Die meisten Schweizer Unternehmen kennen ihre eigene digitale Angriffsfläche nicht vollständig. Vergessene Subdomains, Cloud‑Ressourcen ausserhalb der IT‑Kontrolle und Schatten‑IT erzeugen blinde Flecken, die Angreifer systematisch ausnutzen. In diesem Beitrag erklären wir, was External Attack Surface Management (EASM) bedeutet, warum die externe Angriffsfläche schneller wächst als die Sicherheitsbudgets und welche konkreten Schritte CISOs und Verwaltungsräte jetzt priorisieren sollten.
📑 Inhaltsübersicht
Was ist External Attack Surface Management? · Ihre digitale Angriffsfläche hat blinde Flecken: Schatten‑IT, Cloud und vergessene Assets · Bedrohungslage Schweiz: Zahlen und Vorfälle · Wie EASM die digitale Angriffsfläche sichtbar macht · Warum klassisches Schwachstellenmanagement nicht mehr genügt · Handlungsempfehlungen für CISOs und Verwaltungsräte · Häufig gestellte Fragen
Was ist External Attack Surface Management? Definition und Einordnung
External Attack Surface Management (kurz EASM) ist der Ansatz, die digitale Angriffsfläche eines Unternehmens kontinuierlich zu erkennen, zu klassifizieren und zu überwachen. Dazu gehören Webserver, APIs, Cloud‑Instanzen, Mail‑Gateways, VPN‑Zugänge, Subdomains, IP‑Bereiche und zunehmend auch IoT‑Geräte. Der entscheidende Punkt: EASM arbeitet von aussen, also aus der Perspektive eines potenziellen Angreifers und deckt damit auch Assets auf, die der internen IT gar nicht bekannt sind.
Anders als klassisches Vulnerability Management, das bekannte Systeme scannt, beantwortet EASM eine grundlegendere Frage: Welche digitale Infrastruktur besitzt mein Unternehmen überhaupt — und welche davon ist exponiert? In einer Zeit, in der Unternehmen ihre IT‑Landschaft durch Cloud‑Migration, Akquisitionen und dezentrale Teams laufend erweitern, ist diese Frage wichtiger denn je.
Die externe Angriffsfläche umfasst alles, was ein Angreifer aus dem Internet sehen kann
Warum EASM für jedes Schweizer Unternehmen relevant ist
Die Schweiz gehört zu den am stärksten vernetzten Volkswirtschaften der Welt. Finanzdienstleister, Pharma‑ und Industrieunternehmen, der öffentliche Sektor und eine lebhafte KMU‑Landschaft betreiben eine immer komplexere digitale Infrastruktur. Gleichzeitig hat die Schweiz laut Check Point im ersten Quartal 2025 den weltweit höchsten prozentualen Anstieg von Cyberangriffen verzeichnet: +113 % im Jahresvergleich, mit durchschnittlich 1’279 Angriffen pro Woche und Organisation.
Die Gleichung ist einfach: Je grösser und unkontrollierter die digitale Angriffsfläche, desto mehr Einfallstore stehen Angreifern zur Verfügung. EASM macht diese Einfallstore sichtbar bevor sie ausgenutzt werden.
Ihre digitale Angriffsfläche hat blinde Flecken: Schatten‑IT, Cloud und vergessene Assets
Die grösste Herausforderung bei der Erkennung Ihrer digitalen Angriffsfläche ist nicht die Absicherung bekannter Systeme, sondern das Finden von unbekannten Systemen. In nahezu jedem Unternehmen existieren digitale Assets, die ausserhalb der formellen IT‑Kontrolle liegen. Die Ursachen sind vielfältig, die Konsequenzen einheitlich: Jedes unbekannte Asset ist ein potenzielles Einfallstor und erhöht Ihr Cyber-Risiko.
