NET 11/2024

www.net-im-web.de 11/24 31 Penetration Tests im Zuge von NIS2 Anbieter hat kurz vor der NIS2-Pflicht ab Herbst unter demNamen „NodeZero Cloud Pentesting“ eine eigene Lösung vorgestellt, die Unternehmen hilft, kom- plexe ausnutzbare Schwachstellen und versteckte Angriffspfade in ihren Cloud- Umgebungen zu identifizieren und zu beheben. EZB als Vorreiter in Europa In Europa wurde das Pentestingkonzept maßgeblich von der Europäischen Zen- tralbank (EZB) für den Finanzsektor vorangetrieben. So unterzieht die EZB in diesem Jahr über 100 Banken in der EU einem Penetrationstest, den sie als „Stresstest zur Cyberresilienz“ bezeichnet. Mit der angekündigten EU-Richtlinie NIS2, die in Kürze in Kraft treten soll, wird das Konzept der Penetrationstests als ultimative Überprüfung der Cyber- resilienz über den Finanzsektor hinaus auf zahlreiche weitere Branchen ausgeweitet, die man als Kritische Infrastrukturen (KRITIS) einstuft. Die betroffenen Bran- chen sind Energie,Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infra- struktur, IKT-Dienstleistungsmanage- ment, ÖffentlicheVerwaltung,Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion undVertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Produktion und Herstellung vonMedizinprodukten, Maschinen und Fahrzeugen sowie elek- trischen/elektronischen Geräten, digitale Anbieter und Forschung. NIS2 betrifft indes nicht nur die KRITIS-Unternehmen selbst, son- dern auch die Zulieferer, Kunden und sonstigenGeschäftspartner dieser Firmen. Dennis Weyel stellt fest: „Die Nachfrage nach Pentesting ist nicht nur in der EU dramatisch gestiegen, sondern auch in Nordamerika und Asien, weil viele dort ansässige Firmen imRahmen internatio- naler Lieferketten Unternehmen mit Sitz in der EU zu ihrem Kundenkreis zählen. Denn jeder Angriff bei einemGeschäfts- partner kann direkt auf alle verbundenen Unternehmen übergreifen.“ Lackmustest für Cyberresilienz Laut Horizon3.ai werden bei einem Pe- netrationstest mit NodeZero alle ver- bundenen Geräte, Maschinen und Sys- teme aufgelistet und anschließend auf Sicherheitslücken überprüft. „Veraltete Software in Gerätschaften außerhalb des Kernnetzes zählt zu den häufigsten Einfallstoren für Cyberkriminelle“, sagt Dennis Weyel. Als Beispiele nennt er Kassensysteme, Überwachungskameras, Drucker, CNC-Maschinen, Fertigungs- roboter und dieGebäudeautomatisierung. Gemäß dem Grundsatz „Jede Kette ist nur so sicher wie ihr schwächstes Glied“ nimmt NodeZero imRahmen eines Pen- tests alle diese Komponenten unter die Lupe, um eine lückenlose Sicherheitskette zu gewährleisten bzw. auf Schwachstellen hinzuweisen, die so rasch wie möglich etwa durch ein Software-Update beseitigt werden sollten. Indes deckt ein Pentest über NodeZero laut Angaben des Plattform- betreibers nicht nur technische Schwach- stellen auf, sondern auch menschliche Schwächen, die die Sicherheit des Fir- mennetzes gefährden. Horizon3.ai setzt dazu nach eigener Darstellung auf Social Engineering, prüft also beispielsweise, ob sich sicherheitsrelevante Passworte aus den Social Media-Aktivitäten der Beschäftigen ableiten lassen. „Wenn ein Mitarbeiter den Namen seines Haustie- res, über das er regelmäßig postet, mit seinem eigenen Geburtsdatum zu einem Passwort kombiniert, dann ist es um die Sicherheit des Firmennetzes nicht gut bestellt“, gibt Dennis Weyel ein Beispiel, und sagt: „NodeZero findet bei einem simulierten Angriff solche menschlichen Sicherheitsrisiken, die beim bloßen Ein- satz von Verteidigungssoftware niemals auffallen würden.“ Der International Technical Director mit Zuständigkeit für Europa bei Horizon3.ai erklärt den Unterschied Regelmäßige Penetrationstests sind angesichts von mehr als 2.000 neu aufgedeckten Softwareschwachstellen monatlich, von denen durchschnittlich etwa 15 Prozent als kritisch einzustufen sind, wichtig (Grafik: BSI) Veraltete Software in Ge- rätschaften außerhalb des Kernnetzes zählt zu den häufigsten Einfallstoren