01Kernaussagen

  1. 01

    Expositionszeit ist die Gesamtzahl der Stunden, in denen ein System aus einem Netzwerk erreichbar ist, das einen Angreifer beherbergen könnte. Es ist eine der wenigen Cyber-Risiko-Variablen, die Sie tatsächlich messen und steuern können.

  2. 02

    Viele „immer-aktiven“ Assets müssen es nicht sein. Backup-Repositories, ILO- und iDRAC-Interfaces, IP-Kameras, Vendor-Wartungs-VPNs — alle haben legitime Nutzungsfenster, deutlich kürzer als 24/7.

  3. 03

    Eine Reduktion der Expositionszeit senkt opportunistisches und scan-basiertes Risiko in etwa derselben Proportion. Das deckt die meisten Breaches ab.

  4. 04

    Hardware-erzwungene Trennung funktioniert, egal ob Ihr Detection-Stack perfekt konfiguriert ist oder nicht.

02Warum „immer online“ zum Standard wurde

Enterprise-IT behandelt konstante Konnektivität seit zwei Jahrzehnten als Default. Server, Storage-Arrays, Kameras, Badge-Reader, Backup-Repositories. Alles landet im Netz, jeden Tag, rund um die Uhr. Der Trade-off zwischen Konnektivität und Exposition kommt selten zur Sprache.

Die Mathematik spricht nicht für diesen Ansatz. Jede zusätzliche Stunde Erreichbarkeit ist eine weitere Stunde Exposition. Und da die meisten Angriffe heute automatisiert ablaufen, summiert sich das in einer Weise, die man messen kann.

Expositionszeit beschreibt die Bedingungen, die den Breach ermöglichen — nicht das, was danach passiert.

03Was Expositionszeit wirklich bedeutet

Expositionszeit ist die Gesamtzeit, in der ein System, Service, Port oder Management-Interface aus einem Netzwerk erreichbar ist, in dem ein Angreifer leben könnte. Gemessen pro Asset, typischerweise in Stunden pro Woche oder als Prozentsatz der Uptime.

Drei Dinge, die es nicht ist:

Window of Exposure
die Lücke zwischen Öffentlichwerden einer Schwachstelle und ausgerollten Patch.
Dwell Time
wie lange ein Angreifer drin bleibt, bevor man es bemerkt.
MTTD und MTTR
Response-Metriken. Sie beschreiben, was passiert, nachdem etwas schiefgegangen ist.

Alle drei beschreiben das Geschehen nach dem Breach. Expositionszeit beschreibt die Bedingungen, die den Breach überhaupt ermöglichen.

04Wie Expositionszeit das Risiko multipliziert

Reduziert man Cyber-Risiko auf seine Variablen, ergibt sich etwa Folgendes:

RISIKO ∝ ANGRIFFSFLÄCHE × VULNERABILITÄT × EXPOSITIONSZEIT

Angriffsfläche und Vulnerabilität bekommen die meiste Aufmerksamkeit. Ports schließen, Services abschalten, patchen: das sind ausgereifte Disziplinen mit Frameworks und Vendor-Stacks. Zeit bekommt sehr wenig — obwohl es die Variable ist, die sich am einfachsten ändern lässt.

Die meisten Angriffe gegen extern erreichbare Systeme sind nicht gezielt. Sie kommen aus Scan-Infrastruktur, die rund um die Uhr den gesamten IPv4-Raum durchkämmt. SANS Internet Storm Center Honeypots sehen erste Brute-Force-Versuche gegen exponiertes SSH oder RDP innerhalb von fünf bis zehn Minuten nach dem Online-Gehen.

Für diese opportunistische Aktivität ist die Wahrscheinlichkeit, in einer beliebigen Stunde gescannt zu werden, ungefähr flach. Ein System, das 168 Stunden pro Woche online ist, absorbiert 168 Stunden Scanning. Dasselbe System, nur 8 Stunden während eines Backup-Jobs, absorbiert 8. Die Reduktion ist linear.

