Themen / IT-Sicherheit

IT-Sicherheit als Netzwerk: Wie lese ich Angriffspfade?

Kurz gesagtEin IT-System ist ein Netzwerk aus Entitäten — Konten, Rechner, Dienste, Berechtigungen — und Relationen dazwischen. Ein Angriffspfad ist eine Kette aktiver Relationen, über die jemand von einem Eingangsknoten Schritt für Schritt bis ans Ziel kommt. Du wehrst ihn nicht mit „mehr Mauern“ ab, sondern indem du eine einzige tragende Relation kappst und die Kette zerbricht. Das ist eine Denkhilfe, kein Ersatz für echten Pentest oder Audit.

Warum ist ein IT-System ein Netzwerk aus Entitäten und Relationen?

Sicherheit lässt sich schwer denken, solange du dein System als Liste von Geräten siehst — ein Server hier, ein Laptop dort, ein Cloud-Dienst irgendwo. Hilfreicher ist eine andere Sicht: Jedes Konto, jeder Rechner, jeder Dienst, jede Datei und jede Berechtigung ist eine Entität, ein Knoten. Und alles, was sie verbindet — „dieses Konto darf sich an jenem Server anmelden“, „dieser Dienst vertraut jenem Zertifikat“ — ist eine Relation, eine Kante.

Die Begriffe der Fachwelt passen sich nahtlos ein. Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit (die CIA-Triade) beschreiben, welche Relationen erlaubt und welche es nicht sind: Wer darf lesen, wer darf ändern, wer muss erreichbar bleiben. Eine Schwachstelle ist nichts anderes als eine Relation, die aktiv werden kann, obwohl sie es nicht sollte — eine Tür, die du nicht eingeplant hast.

Mit dieser Linse betrachtest du nicht mehr einzelne Kästen, sondern das Geflecht dazwischen. Und genau dort, im Geflecht, entstehen Angriffe — nie an einem isolierten Punkt, sondern entlang von Verbindungen, die zusammen einen Weg ergeben.

Was ist ein Angriffspfad — und warum ist er eine Kette?

Ein Angriffspfad ist die konkrete Folge von Relationen, über die jemand von einem ersten Zugriff bis zu seinem eigentlichen Ziel kommt. Selten reicht ein einziger Schritt. Meist landet ein Angreifer zuerst auf einem unwichtigen Rechner, findet dort ein Passwort, das auch woanders gilt, meldet sich am nächsten Knoten an, sammelt dort höhere Rechte — und hangelt sich so weiter. Die Fachwelt nennt diese seitliche Fortbewegung im Netzwerk „Lateral Movement“.

Entscheidend ist: Jeder dieser Schritte ist eine Relation, die in dem Moment aktiv wird. Vorher war sie passiv (gelernt, aber still) oder leer (nie genutzt). Der Pfad entsteht nicht dadurch, dass eine einzelne Wand fällt, sondern dadurch, dass eine Reihe von Relationen nacheinander aktiv wird und sich zu einer Kette schließt. Ein Angriffsbaum (englisch attack tree) ist genau das Werkzeug, mit dem man solche Ketten als Diagramm aufzeichnet: oben das Ziel, darunter die Wege dorthin.

Deshalb ist der wichtigste Perspektivwechsel dieser: Frag nicht „Ist dieser Rechner sicher?“, sondern „Welche Kette von aktiven Relationen führt von irgendwo da draußen bis zu meinem Kronjuwel?“ Sicherheit ist eine Eigenschaft des Pfades, nicht eines einzelnen Knotens.

Eingangsknoten und Störknoten: Wo bricht eine Kette?

Nicht alle Knoten sind gleich wichtig. Ein Eingangsknoten ist der Punkt, an dem ein Pfad überhaupt beginnen kann — das nach außen erreichbare Webformular, der VPN-Zugang, das Postfach, in das eine Phishing-Mail fällt. Das ist die Außengrenze deines Netzwerks, deine Angriffsfläche. Hier wird aus „leer“ ein erstes „aktiv“.

