Selbstangriff ist die beste Verteidigung

“Die deutsche Wirtschaft setzt bei Cybersecurity zu einseitig auf bloße Verteidigungsmaßnahmen und vernachlässigt den Selbstangriff zur Überprüfung der Cyberesilienz”, sagt Rainer M. Richter vom Sicherheits­unternehmen Horizon3.ai. Er verweist darauf, dass die Europäische Zentralbank (EZB) in der Finanzbranche Stresstests seit Jahren durchführt. Beim Pentest versuchen White Hat Hacker firmeneigene Computernetzwerke zu knacken, um dadurch Schwachstellen aufzudecken. „Inzwischen benötigt man keine White Hat Hacker mehr, weil es autonome Stresstestplattformen gibt, die aus der Cloud heraus für überschaubares Geld fix und fertig verfügbar sind”, sagt Richter.

Steigende Anforderungen an Cyberresilienz

Neben spezifischen Sicherheitsauflagen für das Finanzwesen müssen weitere Wirtschaftszweige aufgrund von verschärfter EU-Gesetzgebung ihre Cyberresilienz stärken. Dazu gehören die neue NIS2-Richtlinie oder das deutsche Gesetz zur Umsetzung der EU-Vorgaben (NIS2UmsuCG), das im Oktober 2024 in Kraft treten soll und mindestens 30.000 Unter­nehmen in Deutschland betreffen wird.

Ein Mittel, eigene Schwachstelle zu identifizieren, sind autonome Pentests aus der Cloud, die laut Richter „für jeden Mittel­ständler erschwinglich sind“. Eine Cloud-basierte Pentestplattform bezieht auch angeschlossene Maschinen und Geräte in die Prüfung ein. Die Kosten skalieren mit der Anzahl der Arbeitsplätze und dem Umfang des Computernetzwerks. Die Pentest-Kosten sind zudem ins Verhältnis zu möglichen Schäden aus Cyberangriffen zu setzen. Der IT-Branchenverband Bitkom beziffert den jährlichen Gesamt­schaden für die deutsche Wirtschaft auf über 223 Milliarden Euro.

Überblick über Schwachstellen

„Wenn Hacker die Kontrolle über die Sicherheitskameras auf dem Werksgelände übernehmen, gefährdet das die Sicherheit der ganzen Firma“, gibt der Europa- und Asienchef von Horizon3.ai ein konkretes Beispiel, wie der Ruf nach mehr Cyberresilienz weit über die Computersysteme der Unternehmen hinausreicht. Die meisten IT-Abteilungen hätten längst den Überblick über alle potenziellen Schwachstellen in ihren Computernetzwerken verloren, sagt Richter. Das sei auch verständlich, „denn die Computer- und Netzwerkkonstellationen werden immer komplexer und die Angriffe immer raffinierter und schneller.“

Wie Horizon3.ai bei firmenbeauftragten Angriffsszenarien mit seiner eigenen KI-basierten Pentestplattform NodeZero festgestellt hat, gelingt es in der Regel binnen weniger Minuten, die Abwehrsysteme der Unternehmen zu überwinden. NodeZero wendet dabei auch Social-Engineering-Kompetenzen an, nutzt also mensch­liche Schwächen aus, wenn also beispielsweise ein Mitarbeiter den Namen seines Hundes in den sozialen Netzwerken verrät und diesen gleichzeitig als Passwort für das Firmennetzwerk verwendet.

70 neue Schwachstellen pro Tag

„Viele Unternehmen haben 20 bis 40 separate Sicherheitssysteme zur Abwehr von Cyberangriffen gleichzeitig laufen, wissen jedoch kaum, wie gut diese zusammen funktionieren“, sagt Richter. Er verweist auf Recherchen des BSI, wonach jeden Monat durchschnittlich mehr als 2.000 Vulnerabilities in Softwareprodukten zu verzeichnen seien, von denen das BSI 15 Prozent als „kritisch“ einstuft. Richter: „Angesichts von täglich knapp 70 neuen potenziellen Einfallstoren für Hacker ist im Grunde jeden Tag ein Stress- sprich Penetrationtest zu empfehlen, auf jeden Fall aber einmal pro Woche“.