Schatten‑IT: Wenn Fachabteilungen eigene Infrastruktur schaffen
Marketingteams, die eigenständig Landing‑Pages bei Cloud‑Anbietern aufsetzen. Entwickler, die Testumgebungen in AWS oder Azure erstellen und nach dem Projekt nicht abschalten. Abteilungen, die SaaS‑Dienste ohne IT‑Freigabe nutzen. All das erzeugt eine wachsende Schatten‑IT, die im zentralen Asset‑Register fehlt. Studien zeigen, dass Unternehmen im Schnitt 30 bis 40 % mehr extern erreichbare Assets besitzen, als ihre IT‑Abteilung dokumentiert hat. Diese «vergessenen» Systeme werden nicht gepatcht, nicht überwacht und sind daher besonders verwundbar.
Cloud‑Wildwuchs: Fehlkonfigurationen als Dauerproblem
Cloud‑Umgebungen bei AWS, Microsoft Azure und Google Cloud Platform wachsen organisch. Neue Services werden schnell provisioniert, Sicherheitskonfigurationen aber nicht immer konsequent umgesetzt. Öffentlich zugängliche Storage‑Buckets, exponierte Datenbanken und ungeschützte Verwaltungsoberflächen sind keine Seltenheit. Nach Angaben führender Cloud‑Security‑Anbieter gehen bis zu 80 % der Sicherheitsvorfälle in Cloud‑Umgebungen auf Fehlkonfigurationen zurück, nicht jedoch auf ausgefeilte Angriffsmethoden. Der Angreifer muss also oft nicht einmal besonders versiert sein: Er muss nur systematisch nach offenen Türen suchen.
Vergessene und verwaiste Systeme: Altlasten mit Konsequenzen
Fusionen, Übernahmen und Reorganisationen hinterlassen digitale Spuren. Alte Webshops, abgelöste Portale, Testserver aus Migrationsprojekten und Domains ehemaliger Tochtergesellschaften bleiben oft jahrelang aktiv, ohne dass jemand die Verantwortung übernimmt. Hinzu kommen SSL‑Zertifikate, die ablaufen und Warnungen im Browser auslösen, veraltete CMS‑Installationen mit bekannten Schwachstellen und API‑Endpunkte, die nach Projektabschluss weiterhin erreichbar sind. Diese Altlasten sind für Angreifer besonders attraktiv, weil sie in der Regel über die geringste Sicherheitsreife verfügen.
Bedrohungslage Schweiz: Warum Sie Ihre digitale Angriffsfläche jetzt analysieren sollten
Die Schweiz steht im Fokus internationaler Cyberkrimineller und die Zahlen sprechen eine deutliche Sprache. Die folgenden Entwicklungen verdeutlichen, warum die Kontrolle der eigenen Angriffsfläche gerade jetzt entscheidend ist.
+113 % mehr Cyberangriffe in der Schweiz im Q1 2025 im Vergleich zum Vorjahr: Der weltweit höchste prozentuale Anstieg laut Check Point Research. Pro Woche und Organisation wurden durchschnittlich 1’279 Angriffsversuche registriert.
222 Pflichtmeldungen an das BACS im ersten Jahr der obligatorischen Meldepflicht für kritische Infrastrukturen (seit 1. April 2025). Fast eine Meldung pro Tag und die Dunkelziffer liegt womöglich noch deutlich höher.
175 bestätigte Cyber‑Incidents in der Schweiz allein 2024, nachvollziehbar über Darknet‑Leak‑Sites und Untergrundforen. Die am stärksten betroffenen Sektoren: Konsumgüter, Technologie, Fertigung und Finanzdienstleistungen.
58 Schweizer Organisationen wurden 2025 als Ransomware‑Opfer bestätigt. Die aktivsten Gruppen in der Schweiz sind derzeit Akira, Qilin und Play.
Der besteht ein direkter Zusammenhang mit der digitalen Angriffsfläche: Ransomware‑Gruppen und ihre Zulieferer (sogenannte Initial Access Broker) suchen gezielt nach exponierten Systemen, offenen RDP‑Zugängen, ungepatchten VPN‑Gateways und vergessenen Webapplikationen. Eine unkontrollierte Angriffsfläche ist keine theoretische Schwäche, sondern die häufigste Eintrittstür bei realen Vorfällen.
