Frankfurt/M., Starnberg, 04. Juli 2024 - Laut Horizon3.ai sollten sich Firmen regelmäßig selbst angreifen, um die Cyberresilienz zu testen; Penetration-Tests zur Vorbeugung…
Zum Beitrag: Die deutsche Wirtschaft setzt laut Rainer M. Richter, Europa- und Asienchef des Sicherheitsunternehmens Horizon3.ai beim Thema Cybersecurity (Zitat) „zu einseitig auf bloße Verteidigungsmaßnahmen und vernachlässigt den Selbstangriff zur Überprüfung der Cyberesilienz“. Und verweist darauf, dass in der Finanzbranche sogenannte Stresstests durch die Europäische Zentralbank (EZB) seit Jahren durchgeführt werden. Hinweis: Beim Penetration Test oder kurz „Pentest“ werden White Hat Hacker im Unternehmensauftrag darauf angesetzt, das firmeneigene Computernetzwerk zu knacken, um dadurch Schwachstellen aufzudecken. Inzwischen sind jedoch autonome Stresstestplattformen in der Cloud verfügbar, sodaß diese Vorgehensweise eine Alternative zu den bisherigen Verfahren darstellen kann.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies in seinem Lagebericht 2023 noch knapp 135.000 offiziell gemeldete Fälle von Cyberkriminalität aus – und geht dabei von einem vermuteten Dunkelfeld von 90 Prozent aus. Das entspräche demnach ca. 1,5 Millionen Angriffen im Jahr, also mehr als 4.000 am Tag.* Auch der Trend zum Home Office bindet immer mehr teils zweifelhaft abgesicherte PCs in die Firmenstruktur ein und der Einsatz von Künstlicher Intelligenz macht Cyberangriffe schneller und gefährlicher.
Steigende Anforderungen an Cyberresilienz
Experten verweisen in diesem Zusammenhang zudem auf die steigenden Anforderungen an die Wirtschaft für mehr Cyberresilienz durch eine sich stetig verschärfende EU-Gesetzgebung. Neben spezifischen Sicherheitsauflagen für das Finanzwesen sind zahlreiche weitere Wirtschaftszweige betroffen, die als „Kritische Infrastrukturen“ (KRITIS) eingestuft werden. Dazu gehört die NIS2-Richtlinie (Network and Information Security); das deutsche Gesetz zur Umsetzung der EU-Vorgaben (NIS2UmsuCG) soll im Oktober 2024 in Kraft treten und mindestens 30.000 Unternehmen in Deutschland betreffen. Die Cyberrisiken bestehen danach nicht nur im eigenen Betrieb, sondern ebenso bei Zulieferern und Vertriebspartnern. Daher umfasst NIS2 die gesamte Lieferkette.
Pentests auch für Mittelständler erschwinglich?
Laut Horizon3.ai skalieren die Kosten „mit der Anzahl der Arbeitsplätze und dem Umfang des Computernetzwerks“. Die Pentest-Kosten sind zudem ins Verhältnis zu möglichen Schäden aus Cyberangriffen zu setzen. Der IT-Branchenverband Bitkom beziffert den jährlichen Gesamtschaden für die deutsche Wirtschaft auf über 223 Milliarden Euro.**
Überprüfung aller angeschlossenen Geräte und Maschinen
Neben dem Kostenniveau und der leichten Einsetzbarkeit stuft der Anbieter als einen weiteren Vorteil einer Cloud-basierten Pentest-Plattform ein, dass diese über die Computer hinaus auch die angeschlossenen Maschinen und Geräte in die Prüfung einbezieht. Auch die Zeitspanne zwischen dem Aufdecken einer Sicherheitslücke und der Ausnutzung durch Kriminelle verkürzt sich zusehends. Daher bleibt den Unternehmen immer weniger Zeit, zu prüfen, ob ihre eigenen Computernetzwerke gefährdet sind.
Wie Horizon3.ai bei firmenbeauftragten Angriffsszenarien mit seiner eigenen KI-basierten Pentest-Plattform NodeZero festgestellt hat, gelingt es in der Regel binnen weniger Minuten, die Abwehrsysteme der Unternehmen zu überwinden. NodeZero wendet dabei laut Angaben auch Social-Engineering-Kompetenzen an, nutzt also menschliche Schwächen aus, wenn beispielsweise ein Mitarbeiter den Namen seines Hundes in den sozialen Netzwerken verrät und diesen gleichzeitig als Passwort für das Firmennetzwerk verwendet...
Anmerkung: Horizon3.ai bietet unter der Bezeichnung NodeZero eine Cloud-basierte Plattform, mit der Unternehmen und Behörden einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen. Steigende regulatorische Anforderungen an die Cyberresilienz legen es laut Anbieter nahe, "mindestens einmal wöchentlich Inhouse einen Selbstangriff durchzuführen".
70 neue Schwachstellen pro Tag
Laut Bundesamt für Sicherheit in der Informationstechnologie (BSI) werden jeden Monat durchschnittlich mehr als 2.000 sog. Vulnerabilities („Verletzlichkeiten“) in Softwareprodukten verzeichnet, von denen das Amt 15 Prozent als „kritisch“ einstuft. Dazu Rainer M. Richter: „Keine IT-Abteilung ist angesichts der Flut an bekanntwerdenden Sicherheitslücken in der Lage, alle zu stopfen. Vielmehr komme es darauf an, sich auf diejenigen zu konzentrieren, von denen man selbst betroffen ist. Diese Fokussierung ist nur mit systematischen simulierten Angriffen auf die eigene Firma möglich, weil nur dabei die jeweils tatsächlich relevanten Schwachstellen zutage treten“.
Im BSI-Lagebericht zur IT-Sicherheit in Deutschland heißt es dazu: „Bei Cyberangriffen mit Ransomware beobachtet das BSI eine Verlagerung der Attacken: Nicht mehr nur große, zahlungskräftige Unternehmen stehen im Mittelpunkt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen. Insbesondere von erfolgreichen Cyberangriffen auf Kommunalverwaltungen und kommunale Betriebe sind die Bürgerinnen und Bürger unseres Landes oft auch unmittelbar betroffen: So kann es dazu kommen, dass bürgernahe Dienstleistungen eine Zeit lang nicht zur Verfügung stehen oder persönliche Daten in die Hände Krimineller gelangen.“ ***
Quellenangaben (externe Links):
> ** https://www.bitkom.org/Bitkom/Publikationen/Studie-Wirtschaftsschutz
> *** https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
Querverweis:
Unser Beitrag > Cyberkriminelle Nutzung von KI: Überblick von Trend Micro zu den neuesten Entwicklungen
Unser Beitrag > Incident-Response auf Cyberangriffe: Veeam übernimmt Coveware