Selbstangriff ist die beste Verteidigung

“Die deutsche Wirtschaft setzt bei Cybersecurity zu einseitig auf bloße Verteidigungsmaßnahmen und vernachlässigt den Selbstangriff zur Überprüfung der Cyberesilienz”, sagt Rainer M. Richter vom Sicherheits­unternehmen Horizon3.ai. Er verweist darauf, dass die Europäische Zentralbank (EZB) in der Finanzbranche Stresstests seit Jahren durchführt. Beim Pentest versuchen White Hat Hacker firmeneigene Computernetzwerke zu knacken, um dadurch Schwachstellen aufzudecken. „Inzwischen benötigt man keine White Hat Hacker mehr, weil es autonome Stresstestplattformen gibt, die aus der Cloud heraus für überschaubares Geld fix und fertig verfügbar sind”, sagt Richter.

Steigende Anforderungen an Cyberresilienz

Neben spezifischen Sicherheitsauflagen für das Finanzwesen müssen weitere Wirtschaftszweige aufgrund von verschärfter EU-Gesetzgebung ihre Cyberresilienz stärken. Dazu gehören die neue NIS2-Richtlinie oder das deutsche Gesetz zur Umsetzung der EU-Vorgaben (NIS2UmsuCG), das im Oktober 2024 in Kraft treten soll und mindestens 30.000 Unter­nehmen in Deutschland betreffen wird.

Ein Mittel, eigene Schwachstelle zu identifizieren, sind autonome Pentests aus der Cloud, die laut Richter „für jeden Mittel­ständler erschwinglich sind“. Eine Cloud-basierte Pentestplattform bezieht auch angeschlossene Maschinen und Geräte in die Prüfung ein. Die Kosten skalieren mit der Anzahl der Arbeitsplätze und dem Umfang des Computernetzwerks. Die Pentest-Kosten sind zudem ins Verhältnis zu möglichen Schäden aus Cyberangriffen zu setzen. Der IT-Branchenverband Bitkom beziffert den jährlichen Gesamt­schaden für die deutsche Wirtschaft auf über 223 Milliarden Euro.

Überblick über Schwachstellen

„Wenn Hacker die Kontrolle über die Sicherheitskameras auf dem Werksgelände übernehmen, gefährdet das die Sicherheit der ganzen Firma“, gibt der Europa- und Asienchef von Horizon3.ai ein konkretes Beispiel, wie der Ruf nach mehr Cyberresilienz weit über die Computersysteme der Unternehmen hinausreicht. Die meisten IT-Abteilungen hätten längst den Überblick über alle potenziellen Schwachstellen in ihren Computernetzwerken verloren, sagt Richter. Das sei auch verständlich, „denn die Computer- und Netzwerkkonstellationen werden immer komplexer und die Angriffe immer raffinierter und schneller.“

Wie Horizon3.ai bei firmenbeauftragten Angriffsszenarien mit seiner eigenen KI-basierten Pentestplattform NodeZero festgestellt hat, gelingt es in der Regel binnen weniger Minuten, die Abwehrsysteme der Unternehmen zu überwinden. NodeZero wendet dabei auch Social-Engineering-Kompetenzen an, nutzt also mensch­liche Schwächen aus, wenn also beispielsweise ein Mitarbeiter den Namen seines Hundes in den sozialen Netzwerken verrät und diesen gleichzeitig als Passwort für das Firmennetzwerk verwendet.

70 neue Schwachstellen pro Tag

„Viele Unternehmen haben 20 bis 40 separate Sicherheitssysteme zur Abwehr von Cyberangriffen gleichzeitig laufen, wissen jedoch kaum, wie gut diese zusammen funktionieren“, sagt Richter. Er verweist auf Recherchen des BSI, wonach jeden Monat durchschnittlich mehr als 2.000 Vulnerabilities in Softwareprodukten zu verzeichnen seien, von denen das BSI 15 Prozent als „kritisch“ einstuft. Richter: „Angesichts von täglich knapp 70 neuen potenziellen Einfallstoren für Hacker ist im Grunde jeden Tag ein Stress- sprich Penetrationtest zu empfehlen, auf jeden Fall aber einmal pro Woche“.

Roger Homrich

Recent Posts

Cloud-Ressourcen sind Hauptziel von Cyber-Angriffen

52 Prozent der Unternehmen Deutschland haben bereits eine Verletzung der Datensicherheit in der Cloud erlebt.

13 Stunden ago

Transport Betz automatisiert Geschäftsprozesse

Rückgrat des Digitalisierungsprogramms ist das ERP-System GUS-OS Suite, das der Logistikdienstleister seit 15 Jahren im…

1 Tag ago

Cyberversicherung auf dem Weg zum Standard

Studie: Mehr als die Hälfte der DACH-Unternehmen haben mittlerweile eine Police. Gesamtosten rund um Cyberversicherungen…

2 Tagen ago

Komplexität reduzieren und mit vorhandenen Ressourcen sicherer werden

"Unternehmen sollten Security-Investitionen neu bewerten, entscheiden, wo sie konsolidieren können und mit ähnlichem Geld sich…

5 Tagen ago

Chemiekonzern Kemira archiviert seine SAP-Daten und Dokumente in der Cloud

Kemira hat sich von langjähriger Archivierungslösung getrennt und vertraut nun der Archivierung in der Cloud…

6 Tagen ago

Use-Case: KI-Integration im deutschen Mittelstand

Auch im deutschen Mittelstand setzen mehr und mehr Unternehmen auf den Einsatz von künstlicher Intelligenz.…

1 Woche ago