Ein eindrückliches Beispiel für die Folgen unzureichender externer Kontrolle liefert der Xplain‑Vorfall von 2023: Beim Berner IT‑Dienstleister für Bundesbehörden wurden 1,3 Millionen Dateien durch die Play‑Ransomware‑Gruppe gestohlen. 65’000 Dokumente betrafen die Bundesverwaltung, darunter klassifizierte Unterlagen. Der Vorfall löste eine umfassende Überprüfung aller IT‑Lieferantenverträge des Bundes aus und beschädigte das Vertrauen nachhaltig.
Wie EASM die digitale Angriffsfläche sichtbar macht: Von der Erkennung zur Priorisierung
Modernes External Attack Surface Management arbeitet in vier aufeinander aufbauenden Phasen. Zusammen bilden sie einen kontinuierlichen Kreislauf, der die digitale Angriffsfläche sichtbar, bewertbar und steuerbar macht.
Phase 1, Discovery (Erkennung): EASM‑Lösungen scannen das gesamte Internet nach Assets, die Ihrem Unternehmen zugeordnet werden können. Dies umfasst DNS‑Einträge, WHOIS‑Daten, SSL‑Zertifikate, IP‑Ranges, Cloud‑Dienste und öffentliche Code‑Repositories. Entscheidend ist, dass auch Assets gefunden werden, die nicht im offiziellen Inventar stehen, wie etwa durch Reverse‑DNS‑Lookup, Zertifikatstransparenz‑Logs und maschinelles Lernen zur Zuordnung.
Phase 2, Inventarisierung und Attribution: Alle entdeckten Assets werden dem Unternehmen zugeordnet, kategorisiert (Webserver, Mail‑Gateway, API, IoT etc.) und inventarisiert. Fortschrittliche Lösungen erkennen dabei auch Cloud‑Provider, Hosting‑Standorte und technische Abhängigkeiten.
Phase 3, Risikobewertung und Priorisierung: Jedes Asset wird anhand seiner Exposition bewertet: Gibt es bekannte Schwachstellen? Ist Software veraltet? Sind Konfigurationen fehlerhaft? Werden Sicherheitsstandards eingehalten? Diese Bewertung wird mit einer Art Bedrohungsintelligenz angereichert, also der Frage, ob ein Angriffsvektor aktuell aktiv ausgenutzt wird, um später nach Geschäftskritikalität priorisiert zu werden.
Phase 4, Monitoring und Alerting: Die Angriffsfläche verändert sich täglich. EASM arbeitet daher kontinuierlich und alarmiert bei neuen Expositionen, Veränderungen der Risikobewertung oder dem Auftauchen von Assets in Bedrohungskontexten (z. B. auf Darknet‑Marktplätzen oder in Infostealer‑Logs).
Der Wert dieses Ansatzes liegt in der Aussenperspektive: EASM zeigt nicht, wie Sie Ihre IT selbst sehen, sondern wie ein Angreifer Ihre digitale Angriffsfläche sieht. Und diese Perspektive ist für die strategische Steuerung Ihres Cyber-Risikos unverzichtbar.
Warum klassisches Schwachstellenmanagement nicht mehr genügt
Viele Unternehmen verlassen sich auf bewährte Sicherheitsprozesse: regelmässige Schwachstellenscans, Penetrationstests und Patch‑Management. Diese Instrumente sind nach wie vor wichtig, aber sie haben einen systematischen blinden Fleck: Sie können nur prüfen, was ihnen bekannt ist.
Klassische Ansätze vs. EASM: Vier entscheidende Unterschiede
Scope: Klassisches Vulnerability Management scannt definierte IP‑Ranges und Hosts. EASM durchsucht das gesamte Internet nach Ihrem Unternehmen und entdeckt auch unbekannte Assets.
Perspektive: Vulnerability Scanner arbeiten intern (inside‑out). EASM arbeitet extern (outside‑in), also aus der Sicht des Angreifers.
