- Steigende Nachfrage nach Pentesting vor der bevorstehenden Inkraftsetzung von NIS2
- Europa-Chef Dennis Weyel: „Firmen erkennen, das ein Pentest der beste Compliance-Nachweis ist“. Ein Pentest ist ein simulierter Cyberangriff auf das eigene Computernetzwerk.
- Horizon3.ai betreibt in Frankfurt am Main mit NodeZero eine der weltweit größten Pentesting-Plattformen.
Das Cybersicherheitsunternehmen Horizon3.ai hat seine Kapazitäten für sogenannte Penetrationstests in Europa eigenen Angaben zufolge verdoppelt. Mit der Ausweitung trägt die Firma der sprunghaft gestiegenen Nachfrage aufgrund des baldigen Inkrafttretens der NIS2-Verordnung (Network & Information Security) in der Europäischen Union Rechnung, teilt die Horizon3.AI Europe GmbH (Frankfurt am Main) mit. „Vielen Unternehmen ist offenbar erst kurzfristig klargeworden, dass ein Penetrationstest der beste und vermutlich rechtlich einzige Weg ist, die Compliance zu NIS2 verbindlich nachzuweisen“, weiß Dennis Weyel, International Technical Director mit Zuständigkeit für Europa bei Horizon3.ai aufgrund vieler Kundengespräche.
Bei einem Penetrationstest (Fachjargon „Pentest“) wird das firmeneigene Computernetzwerk im Unternehmensauftrag gezielt angegriffen, um dadurch die Cyberresilienz zu überprüfen. „Man kann sich einen Pentest als eine groß angelegte und äußerst raffinierte Cyberattacke vorstellen, die das Unternehmen aber im Gegensatz zu einem echten Angriff durch Kriminelle unter Kontrolle hat“, veranschaulicht Dennis Weyel die Vorgehensweise. Horizon3.ai betreibt mit NodeZero am Standort Frankfurt eine der weltweit umfassendsten Plattformen für Pentesting, die über Partner, sogenannte Managed Service Providers (MSP) und Managed Security Service Provider (MSSP), für Wirtschaft und öffentliche Einrichtungen zur Verfügung gestellt wird.
Über die erweiterten NodeZero-Kapazitäten lassen sich sowohl IT-Netzwerke in den Unternehmen vor Ort (on premise) als auch Konfigurationen in gängigen Cloud-Umgebungen wie AWS oder Azure einer Sicherheitsüberprüfung unterziehen, teilt Horizon3.ai mit. Der Anbieter hat kurz vor der NIS2-Pflicht ab Herbst unter dem Namen „NodeZero Cloud Pentesting“ eine eigene Lösung vorgestellt, die Unternehmen hilft, komplexe ausnutzbare Schwachstellen und versteckte Angriffspfade in ihren Cloud-Umgebungen zu identifizieren und zu beheben.
EZB als Vorreiter für Pentesting in Europa
In Europa wurde das Pentestingkonzept maßgeblich von der Europäischen Zentralbank (EZB) für den Finanzsektor vorangetrieben. So unterzieht die EZB in diesem Jahr über 100 Banken in der EU einem Penetrationstest, den sie als „Stresstest zur Cyberresilienz“ bezeichnet. Mit der angekündigten EU-Richtlinie NIS2, die in Kürze in Kraft treten soll, wird das Konzept der Penetrationstests als ultimative Überprüfung der Cyberresilienz über den Finanzsektor hinaus auf zahlreiche weitere Branchen ausgeweitet, die man als Kritische Infrastrukturen (KRITIS) einstuft. Die betroffenen Branchen sind Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Produktion und Herstellung von Medizinprodukten, Maschinen und Fahrzeugen sowie elektrischen/elektronischen Geräten, digitale Anbieter und Forschung.
