Cybersicherheit verbessern: Selbstangriff ist die beste Verteidigung

Frankfurt/M., Starnberg, 04. Juli 2024 - Laut Horizon3.ai sollten sich Firmen regelmäßig selbst angreifen, um die Cyberresilienz zu testen; Penetration-Tests zur Vorbeugung…

Zum Beitrag: Die deutsche Wirtschaft setzt laut Rainer M. Richter, Europa- und Asienchef des Sicherheits­unternehmens Horizon3.ai beim Thema Cybersecurity (Zitat) „zu einseitig auf bloße Verteidigungsmaßnahmen und vernachlässigt den Selbstangriff zur Überprüfung der Cyberesilienz“. Und verweist darauf, dass in der Finanzbranche sogenannte Stresstests durch die Europäische Zentralbank (EZB) seit Jahren durchgeführt werden. Hinweis: Beim Penetration Test oder kurz „Pentest“ werden White Hat Hacker im Unternehmensauftrag darauf angesetzt, das firmeneigene Computernetzwerk zu knacken, um dadurch Schwachstellen aufzudecken. Inzwischen sind jedoch autonome Stresstestplattformen in der Cloud verfügbar, sodaß diese Vorgehensweise eine Alternative zu den bisherigen Verfahren darstellen kann.

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies in seinem Lagebericht 2023 noch knapp 135.000 offiziell gemeldete Fälle von Cyberkriminalität aus – und geht dabei von einem vermuteten Dunkelfeld von 90 Prozent aus. Das entspräche demnach ca. 1,5 Millionen Angriffen im Jahr, also mehr als 4.000 am Tag.* Auch der Trend zum Home Office bindet immer mehr teils zweifelhaft abgesicherte PCs in die Firmenstruktur ein und der Einsatz von Künstlicher Intelligenz macht Cyberangriffe schneller und gefährlicher.

 

Steigende Anforderungen an Cyberresilienz

Experten verweisen in diesem Zusammenhang zudem auf die steigenden Anforderungen an die Wirtschaft für mehr Cyberresilienz durch eine sich stetig verschärfende EU-Gesetzgebung. Neben spezifischen Sicherheitsauflagen für das Finanzwesen sind zahlreiche weitere Wirtschaftszweige betroffen, die als „Kritische Infrastrukturen“ (KRITIS) eingestuft werden. Dazu gehört die NIS2-Richtlinie (Network and Information Security); das deutsche Gesetz zur Umsetzung der EU-Vorgaben (NIS2UmsuCG) soll im Oktober 2024 in Kraft treten und mindestens 30.000 Unter­nehmen in Deutschland betreffen. Die Cyberrisiken bestehen danach nicht nur im eigenen Betrieb, sondern ebenso bei Zulieferern und Vertriebspartnern. Daher umfasst NIS2 die gesamte Lieferkette.

Pentests auch für Mittelständler erschwinglich?

Laut Horizon3.ai skalieren die Kosten „mit der Anzahl der Arbeitsplätze und dem Umfang des Computernetzwerks“. Die Pentest-Kosten sind zudem ins Verhältnis zu möglichen Schäden aus Cyberangriffen zu setzen. Der IT-Branchenverband Bitkom beziffert den jährlichen Gesamt­schaden für die deutsche Wirtschaft auf über 223 Milliarden Euro.**

Überprüfung aller angeschlossenen Geräte und Maschinen

Neben dem Kostenniveau und der leichten Einsetzbarkeit stuft der Anbieter als einen weiteren Vorteil einer Cloud-basierten Pentest-Plattform ein, dass diese über die Computer hinaus auch die angeschlossenen Maschinen und Geräte in die Prüfung einbezieht. Auch die Zeitspanne zwischen dem Aufdecken einer Sicherheitslücke und der Ausnutzung durch Kriminelle verkürzt sich zusehends. Daher bleibt den Unternehmen immer weniger Zeit, zu prüfen, ob ihre eigenen Computernetzwerke gefährdet sind.

Wie Horizon3.ai bei firmenbeauftragten Angriffsszenarien mit seiner eigenen KI-basierten Pentest-Plattform NodeZero festgestellt hat, gelingt es in der Regel binnen weniger Minuten, die Abwehrsysteme der Unternehmen zu überwinden. NodeZero wendet dabei laut Angaben auch Social-Engineering-Kompetenzen an, nutzt also mensch­liche Schwächen aus, wenn beispielsweise ein Mitarbeiter den Namen seines Hundes in den sozialen Netzwerken verrät und diesen gleichzeitig als Passwort für das Firmennetzwerk verwendet...

Anmerkung: Horizon3.ai bietet unter der Bezeichnung NodeZero eine Cloud-basierte Plattform, mit der Unternehmen und Behörden einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen. Steigende regulatorische Anforderungen an die Cyberresilienz legen es laut Anbieter nahe, "mindestens einmal wöchentlich Inhouse einen Selbstangriff durchzuführen".

 

70 neue Schwachstellen pro Tag

Laut Bundesamt für Sicherheit in der Informations­technologie (BSI) werden jeden Monat durchschnittlich mehr als 2.000 sog. Vulnerabilities („Verletzlichkeiten“) in Softwareprodukten verzeichnet, von denen das Amt 15 Prozent als „kritisch“ einstuft. Dazu Rainer M. Richter: „Keine IT-Abteilung ist angesichts der Flut an bekanntwerdenden Sicherheitslücken in der Lage, alle zu stopfen. Vielmehr komme es darauf an, sich auf diejenigen zu konzentrieren, von denen man selbst betroffen ist. Diese Fokussierung ist nur mit systematischen simulierten Angriffen auf die eigene Firma möglich, weil nur dabei die jeweils tatsächlich relevanten Schwachstellen zutage treten“.

Im BSI-Lagebericht zur IT-Sicherheit in Deutschland heißt es dazu: „Bei Cyberangriffen mit Ransomware beobachtet das BSI eine Verlagerung der Attacken: Nicht mehr nur große, zahlungskräftige Unternehmen stehen im Mittelpunkt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen. Insbesondere von erfolgreichen Cyberangriffen auf Kommunal­verwaltungen und kommunale Betriebe sind die Bürgerinnen und Bürger unseres Landes oft auch unmittelbar betroffen: So kann es dazu kommen, dass bürgernahe Dienstleistungen eine Zeit lang nicht zur Verfügung stehen oder persönliche Daten in die Hände Krimineller gelangen.“ ***

 

Quellenangaben (externe Links):

> * https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/PolizeilicheKriminalstatistik/PKS2023/Polizeiliche_Kriminalstatistik_2023/Polizeiliche_Kriminalstatistik_2023.html

> ** https://www.bitkom.org/Bitkom/Publikationen/Studie-Wirtschaftsschutz

> *** https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

 

Querverweis:

Unser Beitrag > Cyberkriminelle Nutzung von KI: Überblick von Trend Micro zu den neuesten Entwicklungen

Unser Beitrag > Incident-Response auf Cyberangriffe: Veeam übernimmt Coveware