Viel interessanter sind aber die Knoten in der Mitte. Manche Entitäten liegen auf sehr vielen Pfaden gleichzeitig: ein Admin-Konto, ein zentraler Verzeichnisdienst, ein Server, dem alle anderen vertrauen. So ein Knoten ist ein Störknoten im wörtlichen Sinn — über ihn laufen unverhältnismäßig viele Ketten. Genau das macht ihn wertvoll für den Angreifer und genau das macht ihn zum Hebel für dich.

Denn wenn viele Pfade durch denselben Knoten oder dieselbe Relation laufen, musst du nicht jeden Pfad einzeln schließen. Du kappst die eine tragende Relation — und alle Ketten, die durch sie liefen, zerbrechen auf einmal. Solche Engstellen zu finden ist die eigentliche Kunst beim Lesen von Angriffspfaden.

Eine Relation kappen statt „mehr Mauern“ bauen

Der gewohnte Reflex bei einem Sicherheitsproblem ist, mehr draufzulegen: noch eine Firewall, noch ein Scanner, noch eine Regel. Das ist mehr Kraft auf dieselbe Stelle — und oft bindet das nur Aufwand, ohne den Pfad zu schließen. Festgefahren bist du nicht an zu wenig Mauern, sondern an einer aktiven Relation, die es gar nicht geben sollte.

Der wirksamere Zug ist, dieselbe Energie umzulenken: nicht außen höher mauern, sondern innen eine Verbindung trennen. Braucht dieses Konto wirklich Zugriff auf jenen Server? Muss dieser Dienst diesem Zertifikat vertrauen? Darf dasselbe Passwort an zehn Stellen gelten? Jede dieser Fragen zielt auf eine Relation, die du von aktiv auf leer zurücksetzen kannst — und mit ihr verschwindet ein Stück Pfad.

In der Praxis sind das nüchterne Maßnahmen: Berechtigungen auf das Nötigste begrenzen (least privilege), Netzwerke segmentieren, Konten trennen, Vertrauensbeziehungen abbauen. Jede davon kappt gezielt eine Kante. Das wirkt oft mehr als ein zusätzliches Werkzeug an der Außenwand, weil es nicht die Mauer erhöht, sondern den Weg dahinter unterbricht.

Herkunft (Provenance): Wie ist diese Relation aktiv geworden?

Wenn etwas schiefgeht, reicht es nicht zu wissen, dass ein Angreifer drin war — du willst wissen, welchen Weg er genommen hat. Genau dafür gibt es in der Technik den Begriff der Herkunft oder Provenance: die nachvollziehbare Kette, wie ein Datenstück, ein Zugriff oder ein Zustand entstanden ist. Welche Entität hat welche Aktion ausgelöst, die zur nächsten führte?

Im Modell gesprochen ist das nichts anderes als das Rückwärtslesen des Pfades. Eine Relation ist aktiv geworden — aber warum? Welche vorige Relation hat sie aktiviert? Hängst du dich Schritt für Schritt von hinten zurück, läufst du die Kette rückwärts bis zum Eingangsknoten ab. Eine Relation, die einmal aktiv war, bleibt sichtbar — sie wird nicht wieder leer, sondern höchstens passiv. Deshalb lässt sich der Pfad im Nachhinein rekonstruieren.

Praktisch sind das Protokolle, Datenherkunft (data lineage) und Audit-Spuren: die Aufzeichnung, wer was wann mit welchem Recht getan hat. Sie verwandeln eine reine Liste von Ereignissen in einen lesbaren Graphen von Ursache und Wirkung — und machen aus „Wir wurden angegriffen“ ein „So lief der Pfad, und hier kappen wir ihn beim nächsten Mal früher.“

Wo hört das Modell auf — und wo brauchst du echte Tools?

Sei ehrlich zu dir: Diese Sicht ist eine Denkhilfe, kein Sicherheitsnachweis. Sie ordnet, worauf du schaust, und macht klar, warum ein einzelner Patch manchmal eine ganze Kette zerbricht und ein anderer gar nichts bringt. Aber sie sagt dir nicht von selbst, welche Schwachstelle in deiner Software steckt oder ob deine Konfiguration wirklich hält.

Das echte Aufdecken von Pfaden ist Handwerk mit Werkzeugen: ein Penetrationstest, der reale Angriffe durchspielt; ein Audit, das Konfiguration und Prozesse prüft; Schwachstellen-Scanner, Angriffsgraph-Software und Monitoring, die laufend Relationen kartieren. Das Modell ersetzt keines davon — es hilft dir, ihre Ergebnisse zu lesen und Prioritäten zu setzen.