05Drei Wege, wie Angreifer von Uptime profitieren

01

Opportunistisches Scanning & Massen-Exploitation

Wenn eine ernste Schwachstelle in einem weit verbreiteten Produkt auftaucht, rüstet die Scanning-Szene innerhalb von Stunden um. Log4Shell ging am selben Tag von Disclosure zu Massen-Exploitation. MOVEit Transfer kompromittierte hunderte Organisationen innerhalb von Tagen. Fortinet-, Ivanti- und Citrix-CVEs haben mehrfach breite Exploitation gesehen, bevor Verteidiger fertig gepatcht hatten. Was Opfer von allen anderen unterschied, war meist eine Sache: ob die verwundbare Box während des 24- bis 72-Stunden-Fensters zwischen Disclosure und Patch aus dem Internet erreichbar war.

02

Lateral Movement nach dem ersten Foothold

Hat ein Angreifer einen Foothold, hängt Lateral Movement davon ab, dass dieser Foothold das Ziel überhaupt erreichen kann. Backup-Repositories, Domain-Controller und Management-Interfaces sind beliebte Zweit-Ziele — fast immer aus kompromittierten Workstations erreichbar. Ein 24 Stunden täglich erreichbares Backup-Repository gibt dem Angreifer 24 Stunden täglich, um es zu zerstören. Ein nur während eines 4-Stunden-Nachtfensters erreichbares Repository zwingt zu präzisem Timing — oder Warten.

03

Persistente Command-and-Control

Die meisten Post-Exploitation-Tools brauchen einen ausgehenden Kanal zurück zum Angreifer. C2-Beacons laufen nach einem periodischen Plan, mit Minuten oder Stunden zwischen Callbacks, und erwarten kontinuierliche Outbound-Konnektivität. Geplante Outbound-Trennung bricht diese Sessions — auch wenn die Fenster kurz sind — und die Wiederherstellung sieht typischerweise anomaler aus als steady-state Beaconing.

06Warum klassische Abwehr die Expositionszeit nicht senkt

Die meisten Security-Kontrollen reduzieren Angriffsfläche oder verbessern Detection. Wenige berühren die Expositionszeit selbst.

Firewalls
filtern Traffic. Sie trennen nichts.
WAFs
schützen einzelne Applikationen. Sie haben nichts zur Management-Plane zu sagen.
EDR / XDR
sind Detection-Tools. Sie brauchen einen begonnenen Angriff, um ihre Arbeit zu tun.
Zero Trust
verbessert identitätsbasierte Access-Entscheidungen. Das Asset bleibt auf Netzwerkebene erreichbar.
Segmentierung
begrenzt, wie weit ein Angreifer im Inneren kommt. Segmentierte Assets bleiben aus ihren erlaubten Netzen erreichbar.

All das ist nützlich. Vieles ist notwendig. Nichts davon berührt die Variable Zeit.

07Der Fall für hardware-erzwungene Zeit-Isolierung

Ein Asset physisch zu trennen, wenn niemand es benutzt, gehört in eine andere Kategorie. Sie mitigieren nicht die Erreichbarkeit. Sie eliminieren sie für die Dauer der Trennung.

Drei Dinge machen hardware-erzwungene Trennung anders:

Keine Fehlkonfigurations-Fläche.
Ein physischer Bruch lässt sich nicht durch eine schlechte Firewall-Regel oder einen Routing-Fehler umgehen.
Nichts im Netz, das ausgenutzt werden kann.
Wird der Schaltmechanismus out-of-band über einen separaten Mobilfunk-Kanal gesteuert, gibt es keinen In-Band-Pfad, über den ein Angreifer den Trennzustand beeinflussen könnte.
Auditierbar in physikalischen Termen.
Jedes Verbinden und Trennen ist ein diskretes Event, das man loggen, mit Timestamp versehen und reviewen kann.

Das ist das Funktionsprinzip hinter AirgapNets AGN1- und AGN2-Geräten: ein patentierter Netzwerk-Schalter, gesteuert über einen unabhängigen GSM-Kanal, mit Unterstützung für manuelle, geplante und event-getriggerte Trennung.

Das Kabel ist offen oder geschlossen. Es gibt nichts zu fehlkonfigurieren.

08Wo Expositionszeit-Reduktion sich lohnt

Wo Expositionszeit-Reduktion sich lohnt

Spalte antippen zum Sortieren. Öffentliche Frontend-Systeme sind bewusst ausgenommen.