NIS2 betrifft indes nicht nur die KRITIS-Unternehmen selbst, sondern auch die Zulieferer, Kunden und sonstigen Geschäftspartner dieser Firmen. Dennis Weyel stellt fest: „Die Nachfrage nach Pentesting ist nicht nur in der EU dramatisch gestiegen, sondern auch in Nordamerika und Asien, weil viele dort ansässige Firmen im Rahmen internationaler Lieferketten Unternehmen mit Sitz in der EU zu ihrem Kundenkreis zählen. Denn jeder Angriff bei einem Geschäftspartner kann direkt auf alle verbundenen Unternehmen übergreifen.“
Ein Pentest als Lackmustest für Cyberresilienz
Laut Horizon3.ai werden bei einem Penetrationstest mit NodeZero alle verbundenen Geräte, Maschinen und Systeme aufgelistet und anschließend auf Sicherheitslücken überprüft. „Veraltete Software in Gerätschaften außerhalb des Kernnetzes zählt zu den häufigsten Einfallstoren für Cyberkriminelle“, sagt Dennis Weyel. Als Beispiele nennt er Kassensysteme, Überwachungskameras, Drucker, CNC-Maschinen, Fertigungsroboter und die Gebäudeautomatisierung. Gemäß dem Grundsatz „Jede Kette ist nur so sicher wie ihr schwächstes Glied“ nimmt NodeZero im Rahmen eines Pentests alle diese Komponenten unter die Lupe, um eine lückenlose Sicherheitskette zu gewährleisten bzw. auf Schwachstellen hinzuweisen, die so rasch wie möglich etwa durch ein Software-Update beseitigt werden sollten.
Indes deckt ein Pentest über NodeZero laut Angaben des Plattformbetreibers nicht nur technische Schwachstellen auf, sondern auch menschliche Schwächen, die die Sicherheit des Firmennetzes gefährden. Horizon3.ai setzt dazu nach eigener Darstellung auf Social Engineering, prüft also beispielsweise, ob sich sicherheitsrelevante Passworte aus den Social Media-Aktivitäten der Beschäftigen ableiten lassen. „Wenn ein Mitarbeiter den Namen seines Haustieres, über das er regelmäßig postet, mit seinem eigenen Geburtsdatum zu einem Passwort kombiniert, dann ist es um die Sicherheit des Firmennetzes nicht gut bestellt“, gibt Dennis Weyel ein Beispiel, und sagt: „NodeZero findet bei einem simulierten Angriff solche menschlichen Sicherheitsrisiken, die beim bloßen Einsatz von Verteidigungssoftware niemals auffallen würden.“
Der International Technical Director mit Zuständigkeit für Europa bei Horizon3.ai erklärt den Unterschied zwischen Angriff und Verteidigung in diesem Zusammenhang: „In den meisten Unternehmen laufen Dutzende von Programmen, um Cyberattacken abzuwehren, und das ist auch gut so. Aber genauso notwendig ist es, mit Pentests regelmäßig zu überprüfen, wie gut diese Abwehrsoftware unterschiedlichen Angriffsszenarien tatsächlich standhält. Dieser Lackmustest für die Cyberresilienz wird von NIS2 zwingend eingefordert.“ Bei Phishing, einer der häufigsten Angriffsformen mittels Social Engineering, bei der ein Beschäftigter zum Klick auf einen schädlichen Link verleitet wird, hilft NodeZero bei der Folgeneindämmung, indem die Berechtigungen, die ein einzelner Mitarbeiter im Firmennetzwerk besitzt, auf das für seine Tätigkeit notwendige Maß beschränkt werden. Wird ein einzelner Account gehackt, können die Angreifer also noch längst nicht auf das gesamte Netzwerk zugreifen.
Dennis Weyel schlägt den Bogen zur Politik: „Die EU-Bürokratie mag an vielen Stellen als aufgebläht erscheinen, doch mit NIS2 hat die EU ein Sicherheitsniveau festgelegt, das ohne jeden Zweifel dringend notwendig ist, denn dadurch werden Angriffsszenarien zum ultimativen Prüfstein der Cyberresilienz. In diesem Fall ist die Politik tatsächlich einmal der Wirtschaft voraus, denn der aktuelle Ansturm auf NodeZero ist nur mit einem dringenden Nachholbedarf bei vielen Unternehmen zu erklären.“
Firmen, die zur KRITIS-Kerngruppe gehören, also beispielsweise Krankenhäuser oder Energieversorger, räumt Horizon3.ai Priorität bei NodeZero ein. „Für die Betreiber kritischer Infrastrukturen haben wir eine Fast Lane eingerichtet“, sagt Dennis Weyel. Er begründet die Priorisierung anhand von zwei Beispielen: „Bei einem KRITIS-Cyberangriff etwa auf ein Krankenhaus kann es um Leben und Tod gehen. Bei einem großflächigen Stromausfall sind potenzielle Tausende von Haushalten betroffen“.
