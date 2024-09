Horizon3.AI Europe GmbH

Sicherheitsexperte lobt NIS2-Vorgehen gegen Cyberkriminalität

"Das entschlossene Vorgehen der Bundesregierung gegen Internetkriminalität ist sehr zu begrüßen", erklärt der Cybersecurity-Experte Dennis Weyel zum geplanten Inkrafttreten der NIS2-Richtlinie (Network & Information Security) am 17. Oktober. Das Bundeskabinett hatte den NIS2-Gesetzesentwurf mit umfassenden Vorgaben zur Cybersicherheit und Meldepflicht bei Vorfällen am 24. Juli beschlossen.

"Ein Großteil der betroffenen Unternehmen ist auf die neuen Vorschriften allerdings kaum vorbereitet", stellt Dennis Weyel, International Technical Director mit Zuständigkeit für Europa beim Sicherheitsunternehmen Horizon3.ai, fest. Das Unternehmen, das eine Plattform für sogenannte Penetrationstests ("Pentests"), also Selbstangriffe auf die eigene IT-Infrastruktur, um die Cyberresilienz zu prüfen, betreibt, erfährt eine "für die Sommerzeit absolut ungewöhnlich hohe Nachfrage", sagt Dennis Weyel. Er erklärt: "Den Firmen wird offenbar zusehends klar, dass sie ihre Computernetze bis Mitte Oktober bewerten und auf den aktuellen Sicherheitsstand bringen müssen."

Kapazität auf Pentesting-Plattform NodeZero deutlich erweitert

Ein Penetrationstest zur Prüfung, wie gut das eigene Netzwerk gegen Cyberattacken geschützt ist, stellt den ersten Schritt dar, um den NIS2-Anforderungen zu genügen." Horizon3.ai hat eigenen Angaben zufolge auf seiner Pentesting-Plattform NodeZero bereits die Kapazitäten für die EU-Staaten deutlich erhöht, um der stark gestiegenen Nachfrage Rechnung zu tragen.

"Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen", hat Bundesinnenministerin Nancy Faeser anlässlich der NIS2-Verabschiedung im Kabinett formuliert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt, dass rund 29.500 Unternehmen, die "Kritische Infrastrukturen" (KRITIS) betreiben, unmittelbar von NIS2 betroffen sind. Andere Experten gehen von bis zu 40.000 Firmen aus.

Firmen ab 50 Beschäftigte sollten BSI-Test machen

"Zum Kreis der Betroffenen gehören nicht etwa nur die KRITIS-Betreiber, sondern auch die Zulieferer und alle anderen Geschäftspartner", stellt Dennis Weyel klar. Er rät "praktisch jedem Unternehmen ab 50 Beschäftigten zum Betroffenheitstest, den das BSI über eine Webseite kostenfrei anbietet: https://ots.de/yKFEDZ.

Das Bundesamt für Sicherheit in der Informationstechnik spricht von einer "erheblichen Zunahme der Zahl von Unternehmen und Einrichtungen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben." "Ein solcher Nachweis ist in der Praxis nur mit einem Penetrationstest zu erbringen, denn nur dadurch lässt sich verbindlich belegen, dass die IT-Infrastruktur einem umfassenden Angriffsversuch tatsächlich standhält", meint Dennis Weyel. Er gibt allerdings zu bedenken: "Angesichts von geschätzt etwa 4.000 Cyberangriffen am Tag allein in Deutschland ist die Frage nicht, ob eine Firma einen IT-Penetrationstest durchgeführt hat, sondern wie aktuell dieser ist."

BSI-Statistiken gehen von rund 70 neu aufgedeckten Software-Schwachstellen pro Tag (!) aus. Laut dem "Cyber Security Report DACH 2024" von Horizon3.ai, dem eine Stichprobe von 300 Firmen in Deutschland, Österreich und der Schweiz zugrunde liegt, überprüfen lediglich 40 Prozent aller Unternehmen regelmäßig, ob ihre IT-Infrastruktur Infiltrationsversuchen von außen standhält. Knapp die Hälfte davon führt einen solchen Test aber nur einmal jährlich oder sogar nur alle paar Jahre durch.

