>_AYSOLI SECURITY HUB
THREAT AREA

Externer Partner-Zugriff

Wenn externe Partner auf deine Ressourcen zugreifen, erweiterst du deine Vertrauenszone. Das erfordert strikte Kontrollen und eine klare Trennung der Verantwortlichkeiten.

Deine Strategie

Nutze Guest-Accounts (Entra ID B2B) statt lokaler Konten. Erzwinge MFA auch für Externe und begrenze den Zugriff auf das absolute Minimum (Least Privilege).

Best Practices

  • Identität: Erzwinge Phishing-resistente MFA (FIDO2) und nutze Conditional Access.
  • Datenfluss: Blockiere Exfiltration über Tenant-Restrictions und DLP-Policies.
  • Governance: Überprüfe monatlich, welche Partner noch aktiven Zugriff benötigen und integriere Logs in dein SIEM.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-01

Data Tampering

Unbefugte Änderung von geteilten Daten oder Konfigurationen.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-01

Sensitive Data Exposure

Unbeabsichtigte Offenlegung von internen Informationen an Externe.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-PART-01

Guest-to-Member Escape

Gast-Nutzer erlangt Rechte eines internen Mitarbeiters.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-PART-01

Guest Activity Blind Spot

Aktivitäten von Partnern werden nicht zentral überwacht.

MITRE ATT&CK® Techniken

Reconnaissance
T1592

Gather Victim Digital Network Information

ATT&CK

Sammeln von Informationen über die Ziel-Infrastruktur.

Mitigiert durch
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Terms of Use (B2B)GrundschutzNiedrig
CIS: 6.2NIST: PR.IP-3
Partner Security Assessment (Supply Chain)Erweiterter SchutzHoch
CIS: 15.1CIS: 15.2NIST: GV.SC-7NIST: ID.AM-7
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Initial Access
T1566

Phishing

ATT&CK

Zustellung schädlicher Inhalte über elektronische Kommunikation.

Mitigiert durch
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Terms of Use (B2B)GrundschutzNiedrig
CIS: 6.2NIST: PR.IP-3
Partner Security Assessment (Supply Chain)Erweiterter SchutzHoch
CIS: 15.1CIS: 15.2NIST: GV.SC-7NIST: ID.AM-7
Incident Response Playbook (Partner-Kompromittierung)GrundschutzNiedrig
CIS: 17.3CIS: 17.4NIST: RS.MA-1NIST: RS.AN-1
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Guest Invitation GovernanceGrundschutzNiedrig
CIS: 6.2NIST: PR.AC-1
Partner Account DeprovisioningGrundschutzMittel
CIS: 5.3NIST: PR.AC-1NIST: ID.AM-7
Partner Security Assessment (Supply Chain)Erweiterter SchutzHoch
CIS: 15.1CIS: 15.2NIST: GV.SC-7NIST: ID.AM-7
T1133

External Remote Services

ATT&CK

Zugriff über VPNs oder Cloud-Management-Schnittstellen.

Mitigiert durch
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Partner Security Assessment (Supply Chain)Erweiterter SchutzHoch
CIS: 15.1CIS: 15.2NIST: GV.SC-7NIST: ID.AM-7
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Guest Invitation GovernanceGrundschutzNiedrig
CIS: 6.2NIST: PR.AC-1
Partner Account DeprovisioningGrundschutzMittel
CIS: 5.3NIST: PR.AC-1NIST: ID.AM-7
Incident Response Playbook (Partner-Kompromittierung)GrundschutzNiedrig
CIS: 17.3CIS: 17.4NIST: RS.MA-1NIST: RS.AN-1
T1484

Domain Policy Modification

ATT&CK

Ändern von Domänen-Richtlinien zur Rechteausweitung.

Mitigiert durch
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Guest Invitation GovernanceGrundschutzNiedrig
CIS: 6.2NIST: PR.AC-1
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Credential Access
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
T1110

Brute Force

ATT&CK

Versuche, durch systematisches Ausprobieren Zugriff auf Konten oder API-Keys zu erhalten.

Mitigiert durch
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Discovery
T1087

Account Discovery

ATT&CK

Aufzählung interner Konten und Gruppenstrukturen nach erstem Zugriff.

Mitigiert durch
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Partner Account DeprovisioningGrundschutzMittel
CIS: 5.3NIST: PR.AC-1NIST: ID.AM-7
Lateral Movement
T1021

Remote Services

ATT&CK

Nutzung legitimer Remote-Dienste für laterale Bewegung im Netzwerk.

Mitigiert durch
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Partner Account DeprovisioningGrundschutzMittel
CIS: 5.3NIST: PR.AC-1NIST: ID.AM-7
Collection
T1213

Data from Information Repositories

ATT&CK

Abgreifen von Daten aus Wissensdatenbanken (SharePoint, Confluence).

Mitigiert durch
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Tenant RestrictionsErweiterter SchutzMittel
CIS: 6.1NIST: PR.AC-3
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Terms of Use (B2B)GrundschutzNiedrig
CIS: 6.2NIST: PR.IP-3
T1530

Data from Cloud Storage Object

ATT&CK

Abgreifen von Daten aus Cloud-Speichern (S3, Blobs).

Mitigiert durch
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Tenant RestrictionsErweiterter SchutzMittel
CIS: 6.1NIST: PR.AC-3
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Exfiltration
T1567

Exfiltration Over Web Service

ATT&CK

Abfluss von Daten über legitime Web-Schnittstellen.

Mitigiert durch
Tenant RestrictionsErweiterter SchutzMittel
CIS: 6.1NIST: PR.AC-3
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Incident Response Playbook (Partner-Kompromittierung)GrundschutzNiedrig
CIS: 17.3CIS: 17.4NIST: RS.MA-1NIST: RS.AN-1
Impact
T1531

Account Access Removal

ATT&CK

Entfernen des Zugriffs für legitime Benutzer.

Mitigiert durch
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
DDoS-Schutz & Rate LimitingErweiterter SchutzMittel
CIS: 16.10NIST: PR.PT-4NIST: DE.AE-1
Incident Response Playbook (Partner-Kompromittierung)GrundschutzNiedrig
CIS: 17.3CIS: 17.4NIST: RS.MA-1NIST: RS.AN-1
T1485

Data Destruction

ATT&CK

Unwiederbringliches Löschen von Unternehmensdaten.

Mitigiert durch
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
DDoS-Schutz & Rate LimitingErweiterter SchutzMittel
CIS: 16.10NIST: PR.PT-4NIST: DE.AE-1

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch