckt (z.B. durch Netzwerk-Discovery-Scans, Cloud-Access-Security-Broker oder regelmäßige Befragung von Fachabteilungen), hat eine strukturell unterschätzte Angriffsfläche.
  • Cloud-Surface systematisch unterschätzt: Klassische Attack-Surface-Analysen fokussieren auf On-Premises-Systeme und vernachlässigen die erhebliche Angriffsfläche, die Cloud-Dienste, API-Gateways, Container-Images und serverlose Funktionen darstellen. ENISA Threat Landscape 2024 dokumentiert, dass Angreifer legitime Cloud-Dienste (GitHub, Vimeo, soziale Medien) zunehmend als Angriffs-Infrastruktur missbrauchen und dass Unified-Communications-Plattformen (Teams, Webex) bevorzugte Ziele sind, weil ihre Angriffsfläche oft nicht in klassische Sicherheitsmodelle einbezogen wird. NIST CSF 2.0 ID.AM-03 adressiert dies explizit: Inventare externer Datenkommunikation müssen geführt werden. ISO 27001:2022 Annex A.5.23 (Information security for use of cloud services) ergänzt mit der Forderung nach einer klaren Governance für Cloud-Dienste als Teil des Gesamt-Attack-Surface-Managements.
  • Drittanbieter-Surface fehlt in der Analyse: Die Angriffsfläche endet nicht an der Grenze der eigenen Organisation. Lieferanten, Managed-Service-Provider, Softwareentwickler und andere Drittparteien, die Zugang zu internen Systemen haben oder Software liefern, stellen einen eigenständigen Teil der organisationalen Angriffsfläche dar. NIST CSF 2.0 ID.AM-04 fordert explizit das Führen von Inventaren der von Lieferanten bereitgestellten Dienste. ENISA Threat Landscape 2024 belegt mit dem XZ-Utils-Backdoor-Fall (März 2024, eingeschleuster Schadcode durch kompromittierten Open-Source-Maintainer) und dem 3CX-Angriff (2023), dass Supply-Chain-Angriffspunkte zu den empirisch relevantesten Attack-Surface-Kategorien gehören. ISO 27001:2022 Annex A.5.19 (Information security in supplier relationships) adressiert diesen Teilaspekt, aber viele Organisationen beschränken die Attack-Surface-Analyse auf direkt kontrollierte Systeme.
  • Einmalige Erhebung statt Continuous Discovery: Attack-Surface-Management wird häufig als einmaliges Projekt im Rahmen einer ISO-27001-Zertifizierung durchgeführt und danach nicht systematisch aktualisiert. NIST SP 800-53 CM-8(3) fordert automatisierte Erkennung unautorisierter Komponenten als kontinuierlichen Prozess, nicht als periodische Momentaufnahme. ISO 27001:2022 Clause 10.2 (Continual Improvement) und das Prinzip des regelmäßigen Management Reviews nach Clause 9.3 setzen voraus, dass die Angriffsfläche einer Organisation sich verändert und daher kontinuierlich überwacht wird. Die Praxis zeigt, dass in modernen Umgebungen täglich neue Assets entstehen: Cloud-Instanzen, Container, API-Endpunkte, Entwicklungsumgebungen. Eine einmalige Bestandsaufnahme veraltet schnell und gibt der Organisation ein falsches Sicherheitsgefühl, ohne tatsächlich Kontrolle über die reale Angriffsfläche zu bieten.

Relevanz im regulatorischen Kontext

NIS-2 (Richtlinie EU 2022/2555) ist das zentrale europäische Regulierungswerk für Attack-Surface-Management in wesentlichen und wichtigen Einrichtungen. Artikel 21 Absatz 2 Buchstabe a fordert Konzepte für die Risikoanalyse und Sicherheit von Informationssystemen, was die systematische Erfassung und Bewertung der organisationalen Angriffsfläche methodisch einschließt. Buchstabe e adressiert Sicherheitsmaßnahmen beim Erwerb, der Entwicklung und Wartung von Netzwerk- und Informationssystemen, was Härtungsanforderungen und Konfigurationsmanagement umfasst. Buchstabe d verlangt die Sicherheit der Lieferkette, was die Einbeziehung von Drittanbieter-Angriffsflächen verpflichtend macht. Die deutschen Umsetzungsmaßnahmen (NIS2UmsuCG, Referentenentwurf 2024) schärfen diese Anforderungen und sehen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen bei Nichterfüllung vor. BSI-Standard 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz) bietet die methodische Umsetzungsgrundlage: Die Schutzbedarfsfeststellung und die Bausteinauswahl des IT-Grundschutz-Kompendiums operationalisieren Attack-Surface-Management im deutschen Regulierungskontext.

Der Digital Operational Resilience Act (DORA, Verordnung EU 2022/2554) geht für den Finanzsektor über NIS-2 hinaus: Artikel 26 fordert von identifizierten Finanzunternehmen Threat-Led Penetration Testing (TLPT) mindestens alle drei Jahre auf Live-Produktionssystemen. TLPT-Szenarien setzen eine vollständige Kenntnis der Angriffsfläche voraus, da die Pentester ausdrücklich die reale, produktive Angriffsfläche testen müssen. Die begleitenden RTS (Delegierte Verordnung EU 2025/1190) regeln Testumfang und Scope-Definition für TLPT, was einer formalisierten Attack-Surface-Abgrenzung entspricht. Für KRITIS-Betreiber in Deutschland konkretisiert das BSI über die KRITIS-Verordnung und das IT-Sicherheitsgesetz 2.0 die Anforderungen an Attack-Surface-Management durch Auflagen zu Angriffserkennungssystemen und Meldepflichten. ISO/IEC 27001:2022 bildet für alle regulierten Sektoren den normativen Referenzrahmen: Annex A.8.8 (Schwachstellenmanagement) und A.8.9 (Konfigurationsmanagement) sind die primären Controls für Attack-Surface-Management, ergänzt durch A.8.20 (Netzwerksicherheit) und A.5.9 (Inventar von Informationen und anderen verbundenen Assets).