"Viele Unternehmen haben Dutzende von Abwehrsystemen gegen Angriffe aller Art im Einsatz und glauben sich dadurch ausreichend geschützt", weiß Dennis Weyel aus zahlreichen Gesprächen. "Doch das ist ein fataler Irrtum, weil niemand vorhersagen kann, ob ein Schutzwall wirklich standhält, solange man ihn nicht einem ernsthaften Angriff aussetzt." Er verweist darauf, dass die Europäische Zentralbank (EZB) schon seit Jahren Penetrationstests - die von der EZB als Stresstest bezeichnet werden - zur Überprüfung der IT-Sicherheit europäischer Banken durchführt. "Dieses bei Finanzinstituten vorgegebene Sicherheitsniveau fordert der Gesetzgeber ab 17. Oktober für zahlreiche weitere Sektoren", erklärt Dennis Weyel die Zusammenhänge. Die ab Herbst betroffenen Branchen sind Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Produktion und Herstellung von Medizinprodukten, Maschinen und Fahrzeugen sowie elektrischen/elektronischen Geräten, digitale Anbieter und Forschung.

Resilienz gegenüber Social Engineering

Wie Horizon3.ai mitteilt, überprüft die autonome Pentest-Plattform NodeZero nicht nur die technische Sicherheit der zur Überprüfung eingereichten IT-Infrastruktur, sondern analysiert darüber hinaus auch die Resilienz gegenüber Social Engineering. So werden beispielsweise soziale Netzwerke wie Facebook, LinkedIn, TikTok oder X von Angreifern durchkämmt, um an Informationen wie das Geburtsdatum eines Mitarbeiters oder den Namen seines Haustiers zu gelangen, die ihnen helfen könnten, Benutzernamen und Passwörter zu erraten, um Zugang zu Unternehmensnetzwerken zu erhalten.

Zudem wird das sogenannte Berechtigungskonzept im Firmennetzwerk detailliert überprüft, um beispielsweise besser gegen Phishing-Attacken gewappnet zu sein. Dahinter steckt die Frage: Wenn der Account eines Beschäftigten gehackt wird, weil dieser zum Beispiel auf eine Fake-Mail hereinfällt, wie tief gelangen die Angreifer in das Netz, weil mit diesem einen Account sehr weitgehende Berechtigungen innerhalb der Firma verbunden sind. "Wir stellen immer wieder fest, dass beim Gros der Unternehmen über die meisten Accounts viel mehr Zugänge zu anderen Teilen des Firmennetzes möglich sind als für die betrieblichen Aufgaben des jeweiligen Account-Besitzers überhaupt nötig wären", sagt Dennis Weyel. Er stellt klar: "NodeZero findet diese Überberechtigungen und gibt konkrete Hinweise, wo und wie sie abgestellt werden sollten."

Die Unternehmen, die sich an den NIS2-Regularien messen lassen müssen, unterliegen künftig einer "Pflicht zum Nachweis der IT-Sicherheit". "Dieser Nachweis ist im Grunde nur mit einem Penetrationstest zu erbringen", ist Dennis Weyel überzeugt. Horizon3.ai wird daher seine Kapazitäten für EU-Unternehmen auf der Pentesting-Plattform NodeZero weiter kräftig ausbauen, kündigte der Spezialist für Cybersicherheit an.

Neue Begriffe: AEV und CTEM

Mit der Einführung von NIS2 werden eine Reihe von neuen Begriffen, die international schon länger geläufig sind, auch verstärkt in den deutschen Sprachgebrauch einfließen, mutmaßt Dennis Weyel. Dazu gehören die Kürzel AEV und CTEM. AEV steht für "Adversarial Exposure Validation" und CTEM steht für "Continuous Threat Exposure Management".