Frequenz: Penetrationstests finden typischerweise in gewissen längeren Zeitabständen statt. EASM‑Monitoring läuft kontinuierlich, also täglich oder in Echtzeit.
Abdeckung: Interne Tools erfassen nur die verwaltete Infrastruktur. EASM deckt auch Schatten‑IT, Cloud‑Ressourcen ohne zentrale Anbindung, M&A‑Altlasten und extern gehostete Dienste ab.
Das bedeutet nicht, dass EASM klassische Sicherheitsinstrumente ersetzt. Es ergänzt sie um eine entscheidende Dimension: die vollständige Sicht auf die externe digitale Angriffsfläche Ihrer Firma. Erst wenn ein Unternehmen weiss, welche Assets exponiert sind, kann es sinnvoll priorisieren, welche davon zuerst geschützt werden müssen.
Handlungsempfehlungen für CISOs und Verwaltungsräte
Die Kontrolle der digitalen Angriffsfläche ist keine rein technische Aufgabe. Sie betrifft Governance, Budgetentscheide und die Frage, wie ein Unternehmen sein Cyberrisiko strategisch steuert. Die folgenden Massnahmen sollten Entscheider jetzt priorisieren.
Empfohlene Massnahmen — von der Bestandsaufnahme bis zur Board‑Integration
1) Externe Angriffsfläche erstmals vollständig erfassen: Führen Sie eine initiale EASM‑Discovery durch. Vergleichen Sie die Ergebnisse mit Ihrem bekannten Asset‑Inventar. Die Differenz (also die Zahl der Ihnen bisher bekannten vs. unbekannten, extern erreichbaren Systeme) gibt einen ersten Indikator für das Ausmass eines möglichen Problems.
2) Shadow IT und Cloud systematisch adressieren: Etablieren Sie einen Prozess, in dem neue Cloud‑Ressourcen nur mit zentraler Registrierung provisioniert werden. Beziehen Sie Fachabteilungen ein. Nicht als Kontrollinstanz, sondern als Partner für sichere Selbstbedienung. EASM‑Tools helfen, bestehende Schatten‑IT aufzudecken und laufend zu überwachen.
3) Risiken priorisieren, nicht nur auflisten: Nicht jede Exposition ist gleich kritisch. Nutzen Sie Lösungen, die Schwachstellen kontextbasiert anhand von Asset‑Kritikalität, aktiver Ausnutzbarkeit und Bedrohungsintelligenz priorisieren. So vermeiden Sie Alert‑Fatigue und fokussieren Ihre Ressourcen auf das Wesentliche.
4) Kontinuierliches Monitoring statt Punkt‑Audits: Die Angriffsfläche verändert sich täglich. Jährliche Pentests und quartalsweise Scans reichen nicht mehr aus. Investieren Sie in kontinuierliches EASM‑Monitoring, das Veränderungen in Echtzeit erkennt und meldet.
5) Angriffsfläche als Thema im Verwaltungsrat verankern: Nutzen Sie EASM‑Daten und Security Ratings, um dem Verwaltungsrat die Cyber‑Risikolage in einer verständlichen Sprache darzustellen. Kennzahlen wie die Anzahl exponierter Assets, die Entwicklung der Risikobewertung über Zeit und Benchmarking gegenüber der Branche ermöglichen informierte Entscheide auf Führungsebene.
6) Meldepflichten vorbereiten: Seit dem 1. April 2025 gilt in der Schweiz eine 24‑Stunden‑Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Eine vollständige Sicht auf die eigene Angriffsfläche ist Voraussetzung, um Vorfälle schnell zu erkennen, einzuordnen und fristgerecht zu melden.
Schlussfolgerung
Die digitale Angriffsfläche Ihres Unternehmens ist mit hoher Wahrscheinlichkeit grösser, als Sie annehmen. Schatten‑IT, Cloud‑Wildwuchs und verwaiste Systeme schaffen blinde Flecken, die Angreifer gezielt suchen und ausnutzen. In einer Schweiz, die 2025 den weltweit stärksten Anstieg von Cyberangriffen erlebt und deren regulatorische Anforderungen sich mit der obligatorischen Meldepflicht deutlich verschärft haben, ist die Kontrolle der externen Angriffsfläche keine Option, sondern eine Notwendigkeit.
