Das Ende des Sicherheits-Kontrollkästchens: BAS ist die treibende Kraft hinter echter Verteidigung

Sicherheit geht heute nicht mehr nur darum, Verstöße zu verhindern; das eigentliche Versagen tritt ein, wenn die Auswirkungen eines Verstoßes Ihre Systeme treffen. Dies war eine zentrale Botschaft auf dem diesjährigen Picus Breach and Simulation (BAS) Summit, bei dem Experten aus Forschung, Praxis und Führung übereinstimmten: Cyberabwehr verlangt jetzt Beweise statt bloßer Vorhersagen. Wenn neue Exploits auftauchen, bewegen sich Scanner und Angreifer blitzschnell und erreichen oft innerhalb von Sekunden seitliche Bewegungen. Wenn Ihre Sicherheitskontrollen nicht gegen genau die Taktiken getestet wurden, die Angreifer verwenden, verteidigen Sie nicht – Sie hoffen nur, dass nichts schwerwiegend kaputtgeht. Der Druck steigt schnell, manchmal noch in derselben Stunde, in der ein Exploit veröffentlicht wird, und Entscheidungsträger wollen sofort Antworten. BAS hat sich von Compliance-Checklisten zu einem täglichen "Spannungstest" Ihrer Verteidigung entwickelt, der kontrollierte gegnerische Verhaltensweisen durch Ihre Systeme schickt, um zu zeigen, was tatsächlich standhält.\n\nDer traditionelle Sicherheitsansatz war eher wie Architektur: entwerfen, bauen, inspizieren und mit Checklisten und Papierkram zertifizieren. Aber Angreifer folgen keinen Plänen; sie üben unermüdlichen Druck aus wie die Physik und testen, wo die Verteidigung tatsächlich nachgibt oder bricht. Penetrationstests haben weiterhin Wert, bieten aber Momentaufnahmen, eingefrorene Zeitpunkte. BAS hingegen misst Reaktion – nicht nur potenzielle Schwachstellen, sondern was wirklich passiert, wenn diese Schwachstellen ausgelöst werden. Chris Dale von SANS fasst es zusammen: BAS fragt nicht, wo die Löcher sind, sondern wie Ihre Verteidigung reagiert, wenn sie getroffen wird. Denn nicht der Verstoß selbst verursacht den Schaden, sondern die Folgen, wenn er eintritt.\n\nBevor Sie Angreifer simulieren, müssen Sie Ihre eigene Umgebung genau kennen. Sie können nicht verteidigen, was Sie nicht sehen – sei es vergessene Assets, nicht markierte Konten oder Legacy-Skripte mit hohen Rechten. Nehmen Sie einen Ransomware-Angriff wie Akira als Beispiel. Indem Sie sein Verhalten sicher in Ihren eigenen Systemen abspielen, lernen Sie, ob Ihre Kontrollen den Angriff unterwegs stoppen können, statt zu raten. Zwei Schlüsselprinzipien unterscheiden reife BAS-Programme: Fokus zuerst auf Ergebnisse (ausgehend von Auswirkungen statt nur einer Inventarliste) und BAS als Purple-Team-Einsatz, bei dem Aufklärung, Technik und Betrieb kontinuierlich zusammenarbeiten – simulieren, beobachten, anpassen und dann erneut simulieren. Wie John Sapp, CISO von Texas Mutual, bemerkte, wechseln Teams, die Kontrollen wöchentlich validieren, von Annahmen zu Beweisen.\n\nKI war ein heißes Thema auf dem Gipfel, aber nicht wegen spektakulärer neuer Angriffsmethoden. Der wahre Wert liegt in der Kuratierung – der Organisation unübersichtlicher Bedrohungsinformationen in umsetzbare, überprüfbare Pläne. Statt eines großen KI-Modells denken Sie an ein Staffelrennen mit Spezialisten: ein Planer, der entscheidet, was gesammelt wird, ein Forscher, der Daten überprüft, ein Entwickler, der sichere Emulationen erstellt, und ein Validator, der die Genauigkeit vor dem Start prüft. Dieser mehrschichtige Ansatz gewährleistet hohe Genauigkeit und geringes Risiko. Ein Beispiel zeigte, wie KI Wochen manueller Quervergleiche auf Stunden verkürzte – Schlagzeilen schneller in präzise Emulationspläne verwandeln, nicht spektakulärer.\n\nDer Beweis aus der Praxis war das Highlight des Gipfels. Gesundheitsteams führten Ransomware-Simulationen durch, die an branchenspezifische Bedrohungsinformationen gekoppelt waren, maßen Erkennungs- und Reaktionszeiten und optimierten ihre SIEM- und EDR-Einstellungen, bis Angriffe frühzeitig scheiterten. Versicherungsanbieter führten BAS-Pilotprojekte am Wochenende durch, um Endpunkt-Quarantänen zu überprüfen und entdeckten stille Fehlkonfigurationen lange bevor echte Angreifer sie ausnutzen konnten. Dies bewies, dass BAS kein Laborexperiment ist, sondern ein integraler Bestandteil des täglichen Sicherheitsbetriebs. Wenn der Vorstand fragt, ob sie gegen eine Bedrohung geschützt sind, antworten Sie mit Beweisen, nicht mit Vermutungen.\n\nEin denkwürdiger Moment war die Beantwortung der klassischen Vorstandfrage: "Müssen wir alles patchen?" Die Antwort war ein klares Nein. BAS-gesteuerte Validierung zeigt, dass das Patchen aller Schwachstellen nicht nur unrealistisch, sondern unnötig ist. Wichtig ist zu wissen, welche Schwachstellen in Ihrer spezifischen Umgebung wirklich ausnutzbar sind. Ein hoher CVSS-Wert hinter starken Kontrollen kann wenig Risiko darstellen, während ein mittlerer Fehler auf einem exponierten System ein aktiver Angriffsweg sein kann. Dies verschiebt das Patchen von Annahmen zu Beweisen – und macht Continuous Threat Exposure Management von einem Schlagwort zur Strategie.\n\nSchließlich erfordert BAS keine großen, komplexen Rollouts, um Wert zu liefern. Oft beginnen Teams klein – mit kritischen Bereichen wie Finanzendpunkten oder Produktionsclustern – und sehen innerhalb von Wochen greifbare Vorteile. Es geht weniger um großes Aufsehen, sondern um konsequente, bewährte Validierung. Im Wesentlichen ist das "Sicherheits-Kontrollkästchen" tot; BAS ist die wahre Kraft hinter robuster, reaktiver Verteidigung. Der Picus BAS Summit unterstrich einen entscheidenden Wandel von theoretischer Sicherheits-Compliance hin zu lebendiger, evidenzbasierter Verteidigungsvalidierung mit Fokus auf Reaktion statt Vorhersage. Wichtige Fakten sind die schnellen Ausnutzungszeiträume, die Angreifer nutzen, BAS’ Entwicklung zu einem täglichen Betriebstool und die Rolle der KI als Kurator von Bedrohungsinformationen statt als Angriffsquelle. Direkt betroffene Akteure sind Sicherheitsteams, CISOs und Führungskräfte, während periphere Gruppen Compliance-Behörden und Endnutzer mit gefährdeten Daten umfassen. Sofortige Auswirkungen zeigen verbesserte Erkennungs- und Reaktionszeit