Im neuesten Gartner Hype Cycle for Security Operations, 2024 von Jonathan Nunez und Andrew Davies vom 29. Juli 2024*, definieren die Analysten AEV wie folgt:

"Adversarial exposure validation" ist der Prozess und die unterstützenden Technologien, die einen konsistenten, kontinuierlichen und automatisierten Beweis für die Durchführbarkeit verschiedener Angriffsszenarien liefern. Adversarial Exposure Validation-Technologien kombinieren mehrere Simulationen oder reale Angriffstechniken, um nicht nur die Existenz, sondern auch die Ausnutzbarkeit von Schwachstellen trotz bestehender Abwehrkontrollen und -prozesse nachzuweisen." Horizon3.ai wird von Gartner ausdrücklich als "sample vendor" aufgeführt.

Gartner führt AEV Drivers in dem oben genannten Bericht weiter aus: "Adversarial Exposure Validation ist relevant für Security Operations Teams, die nach Flexibilität und Automatisierung suchen, da es mehrere Anwendungsfälle unterstützt."

Im Zusammenhang mit den AEV-Treibern fügt Gartner hinzu: "Unterstützung des CTEM-Programms (Continuous Threat Exposure Management). Die Adversarial Exposure Validation ermöglicht eine tiefere Automatisierung des "Validierungs"-Schrittes. Die Aufnahme von Automatisierung in das Toolkit des Red Teams kann auch dabei helfen, ein solches Programm zu initiieren."

"Der CTEM-Ansatz der Gartner Group geht konform mit regelmäßigen Penetrationstests in relativ kurzen Abständen über NodeZero", ordnet Sicherheitsexperte Dennis Weyel das Konzept der Analysten in Bezug auf NIS2 ein.

Laden Sie hier Ihr kostenloses Exemplar des Gartner Hype Cycle for Security Operations, 2024 von Jonathan Nunez und Andrew Davies vom 29. Juli 2024 runter: https://ots.de/5BSecx

GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international, und HYPE CYCLE ist eine eingetragene Marke von Gartner, Inc. und/oder seinen Tochtergesellschaften und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten.

Gartner befürwortet keine Anbieter, Produkte oder Dienstleistungen, die in seinen Forschungspublikationen dargestellt werden, und rät Technologieanwendern nicht, nur die Anbieter mit den höchsten Bewertungen oder anderen Bezeichnungen auszuwählen. Die Forschungspublikationen von Gartner geben die Meinung der Forschungsorganisation von Gartner wieder und sollten nicht als Tatsachenbehauptungen ausgelegt werden. Gartner lehnt jede ausdrückliche oder stillschweigende Gewährleistung in Bezug auf diese Studie ab, einschließlich jeglicher Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck.

Über Horizon3.ai und NodeZero: Horizon3.ai bietet unter der Bezeichnung NodeZero eine Cloud-basierte Plattform an, mit der Unternehmen und Behörden einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen (sog. Penetration Tests oder Pentests). Die Kosten sind aufgrund des Cloud-Konzepts niedrig, so dass regelmäßiges Pentesting auch für mittelständische Firmen erschwinglich ist. Horizon3.ai analysiert die Cybercrime-Szene permanent, um neu aufkommende Schwachstellen über die Cloud sofort berücksichtigen zu können. NodeZero deckt die Sicherheitslücken nicht nur auf, sondern gibt zugleich konkrete Hinweise zur Behebung. Mit der Plattform hilft Horizon3.ai Unternehmen und Behörden, den steigenden regulatorischen Anforderungen an Cyberresilienz nachzukommen, die nahelegen, mindestens einmal wöchentlich inhouse einen Selbstangriff durchzuführen. Fordern Sie eine kostenlose Demonstration an unter: www.horizon3.ai.