External Attack Surface Management liefert die Aussenperspektive, die klassische Sicherheitsinstrumente nicht bieten können. Es macht sichtbar, was Angreifer sehen und ermöglicht Ihnen damit fundierte, priorisierte Entscheide auf CISO‑ und Verwaltungsratsebene.
Ihre externe Angriffsfläche kennenlernen
Sie möchten wissen, wie gross Ihre tatsächliche externe Angriffsfläche ist — und wo die grössten Risiken liegen? Als Beratungspartner für Cyber‑Risikointelligenz unterstützen wir Sie bei der ersten EASM‑Analyse, der Bewertung Ihrer Exposition und der Entwicklung einer nachhaltigen Monitoring‑Strategie.
🎯 Key Take‑Aways für Entscheider
Zusammenfassung für Verwaltungsrat, Geschäftsleitung und CISO:
✓ Digitale Angriffsfläche ist grösser als gedacht: 30–40 % der extern erreichbaren Assets sind der eigenen IT typischerweise nicht bekannt.
✓ Schweiz im Fokus: +113 % mehr Cyberangriffe im Q1 2025, 222 Pflichtmeldungen im ersten Jahr der BACS‑Meldepflicht, 58 bestätigte Ransomware‑Opfer 2025.
✓ EASM ergänzt, ersetzt nicht: External Attack Surface Management schliesst die Lücke, die klassisches Vulnerability Management und Pentesting offenlassen.
✓ Kontinuierlich statt punktuell: Jährliche Audits genügen nicht mehr, da die Angriffsfläche sich täglich verändert.
✓ Verwaltungsrats‑Thema: EASM‑Daten und Security Ratings schaffen eine gemeinsame Sprache zwischen IT‑Sicherheit und Unternehmensführung.
Häufig gestellte Fragen: FAQ zu External Attack Surface Management
Was ist External Attack Surface Management (EASM)?
External Attack Surface Management ist die kontinuierliche Erkennung, Inventarisierung und Überwachung aller aus dem Internet erreichbaren digitalen Assets eines Unternehmens. EASM arbeitet aus der Perspektive eines Angreifers und deckt auch unbekannte Systeme wie Schatten‑IT, vergessene Subdomains und Cloud‑Ressourcen auf und bewertet deren Risiko.
Was ist der Unterschied zwischen EASM und klassischem Schwachstellenmanagement?
Vulnerability Management scannt bekannte, verwaltete Systeme auf Schwachstellen. EASM geht einen Schritt weiter: Es entdeckt zunächst alle extern erreichbaren Assets (auch die unbekannten) und bewertet deren Risiko. EASM ergänzt Vulnerability Management um die «outside‑in»‑Perspektive und schliesst so eine kritische Lücke in der Sicherheitsarchitektur.
Ist EASM auch für Schweizer KMU relevant?
Ja. Gerade KMU verfügen oft über eine überraschend grosse externe Angriffsfläche, die mit begrenzten IT‑Ressourcen überwacht werden muss. Schweizer KMU sind zunehmend Ziel von Ransomware‑Angriffen, weil Angreifer bei kleineren Organisationen geringere Schutzmassnahmen erwarten. EASM ermöglicht es, mit vertretbarem Aufwand die grössten Expositionen zu identifizieren und gezielt zu adressieren.
Wie hängen EASM und die Schweizer Meldepflicht zusammen?
Seit dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden dem BACS melden. Eine vollständige Sicht auf die eigene Angriffsfläche ist Voraussetzung, um Vorfälle schnell zu erkennen, einzuordnen und fristgerecht zu melden. Ohne EASM fehlt oft die Grundlage für eine effektive Incident Detection, insbesondere wenn betroffene Assets der IT nicht bekannt waren.
