CTEM

Von Penetrationstests zu CTEM: Kontinuierliches Risikomanagement in der Cybersicherheit

, Filigran | Autor: Herbert Wieler

Von Penetrationstests zu CTEM: Kontinuierliches Risikomanagement in der Cybersicherheit

Cybersicherheit im Blindflug: Warum jährliche Pentests nicht mehr ausreichen – und CTEM jetzt entscheidend wird

Einmal im Jahr prüfen – und sich dann sicher fühlen? Dieses Modell bröckelt. Während Unternehmen noch auf klassische Pentests setzen, verändern sich Angriffsflächen täglich.

Das Ergebnis: bekannte Schwachstellen bleiben offen, neue Risiken entstehen unbemerkt.

Oliver Keizers, VP Sales Central EMEA bei Filigran
Oliver Keizers, VP Sales Central EMEA bei Filigran

Der traditionelle Penetrationstest funktioniert wie ein Schnappschuss zu einem bestimmten Moment. Über einen festgelegten Zeitraum, der von den Prüfern oft als zu kurz und von den Kunden als zu kostspielig empfunden wird, identifiziert er die zu diesem Zeitpunkt vorhandenen Schwachstellen in einer Serie besagter Momentaufnahmen. Doch zwischen zwei Audits, die sechs bis zwölf Monate auseinanderliegen, verändert sich die Angriffsfläche, Angriffsvektoren und auch die verantwortlichen Bedrohungsakteure ständig und stetig.

Mit Continuous Threat Exposure Management (CTEM) zeichnet sich ein Paradigmenwechsel ab – weg von punktuellen Audits, hin zu kontinuierlicher Sicherheitsvalidierung, erklärt Oliver Keizers, VP Sales Central EMEA bei Filigran .

Der trügerische Sicherheitscheck: Warum klassische Pentests versagen

Ein typisches Szenario: Ein Unternehmen lässt seine IT-Sicherheit jährlich testen. Der Bericht listet kritische Schwachstellen – doch beim nächsten Audit sind genau diese Lücken oft noch vorhanden. Gleichzeitig sind neue Risiken entstanden, etwa durch zusätzliche Anwendungen oder Fehlkonfigurationen.

Das Problem liegt im System:

Penetrationstests sind Momentaufnahmen. Zwischen zwei Prüfungen (meist 6–12 Monate) verändert sich die gesamte Bedrohungslage:

  • neue Anwendungen gehen online
  • Systeme werden angepasst
  • Angreifer entwickeln neue Methoden Unternehmen agieren in dieser Zeit ohne vollständige Transparenz über ihr tatsächliches Risiko.

Noch kritischer: Die Behebung identifizierter Schwachstellen dauert oft Wochen oder Monate. Ob Maßnahmen wirken, wird erst beim nächsten Audit überprüft – viel zu spät.

CTEM: Kontinuierliche Cybersicherheit statt punktueller Kontrolle

Das von Gartner 2023 definierte Framework CTEM (Continuous Threat Exposure Management) setzt genau hier an.

Die Idee: Cybersicherheit wird zu einem kontinuierlichen Prozess – nicht zu einem einmaligen Ereignis. Statt jährlicher Tests erfolgt eine laufende Bewertung der Angriffsfläche und Risiken.

Die fünf Kernphasen von CTEM

  1. Scoping Definition der kritischen Assets und Geschäftsbereiche – von IT-Systemen bis hin zu Geschäftsprozessen.

  2. Discovery Aufdeckung von Schwachstellen, Fehlkonfigurationen und neuen Risiken – weit über klassische CVEs hinaus.

  3. Priorisierung Bewertung nach Geschäftsrelevanz: Welche Schwachstelle bedroht Umsatz, Reputation oder Daten am stärksten?

  4. Validierung Simulation realer Angriffe (Adversarial Exposure Validation), um zu prüfen:

    • Ist das System angreifbar?
    • Werden Angriffe erkannt?
    • Reagieren Teams effektiv?

  5. Mobilisierung Schnelle Umsetzung von Gegenmaßnahmen – idealerweise automatisiert.

Der entscheidende Hebel: Risiken in Business-Sprache übersetzen

Ein zentrales Problem in der Praxis: Technische Risiken überzeugen keine Vorstände. Geschäftliche Auswirkungen schon.

Beispiele:

  • Was kostet ein Tag Ausfall im Online-Shop?
  • Wie teuer ist ein Datenleck für Marke und Vertrauen?

Erst wenn Cyberrisiken in konkrete finanzielle Auswirkungen übersetzt werden, entstehen: ✔ Budgetfreigaben ✔ strategische Priorität ✔ echte Sicherheitsverbesserungen

Von Reaktion zu Prävention: CTEM verändert die Dynamik grundlegend

  • Sofortige Validierung von Fixes statt monatelangem Warten
  • Realistische Angriffssimulationen statt theoretischer Bewertungen
  • Messbare KPIs für Security-Strategien

Das Ergebnis: Sicherheitsteams erhalten endlich kontextbezogene, aktuelle Entscheidungsgrundlagen.

Regulatorischer Druck beschleunigt den Wandel

Neue Vorgaben wie

  • NIS2-Richtlinie
  • DORA zwingen Unternehmen zum Umdenken.

Gefordert wird nicht nur Schutz, sondern nachweisbare Sicherheit:

  • regelmäßige Tests
  • Mitarbeitersensibilisierung
  • dokumentierte Sicherheitsprozesse

CTEM liefert genau den strukturierten Rahmen, um diese Anforderungen zu erfüllen.

Prognose: Deutlich weniger Sicherheitsvorfälle durch CTEM

Laut Gartner werden Unternehmen, die CTEM konsequent einsetzen, bis 2026 dreimal weniger anfällig für Sicherheitsverletzungen sein. Das zeigt: Kontinuität ist kein Trend – sondern ein Wettbewerbsvorteil.

Fazit: Cybersicherheit braucht Tempo, nicht Intervalle

Der Wechsel von jährlichen Pentests zu kontinuierlichem Exposure Management ist mehr als ein technisches Upgrade. Er ist ein strategischer Wandel:

  • weg von reaktiver Sicherheit
  • hin zu proaktiver Risiko-Steuerung

In einer Welt, in der sich Bedrohungen täglich verändern, gilt: Wer nur einmal im Jahr hinschaut, ist den Angreifern immer einen Schritt hinterher.