- Dennis Weyel: „Blindes Vertrauen in die Cyber-Verteidigungssysteme, ohne diese fortlaufend auf den Prüfstand zu stellen, ist naiv.“
Pentesting, also die Selbsteinschätzung der IT-Infrastruktur der eigenen Firma, um die Cyberresilienz zu testen, wird in der Wirtschaft sträflich vernachlässigt, beklagt Dennis Weyel, International Technical Director mit Zuständigkeit für Europa beim Sicherheitsunternehmen Horizon3.ai. Er erklärt: „Wie standhaft ein IT-Netzwerk gegenüber Cyberattacken wirklich ist, weiß man nur, wenn man es mit simulierten Angriffen auf den Prüfstand stellt. Erst durch Penetrationstests lässt sich feststellen, ob Hacker von außen eindringen können oder ob ein Unternehmen tatsächlich vor Cyberkriminellen geschützt ist.“
Doch laut dem aktuellen „Cyber Security Report DACH 2024“ von Horizon3.ai, dem eine Stichprobe von 300 Firmen in Deutschland, Österreich und der Schweiz zugrunde liegt, überprüfen lediglich 40 Prozent aller Unternehmen regelmäßig, ob ihre IT-Infrastruktur Penetrationsversuchen von außen standhält. Knapp die Hälfte davon führt einen solchen Pentest aber nur einmal jährlich oder sogar nur alle paar Jahre durch. Zwar inszenieren 38 Prozent der Unternehmen bis zu dreimal pro Jahr einen Selbstangriff auf sich, aber nur drei Prozent attackieren sich mehr als dreimal jährlich.
Dennis Weyel erläutert: „Die meisten Firmen haben weit mehr als ein Dutzend Cyber-Verteidigungssysteme im Einsatz und verlassen sich schlichtweg darauf, damit ausreichend gegen Cyberattacken von außen geschützt zu sein. Doch das ist wie ein Blindflug, bei dem man darauf vertraut, dass alle Systeme automatisch funktionieren. Das mag bei einem Schönwetterflug ausreichen, aber es ist naiv zu glauben, dass dieser rein defensive Ansatz einem Dauerfeuer an Angriffen standhält.“ Der Sicherheitsfachmann verweist auf Statistiken des Bundeskriminalamtes (BKA), wonach es in Deutschland täglich(!) zu mehr als 4.000 Einbruchsversuchen in Firmennetze kommt.* Dennoch verlassen sich laut aktuellem Report 55 Prozent der Firmen auf rein defensive Sicherheitskonzepte. Ein knappes Viertel hält offensive Penetrationstests schlichtweg für überflüssig. Immerhin 19 Prozent führen ab und zu „Notfallübungen“ durch, aber lediglich fünf Prozent setzen sich selbst einem Dauerfeuer aus, um die eigene Cyberresilienz zu überprüfen.
Dennis Weyel: „Menschliche Schwächen werden vernachlässigt“
Allerdings konzentrieren sich selbst die „Dauertester“ auf das Aufspüren technischer Sicherheitslücken und Schwachstellen in Softwareprogrammen, ohne menschliche Schwächen ausreichend zu berücksichtigen, hat die Umfrage von Horizon3.ai zutage gefördert. „Ein Penetrationstest ohne Social Engineering hat wenig Wert“, sagt Experte Dennis Weyel. Er führt aus: „Hacker werten in der Regel alle öffentlich zugänglichen Informationen über ein Unternehmen, seine Beschäftigten und sogar ehemalige Mitarbeiter etwa in den sozialen Netzwerken aus, um sicherheitsrelevante Hinweise aufzuspüren. Ein vom Unternehmen autorisierter Selbstangriff muss daher auch mit Social Engineering arbeiten und Open-Source-Informationen sammeln, um der tatsächlichen Bedrohungslage gerecht zu werden.“
Als eine weitere häufig anzutreffende Folge menschlicher Schwächen nennt Sicherheitsfachmann Dennis Weyel „Konfigurationsfehler durch Unwissenheit oder Schlamperei in den Verteidigungssystemen“. Er sagt: „Viele Firmen betreiben 20 bis 40 verschiedene Sicherheitsprogramme gleichzeitig, haben aber längst den Überblick über die damit verbundenen Konfigurationen verloren. Allein die notwendige ständige Aktualisierung der Securitysoftware überfordert viele IT-Teams in den Unternehmen, weniger vom Know-how her als vielmehr durch den damit verbundenen Arbeitsaufwand. Bei jedem einzelnen Update muss im Grunde die Gesamtkonfiguration neu überprüft werden, weil aus dem Zusammenspiel unterschiedlicher Systeme neue Fehleranfälligkeiten entstehen können, sobald sich eine Komponente auch nur geringfügig ändert.“