Asset-KlasseTatsächlich online benötigtTypische Exposition heuteMögliche Reduktion
Backup-Repository 2–6 h/Tag (Backup-Fenster) 24 h/Tag 88%
ILO / iDRAC / BMC < 2 h/Monat Wartung 24/7 99%
Vendor-Fernwartung Geplante Service-Termine Always-on VPN 99%
IP-Kameras (Arbeitsplatz) Nur Geschäftszeiten 24/7 65%
Gebäudeautomation / IoT Nur Geschäftszeiten 24/7 65%
Dev- & Test-Umgebungen Nur Geschäftszeiten 24/7 65%

09„Online wenn nötig“ in der Praxis

Ein praktisches Expositionszeit-Reduktionsprogramm hat drei Schritte, und sie sind nicht kompliziert.

  1. Inventarisieren und klassifizieren.

    Jedes Asset auflisten und fragen, was sein tatsächlicher operativer Konnektivitätsbedarf ist. Vieles ist always-on by default, nicht by design. Der Default wird selten neu überprüft.

  2. Operating-Mode wählen.

    Für jeden Kandidaten entscheiden, ob die Trennung manuell (Admin triggert), planmäßig (cron-artige Zeitfenster) oder event-getriggert sein soll (z.B. nach erfolgter Backup-Job-Rückmeldung).

  3. Die Kontrolle out-of-band fahren.

    Der Kanal, der den Schalter steuert, sollte nicht das Schicksal der Daten-Plane teilen. Ein Mobilfunk-Steuerkanal sorgt dafür, dass eine Kompromittierung des Datennetzes dem Angreifer kein Mitspracherecht am Trennzustand gibt.

AirgapNet-Hardware leistet alle drei out of the box. Connect- und Disconnect-Events werden geloggt, was Ihnen den Audit-Trail liefert, den Regulatoren unter NIS2, DORA und ISO 27001:2022 zunehmend einfordern.

10Drei häufige Einwände

„Wir brauchen 24/7-Monitoring auf allem.“

Für produktive Frontend-Systeme: ja. Für Backup-Repositories und Management-Interfaces: nein. Ein Backup-Repository braucht kein Monitoring, während es offline ist — es ist offline by design. Der Großteil des Monitoring-Werts kommt ohnehin aus den aktiven Stunden, also genau jenen, in denen das Asset verbunden ist.

„Automatisierung bricht.“

Die meisten modernen Backup-, Monitoring- und Management-Plattformen handhaben geplante Konnektivität nativ. Veeam, Acronis, Veritas, Synology und Co. erwarten dieses Muster. IPMI- und BMC-Tooling ist seit jeher von intermittierender Erreichbarkeit ausgegangen.

„Das ist kein echter Air Gap, wenn es wieder verbindet.“

Korrekt. Es ist kein klassischer Air Gap. Es ist ein kontrolliertes Expositionsfenster — ein anderes Sicherheits-Primitiv, das die Bedrohungen adressiert, die die meisten Breaches verursachen: opportunistisches Scanning, Ransomware-Backup-Targeting, Lieferketten-Kompromittierung. Zu einem Bruchteil der Kosten permanenter Isolierung.

11Schlussgedanke

Cyber-Risiko reduziert sich auf drei messbare Variablen: Angriffsfläche, Vulnerabilität und Zeit. Die Branche hat reife Disziplinen um die ersten beiden gebaut. Die dritte bekommt sehr wenig Aufmerksamkeit — was seltsam ist, denn sie lässt sich am einfachsten ändern.

Hardware-erzwungene, zeitbasierte Trennung senkt die Expositionszeit für Assets, die nicht rund um die Uhr erreichbar sein müssen. AGN1 und AGN2 arbeiten neben Ihrem bestehenden Security-Stack, nicht statt dessen. Sie funktionieren ohne perfekte Konfiguration und ohne perfekte Detection.

Bereit, Ihre Expositionszeit zu senken?

AGN1 — in einem Nachmittag deployen, in physischen Termen auditieren.

Patentierter, GSM-gesteuerter Netzwerk-Schalter. Trennen Sie jedes Ethernet-Asset physisch — planmäßig oder on demand. Arbeitet neben Ihrem Firewall- und Backup-Stack.

AGN1 ansehen Praxisbeispiele

Verwandte Artikel

Der begleitende Artikel dieser Ausgabe. Air Gap neu gedacht: Von permanenter Isolation zu zeitbasierter Trennung