Häufige Fragen

Was ist der Unterschied zwischen Attack Surface und Angriffsvektor?
Die Attack Surface (Angriffsfläche) ist die Gesamtheit aller potenziellen Angriffspunkte eines Systems: alle Eingabepunkte, offenen Ports, Benutzerschnittstellen, APIs und Drittanbieter-Integrationen, über die ein Angreifer theoretisch Einfluss nehmen könnte. Der Angriffsvektor ist der konkrete, von einem Angreifer tatsächlich gewählte Pfad innerhalb dieser Fläche, also der spezifische Weg, auf dem ein Angriff stattfindet (z.B. Phishing-E-Mail, Exploit eines ungepatchten Webdienstes). CVSS v4.0 nutzt den Angriffsvektor als Basis-Metrik zur Bewertung einzelner Schwachstellen (Network, Adjacent, Local, Physical), während Attack-Surface-Management die gesamte Exposition einer Organisation über alle Assets hinweg erfasst und reduziert. Vereinfacht: Die Attack Surface definiert das Feld möglicher Angriffe, der Angriffsvektor ist der tatsächliche Angriffspfad.
Wie fordert ISO 27001:2022 das Management der Angriffsfläche?
ISO 27001:2022 adressiert Attack-Surface-Management über mehrere Annex-A-Controls. Control 8.8 (Management of Technical Vulnerabilities) verlangt die systematische Identifikation und Bewertung technischer Schwachstellen, was eine vollständige Kenntnis der exponierten Assets als Voraussetzung hat. Control 8.9 (Configuration Management) fordert standardisierte Härtungskonfigurationen für alle Hardware-, Software- und Dienst-Komponenten, was die Angriffsfläche durch Deaktivierung nicht benötigter Funktionen aktiv reduziert. Control 5.9 (Inventory of information and other associated assets) legt die Basis mit der Anforderung eines vollständigen Asset-Inventars. Control 8.20 (Networks security) adressiert die Netzwerk-Angriffsfläche über Segmentierung und Zugriffskontrollen. Organisationen müssen diese Controls als zusammenhängendes System implementieren: Das Asset-Inventar aus 5.9 bildet die Grundlage für die Schwachstellenanalyse aus 8.8, die Härtung aus 8.9 und die Netzwerksicherheit aus 8.20.
Wie oft sollte die Angriffsfläche einer Organisation überprüft werden?
Eine einmalige Erfassung der Angriffsfläche ist nach NIST SP 800-53 CM-8(3) und ISO 27001:2022 Clause 10.2 nicht ausreichend. NIST fordert automatisierte, kontinuierliche Erkennung unautorisierter Systemkomponenten. ISO 27001 verlangt im Rahmen des Continual Improvement eine regelmäßige Überprüfung, deren Frequenz die Organisation risikoorientiert festlegt. In der Praxis empfiehlt sich eine Kombination: kontinuierliches Monitoring durch automatisierte Discovery-Tools (z.B. für neue Cloud-Assets, neue Netzwerkgeräte), vierteljährliche manuelle Überprüfung des Asset-Inventars gegen bekannte Drittanbieter-Dienste und Lieferanten-Zugänge sowie jährliche vollständige Attack-Surface-Reviews im Rahmen des ISO-27001-Managementreviews nach Clause 9.3. Bei wesentlichen Änderungen (neue Cloud-Migrationen, neue Lieferantenintegrationen, Akquisitionen) ist eine Ad-hoc-Überprüfung der betroffenen Angriffsfläche erforderlich.

Quellen & weiterführende Literatur

  1. ISO/IEC 27001:2022, Information security, cybersecurity and privacy protection: Information security management systems, Requirements (Annex A Controls 5.9, 8.8, 8.9, 8.20)
  2. NIST Cybersecurity Framework 2.0 (CSF 2.0), Identify Function, Asset Management Subcategories ID.AM-03 und ID.AM-04 (Februar 2024)
  3. NIST Special Publication 800-53 Rev. 5, Security and Privacy Controls for Information Systems and Organizations, Control CM-8 (System Component Inventory) und CM-8(3) (Automated Unauthorized Component Detection)
  4. OWASP Attack Surface Analysis Cheat Sheet (cheatsheetseries.owasp.org), Entry Points, Exit Points, Reduktionsstrategien für Anwendungssicherheit
  5. BSI IT-Grundschutz-Kompendium Edition 2023, Bausteine SYS.1.1, SYS.2.1, OPS.1.1.1, ORP.4 (Systemhärtung und Angriffsflächen-Minimierung)
  6. ENISA Threat Landscape 2024 (ETL 2024), Kapitel zu Cloud-Attack-Surface und Supply-Chain-Bedrohungen (Oktober 2024)
  7. Richtlinie (EU) 2022/2555 (NIS-2), Artikel 21 Absatz 2 (Risikomanagementmaßnahmen für wesentliche und wichtige Einrichtungen)
  8. CWE-1125: Excessive Attack Surface (MITRE Common Weakness Enumeration, Version 4.19), Abstraction: Base, klassifiziert als Qualitätsschwachstelle auf Design- und Implementierungsebene