Universelle Relationen

Themen / Angriffspfade lesen

IT-Sicherheit als Netzwerk: Wie lese ich Angriffspfade?

Kurz gesagtIT-Sicherheit als Netzwerk gedacht ist eine Linse, in der Identitäten, Rechte und Systeme die Entitäten (Knoten) und Zugriffe sowie Vertrauensbeziehungen die Relationen (Kanten) sind. Ein Angriffspfad ist dann eine Kette aktiver Relationen vom Eingangsknoten bis zum Ziel. Diese Sicht kann zeigen, welche einzelne kritische Relation man kappen muss, um die ganze Kette zu unterbrechen — ein Denkwerkzeug.

Das Problem als Graph

Drei Netzwerkebenen greifen ineinander: Identitäten (wer), Rechte (was darf) und Systeme (worauf). Die leuchtenden Kanten bilden den aktiven Angriffspfad — vom kompromittierten Konto über eine Rechte-Eskalation bis zur Zieldatenbank. Die blasse, leere Kante ist eine bisher nie genutzte Beziehung (etwa Segmentierung oder MFA), die als Kapp- bzw. Umlenkstelle aktiviert werden kann.

Phishing-MailNutzerkontoAdmin-RechteAnwendungsserverZieldatenbankMFA / Segmentierung
Graph als Text
  • Phishing-MailNutzerkonto (aktiv)
  • NutzerkontoAdmin-Rechte (aktiv)
  • Admin-RechteAnwendungsserver (aktiv)
  • AnwendungsserverZieldatenbank (aktiv)
  • MFA / SegmentierungNutzerkonto (leer)

Schritt für Schritt

  1. Skizziere das Netzwerk: Trage Identitäten (Konten, Dienstkonten), Rechte (Rollen, Gruppen) und Systeme (Server, Datenbanken) als Knoten ein, getrennt nach Ebene.
  2. Zeichne die Relationen als gerichtete Kanten: Wer hat Zugriff worauf, welches System vertraut welchem? Markiere jede tatsächlich nutzbare Beziehung als aktiv.
  3. Bestimme Eingangs- und Zielknoten: Wo könnte ein Angreifer ankommen (Phishing, exponierter Dienst), und welcher Knoten ist das Kronjuwel?
  4. Verfolge die Kette aktiver Relationen vom Eingang zum Ziel — das ist der Angriffspfad. Oft gibt es mehrere; suche den kürzesten.
  5. Finde die eine kritische Relation, durch die alle Pfade laufen (ein Choke-Point), und kappe sie — etwa durch Entzug eines Rechts oder Netz-Segmentierung.
  6. Aktiviere bisher leere Schutz-Relationen (MFA, Just-in-Time-Rechte, Logging) als Umlenk-Ziel, sodass die Energie eines Angriffs ins Leere oder in die Erkennung läuft.

So sieht das mit dem Modell aus

Stell dir eine kleine Firma als Netzwerk vor. Eine Phishing-Mail aktiviert eine erste Relation: Ein Mitarbeiter gibt sein Passwort preis, das Nutzerkonto wird zum aktiven Knoten. Von dort führt eine Kante zu einer Gruppe mit Admin-Rechten, von den Admin-Rechten eine weitere zum Anwendungsserver, und vom Server schließlich zur Kundendatenbank. Vier aktive Relationen hintereinander — das ist der Angriffspfad.

Die Verteidigung kämpft nicht gegen jede einzelne Kante an, sondern sucht den Knoten, an dem die Kette dünn wird. Hängt alles daran, dass das Nutzerkonto in der Admin-Gruppe sitzt, dann ist genau diese Relation der Hebel: Entzieht man sie, bricht der Pfad. Zusätzlich aktiviert man eine bisher leere Relation — MFA am Konto —, sodass die abgefangene Schwingung „gestohlenes Passwort“ keine aktive Kante mehr auslöst.

Das ist eine Möglichkeit, Sicherheit zu sehen — eine Linse. Reale Systeme haben fraktal viele weitere Knoten und Pfade; das Modell hilft beim Sortieren, ersetzt aber kein Audit.

Häufige Fragen

Was ist Attack Path Mapping?

Attack Path Mapping ist das Auffinden und Darstellen der Kette von Zugriffen und Vertrauensbeziehungen, über die ein Angreifer von einem Einstiegspunkt zu einem wertvollen Ziel gelangt. In der Netzwerk-Linse ist das eine durchgehende Reihe aktiver Relationen zwischen Identitäts-, Rechte- und System-Knoten. Sichtbar gemacht zeigt sie, welche einzelne Kante zu kappen ist, statt überall gleichzeitig zu verteidigen.

Wie finde ich Schwachstellen in einem System?

Skizziere das System als Netzwerk und verfolge jede Kette aktiver Relationen vom möglichen Eingang zum Ziel. Eine Schwachstelle ist eine Relation, die mehr Zugriff erlaubt als nötig — etwa ein überbreites Recht oder ein implizites Vertrauen. Besonders kritisch sind Knoten, durch die viele Pfade laufen. Das ist eine Denkweise zum Sortieren, kein Ersatz für Scanner, Pentest oder Audit.

Wie hängen Identitäten, Rechte und Systeme zusammen?

Sie bilden drei Netzwerkebenen. Identitäten (Konten) sind über Relationen mit Rechten (Rollen, Gruppen) verbunden, Rechte über weitere Relationen mit Systemen (Servern, Daten). Ein Angreifer nutzt nicht einen einzelnen Knoten, sondern die Kanten dazwischen: Er hangelt sich von Identität über Recht zu System. Diese Trennung in Ebenen entspricht dem W3C-PROV-Modell aus Agent, Activity und Entity.

Weiterdenken

Begriffe dazu: Entität, Relation, Die drei Zustände: leer, aktiv, passiv, Netzwerkebene

Zuletzt aktualisiert: 2026-06-28Quellen