Mindestens einmal im Monat zum Pentest
Horizon3.ai hat sich eigenen Angaben zufolge auf eine weitere Ausweitung der NodeZero-Kapazitäten vorbereitet. Überkapazitäten befürchtet der Plattformbetreiber nicht, weil NIS2 regelmäßige Penetrationstests anraten lässt. „Ein Test pro Monat ist angesichts von mehr als 2.000 neu aufgedeckten Softwareschwachstellen monatlich, von denen durchschnittlich etwa 15 Prozent als kritisch einzustufen sind, sicherlich nicht übertrieben“, gibt Dennis Weyel eine Maßzahl für NIS2-Compliance vor.* Seine persönliche Empfehlung: ein Testlauf pro Woche. Er verweist auf Statistiken, nach denen täglich mehr als 60 neue potenzielle Einfallstore für Cyberkriminelle entdeckt werden.
Da NodeZero alle Sicherheitsüberprüfungen autonom aus der Cloud durchführt, ist der personelle und finanzielle Aufwand auf Seite der zu prüfenden Unternehmen gering, gibt er zu bedenken. „Jeder mittelständische Firma kann und sollte ihre Cyberresilienz mindestens so regelmäßig einem Penetrationstest unterziehen wie sie die Monatsmiete für die Büroräumlichkeiten begleicht“, empfiehlt Dennis Weyel, „denn die Folgen einer Vernachlässigung können ähnlich gravierend sein: Ohne Miete verliert die Firma ihre Bleibe als Grundlage für einen funktionierenden Geschäftsbetrieb, bei einem Cyberangriff steht ihre technische und organisatorische Funktionalität inklusive aller Betriebsabläufe, Datenbestände und Geschäftsgeheimnisse im Feuer. Hinzu kommt die persönliche Verantwortung bis hinauf zum Vorstand oder zur Geschäftsleitung nicht nur bei den staatlichen Stellen in Sachen NIS2-Compliance, sondern auch Anteilseignern, Geschäftspartnern und etwa bei einem Datendiebstahl Kunden gegenüber.“
* https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
Über Horizon3.ai und NodeZero: Horizon3.ai bietet unter der Bezeichnung NodeZero eine Cloud-basierte Plattform an, mit der Unternehmen und Behörden einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen (sog. Penetration Tests oder Pentests). Die Kosten sind aufgrund des Cloud-Konzepts niedrig, so dass regelmäßiges Pentesting auch für mittelständische Firmen erschwinglich ist. Horizon3.ai analysiert die Cybercrime-Szene permanent, um neu aufkommende Schwachstellen über die Cloud sofort berücksichtigen zu können. NodeZero deckt die Sicherheitslücken nicht nur auf, sondern gibt zugleich konkrete Hinweise zur Behebung. Mit der Plattform hilft Horizon3.ai Unternehmen und Behörden, den steigenden regulatorischen Anforderungen an Cyberresilienz nachzukommen, die nahelegen, mindestens einmal wöchentlich inhouse einen Selbstangriff durchzuführen. Fordern Sie eine kostenlose Demonstration an: www.horizon3.ai.
Warenzeichenhinweis: NodeZero ist ein Trademark von Horizon3.ai
Pressekontakt:
Weitere Informationen:
Horizon3.AI Europe GmbH, Sebastian-Kneipp-Str. 41, 60439 Frankfurt am Main, Web: www.horizon3.ai
PR-Agentur:
euromarcom public relations GmbH, Web: www.euromarcom.de, E-Mail: team@euromarcom.de