Und Sicherheit ist nie fertig. Jeder neue Dienst, jedes neue Konto, jede neue Integration zieht neue Relationen ein und kann neue Pfade öffnen. Deshalb ist die ehrlichste Haltung nicht „Wir sind sicher“, sondern „Wir kennen unsere wichtigsten Pfade, prüfen sie regelmäßig mit echten Werkzeugen — und kappen die tragenden Relationen, bevor es jemand anderes versucht.“

So sieht das mit dem Modell aus

Stell dir eine kleine Firma vor. Eine Mitarbeiterin öffnet eine Phishing-Mail und gibt ihr Passwort auf einer gefälschten Seite ein. Das wirkt nach einem Einzelfall — ein Konto weg. Aber sieh es als Netzwerk: Die Mail war der Eingangsknoten, und mit dem Passwort wird die erste Relation aktiv — „Angreifer kann sich als diese Mitarbeiterin anmelden“.

Jetzt beginnt die Kette. Dasselbe Passwort gilt auch am internen Fileserver — eine zweite Relation wird aktiv. Auf dem Fileserver liegt eine Liste mit Admin-Zugängen — eine dritte. Mit dem Admin-Konto erreicht der Angreifer den zentralen Verzeichnisdienst, dem alle Rechner vertrauen — und damit praktisch jeden Knoten im Haus. Keine einzelne Mauer ist gefallen; eine Reihe von Relationen ist nacheinander aktiv geworden und hat sich zu einem Pfad geschlossen.

Der Reflex wäre, am Eingang aufzurüsten: besserer Spam-Filter, mehr Schulung. Sinnvoll, aber es schließt den Pfad nicht. Der Hebel liegt am Störknoten in der Mitte: Hätte das Passwort nicht überall gegolten (kappt Relation zwei), läge die Admin-Liste nicht offen (kappt Relation drei), wäre der Verzeichnisdienst segmentiert — jede einzelne dieser gekappten Kanten hätte die Kette zerbrochen, lange bevor sie das Ziel erreicht. Das ist die Skizze; ob es real so hält, sagt dir erst ein echter Test.

Schritt für Schritt

  1. Zeichne grob das Netzwerk: Was sind deine Kronjuwele (Ziel-Entitäten) und welche Konten, Dienste und Rechner stehen mit ihnen in Relation? Du brauchst keine Vollständigkeit, nur die wichtigsten Knoten und Kanten.
  2. Markiere die Eingangsknoten: Wo kann ein Pfad von außen überhaupt beginnen — Webzugang, VPN, Postfach, exponierter Dienst? Das ist deine Angriffsfläche.
  3. Verfolge eine Kette: Geh von einem Eingangsknoten gedanklich Schritt für Schritt weiter. Welche Relation würde als Nächstes aktiv — ein wiederverwendetes Passwort, eine Vertrauensbeziehung, ein zu weit gefasstes Recht?
  4. Suche die Störknoten: Welche Entität oder Relation liegt auf auffällig vielen Ketten gleichzeitig? Das ist dein Hebel — dort kappst du einmal und zerbrichst viele Pfade.
  5. Kappe statt mauern: Trenne die tragende Relation, statt außen eine Mauer zu erhöhen. Least Privilege, Segmentierung, getrennte Konten — jede Maßnahme setzt eine Kante von aktiv auf leer zurück.
  6. Sichere die Herkunft und prüf mit echten Werkzeugen: Sorge für Protokolle und Audit-Spuren, damit du Pfade rückwärts lesen kannst — und lass deine Annahmen durch Pentest, Scanner oder Audit bestätigen. Die Skizze ersetzt das nicht.

Häufige Fragen

Was ist ein Angriffspfad in der IT-Sicherheit?

Ein Angriffspfad ist die konkrete Folge von Schritten, mit der jemand von einem ersten Zugriff bis zu seinem eigentlichen Ziel im System kommt. Im Modell ist das eine Kette von Relationen, die nacheinander aktiv werden: Eingang gewinnen, Rechte sammeln, zum nächsten Knoten weiterspringen (Lateral Movement), und so weiter bis zum Kronjuwel. Wichtig ist die Einsicht, dass Sicherheit eine Eigenschaft des ganzen Pfades ist, nicht eines einzelnen Geräts — ein Angriff entsteht entlang von Verbindungen, nicht an einem isolierten Punkt.