Angesichts des damit verbundenen hohen Aufwands hält es Dennis Weyel für „illusorisch, die Überprüfung der Cybersicherheit durch Penetrationstests allein Experten anzuvertrauen“. Er sagt: „So viele qualifizierte Fachleute mit Zertifizierungen wie Offensive Security Certified Professional oder Certified Ethical Hacker gibt es gar nicht.“ Vielmehr sollten die Unternehmen auf autonome Pentestplattformen ausweichen, weil diese „sicherer und kostengünstiger als jedes Expertenteam arbeiten.“ Er stellt klar: „Natürlich brauchen wir weiterhin möglichst viele und hochqualifizierte Spezialisten, aber gleichzeitig müssen wir den Automatisierungsgrad bei Penetrationstests so weit wie möglich erhöhen, um der ständig wachsenden Bedrohungslage gerecht zu werden.“ Die Empfehlung kommt nicht von ungefähr: Weyels Arbeitgeber Horizon3.ai bietet unter dem Namen NodeZero eine Cloud-basierte Pentesting-Plattform an, mit der Unternehmen einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen
Selbst die „Demilitarisierte Zone“ ist nicht mehr sicher
Die Häufigkeit und Gründlichkeit der Pentests spielt auch deshalb eine Schlüsselrolle bei der Cybersicherheit, weil dabei nicht nur die „Außenhaut“ der IT-Netzwerke einem umfassenden Penetrationsversuch unterzogen werden sollte, sondern es auch die interne Absicherung zu überprüfen gilt. Dennis Weyel erläutert: „Durch Home Office, das Internet der Dinge und Mobile Work erhalten immer mehr Geräte von entfernten Standorten aus Zugriff auf das Unternehmensnetzwerk. Dadurch gibt es zwangsläufig mehr Angriffsfläche als je zuvor. Ein zeitgemäßes Sicherheitskonzept muss daher davon ausgehen, dass ein Hacker die Außenhaut durchdringt und den initialen Zugang zu einem Netzsegment bekommt, von dem aus er einen internen Angriff startet.“
Selbst die sogenannte „Demilitarisierte Zone“ (DMZ), die als besonders vertrauenswürdig gilt, weil sie mehrfach gegen andere Netzwerksegmente abgeschirmt ist, kann nach Weyels Erfahrungen nicht mehr per se als sicherer Raum eingestuft werden. „Ein moderner Penetrationstest muss sich das gesamte Firmennetzwerk in allen seinen Verästelungen vorknöpfen“, betont der Sicherheitsexperte. Er ergänzt: „Dabei geht es nicht nur darum, Schwachstellen zu finden, sondern auch deren mögliche Auswirkungen auszuloten. Wenn etwa ein DMZ-Einbruch dazu führt, dass sich damit einem Hacker das gesamte Netzwerk wie ein offenes Buch präsentiert, dann muss das im Pentest auffallen, um dringend Abhilfe schaffen zu können.“
Frustration und Resignation helfen nicht weiter
Die Ergebnisse des „Cyber Security Report DACH 2024“ von Horizon3.ai könnten den Schluss nahelegen, dass viele Unternehmen den Schutz ihrer IT-Infrastrukturen beinahe schon aufgegeben haben. 41 der Firmen wissen eigenen Angaben zufolge, dass in ihrem Betrieb zu wenig für den Cyberschutz getan wird. 32 Prozent der Unternehmen investieren zwar in umfassende Abwehrmaßnahmen, gestehen aber ein „es könnte noch besser sein“. Ein knappes Zehntel der Befragten scheint resigniert zu haben und sagt „es gibt kaum einen wirklichen Schutz“. Lediglich 12 Prozent der Unternehmen in Deutschland, Österreich und der Schweiz geben sich zuversichtlich, vollständig gegen Cyberangriffe aller Art gewappnet zu sein.
„Natürlich kann es keinen hundertprozentigen Schutz geben“, sagt Dennis Weyel, „aber Frust und Resignation lösen das Problem gewiss nicht. Und das fortlaufende Hochrüsten der Verteidigungssysteme hilft auch nicht weiter, wenn nicht gleichzeitig durch permanente Penetrationstests das tatsächliche Sicherheitsniveau immer wieder geprüft wird.“
* https://ots.de/FiAhIv
Über Horizon3.ai und NodeZero: Horizon3.ai bietet unter der Bezeichnung NodeZero eine Cloud-basierte Plattform an, mit der Unternehmen und Behörden einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen (sog. Penetration Tests oder Pentests). Die Kosten sind aufgrund des Cloud-Konzepts niedrig, so dass regelmäßiges Pentesting auch für mittelständische Firmen erschwinglich ist. Horizon3.ai analysiert die Cybercrime-Szene permanent, um neu aufkommende Schwachstellen über die Cloud sofort berücksichtigen zu können. NodeZero deckt die Sicherheitslücken nicht nur auf, sondern gibt zugleich konkrete Hinweise zur Behebung. Mit der Plattform hilft Horizon3.ai Unternehmen und Behörden bei „Governance, Risk & Compliance“ (GRC) den steigenden regulatorischen Anforderungen an Cyberresilienz nachzukommen, die nahelegen, mindestens einmal wöchentlich inhouse einen Selbstangriff durchzuführen. Demo anfordern: www.horizon3.ai.
Warenzeichenhinweis: NodeZero ist ein Trademark von Horizon3.ai
Pressekontakt:
Weitere Informationen: Horizon3.AI Europe GmbH, Sebastian-Kneipp-Str.
41, 60439 Frankfurt am Main, Web: www.horizon3.ai
PR-Agentur: euromarcom public relations GmbH, Web: www.euromarcom.de,
E-Mail: team@euromarcom.de