Wie unterscheidet sich ein Angriffspfad von einem Angriffsbaum (attack tree)?

Ein Angriffspfad ist eine einzelne Kette: ein konkreter Weg von einem Eingangsknoten zum Ziel. Ein Angriffsbaum (attack tree) ist die übergeordnete Darstellung, die viele solcher Wege gleichzeitig zeigt — oben das Ziel, darunter die verschiedenen Ketten, die dorthin führen. Im Modell gesprochen: Der Pfad ist eine Folge aktiver Relationen, der Baum bündelt alle möglichen Folgen zu einem Diagramm. Beides hilft, dieselbe Frage zu beantworten — welche Relationen muss ich kappen, damit möglichst viele Wege auf einmal zerbrechen?

Warum hilft „mehr Firewalls“ oft nicht gegen Angriffspfade?

Weil eine Firewall am Rand sitzt, ein Pfad aber meist innen weiterläuft. Hat ein Angreifer den Eingangsknoten erst überwunden, bewegt er sich über interne Relationen weiter — wiederverwendete Passwörter, Vertrauensbeziehungen, zu weite Rechte. Mehr Mauern außen sind mehr Kraft auf dieselbe Stelle. Wirksamer ist, eine tragende Relation im Inneren zu kappen: ein zentrales Recht entziehen, Netzwerke segmentieren, Konten trennen. Eine einzige gekappte Kante kann eine ganze Kette zerbrechen, während eine zusätzliche Außenmauer den Pfad dahinter unberührt lässt.

Was bedeutet Provenance oder Herkunft in der IT-Sicherheit?

Provenance (Herkunft) ist die nachvollziehbare Kette, wie ein Zustand, ein Datenstück oder ein Zugriff entstanden ist — welche Entität welche Aktion ausgelöst hat, die zur nächsten führte. Praktisch sind das Protokolle, Datenherkunft (data lineage) und Audit-Spuren. Im Modell ist Provenance das Rückwärtslesen eines Pfades: Du gehst von einer aktiv gewordenen Relation Schritt für Schritt zurück bis zum Eingangsknoten. Das hilft, einen Vorfall zu verstehen und beim nächsten Mal die Kette früher zu kappen — vorausgesetzt, du hast die Spuren überhaupt aufgezeichnet.

Ersetzt dieses Modell einen Penetrationstest oder ein Audit?

Nein, und das ist wichtig. Die Netzwerk-Sicht ist eine Denkhilfe: Sie ordnet, worauf du schaust, und erklärt, warum manche Maßnahmen viele Pfade auf einmal schließen. Aber sie deckt keine konkrete Schwachstelle in deiner Software auf und prüft nicht, ob deine Konfiguration wirklich hält. Dafür brauchst du echte Werkzeuge: einen Penetrationstest, der reale Angriffe durchspielt, ein Audit, Schwachstellen-Scanner und Monitoring. Das Modell hilft dir, deren Ergebnisse zu lesen und Prioritäten zu setzen — es ist die Linse, nicht der Beweis.

Was ist Lateral Movement und wo passt es ins Modell?

Lateral Movement ist die seitliche Fortbewegung eines Angreifers durch ein Netzwerk: Statt am ersten Rechner zu bleiben, springt er mit gestohlenen Zugangsdaten von Knoten zu Knoten, sammelt unterwegs höhere Rechte und nähert sich so dem Ziel. Im Modell ist jeder dieser Sprünge eine Relation, die aktiv wird — genau die Schritte, aus denen ein Angriffspfad besteht. Lateral Movement zu erschweren heißt deshalb, die internen Relationen auszudünnen: weniger Vertrauensbeziehungen, keine überall gültigen Passwörter, segmentierte Netze.

Weiterdenken

Begriffe dazu: Entität, Relation, Die drei Zustände: leer, aktiv, passiv, Netzwerkebene, Die sechs Blickwinkel

Zuletzt aktualisiert: 2026-07-01