NET 11/2024

32 www.net-im-web.de 11/24 Penetration Tests im Zuge von NIS2 zwischen Angriff und Verteidigung in diesem Zusammenhang: „In den meis- ten Unternehmen laufen Dutzende von Programmen, um Cyberattacken abzu- wehren, und das ist auch gut so. Aber genauso notwendig ist es, mit Pentests regelmäßig zu überprüfen, wie gut die- se Abwehrsoftware unterschiedlichen Angriffsszenarien tatsächlich standhält. Dieser Lackmustest für die Cyberresilienz wird von NIS2 zwingend eingefordert.“ Bei Phishing, einer der häufigsten An- griffsformen mittels Social Engineering, bei der ein Beschäftigter zum Klick auf einen schädlichen Link verleitet wird, hilft NodeZero bei der Folgeneindämmung, indem die Berechtigungen, die ein ein- zelner Mitarbeiter im Firmennetzwerk besitzt, auf das für seine Tätigkeit not- wendige Maß beschränkt werden. Wird ein einzelner Account gehackt, können die Angreifer also noch längst nicht auf das gesamte Netzwerk zugreifen. DennisWeyel schlägt denBogen zur Politik: „Die EU-Bürokratie mag an vielen Stellen als aufgebläht erscheinen, doch mit NIS2 hat die EU ein Sicher- heitsniveau festgelegt, das ohne jeden Zweifel dringend notwendig ist, denn dadurch werden Angriffsszenarien zum ultimativen Prüfstein der Cyberresilienz. In diesem Fall ist die Politik tatsächlich einmal der Wirtschaft voraus, denn der aktuelle Ansturm auf NodeZero ist nur mit einem dringenden Nachholbedarf bei vielen Unternehmen zu erklären.“ Firmen, die zur KRITIS-Kern- gruppe gehören, also beispielsweise Kran- kenhäuser oder Energieversorger, räumt Horizon3.ai Priorität bei NodeZero ein. „Für die Betreiber kritischer Infrastruktu- ren habenwir eine Fast Lane eingerichtet“, sagt Dennis Weyel. Er begründet die Priorisierung anhand von zwei Beispielen: „Bei einem KRITIS-Cyberangriff etwa auf ein Krankenhaus kann es um Leben undTod gehen. Bei einem großflächigen Stromausfall sind potenziellTausende von Haushalten betroffen“. Einmal im Monat zum Pentest Horizon3.ai hat sich eigenen Angaben zufolge auf eine weitere Ausweitung der NodeZero-Kapazitäten vorbereitet. Über- kapazitäten befürchtet der Plattformbe- treiber nicht, weil NIS2 regelmäßige Pe- netrationstests anraten lässt. „EinTest pro Monat ist angesichts von mehr als 2.000 neu aufgedeckten Softwareschwachstellen monatlich, von denen durchschnittlich etwa 15 Prozent als kritisch einzustufen sind, sicherlich nicht übertrieben“, gibt Dennis Weyel eine Maßzahl für NIS2- Compliance vor. Seine persönliche Emp- fehlung: ein Testlauf pro Woche. Er ver- weist auf Statistiken, nach denen täglich mehr als 60 neue potenzielle Einfallstore für Cyberkriminelle entdeckt werden. Da NodeZero alle Sicherheits- überprüfungen autonom aus der Cloud durchführt, ist der personelle und finan- zielle Aufwand aufsseiten der zu prüfenden Unternehmen gering, gibt er zu bedenken. „Jede mittelständische Firma kann und sollte ihre Cyberresilienz mindestens so regelmäßig einem Penetrationstest unter- ziehen wie sie die Monatsmiete für die Büroräumlichkeiten begleicht“, emp- fiehlt Dennis Weyel, „denn die Folgen einer Vernachlässigung können ähnlich gravierend sein: Ohne Miete verliert die Firma ihre Bleibe als Grundlage für einen funktionierenden Geschäftsbetrieb, bei einem Cyberangriff steht ihre techni- sche und organisatorische Funktionalität inklusive aller Betriebsabläufe, Daten- bestände und Geschäftsgeheimnisse im Feuer. Hinzu kommt die persönliche Verantwortung bis hinauf zum Vorstand oder zur Geschäftsleitung nicht nur bei den staatlichen Stellen in Sachen NIS2- Compliance, sondern auchAnteilseignern, Geschäftspartnern und etwa bei einem Datendiebstahl Kunden gegenüber.“ www.horizon3.ai Überblick über relevante Advanced Persistent Threat (APT)-Gruppen in Deutschland, die eine Bedrohung für Unternehmen und Institutionen darstellen. Die Gruppen sind in der Regel vor allem gegen Ziele in den angegebenen Sektoren aktiv (Grafik: BSI) Dennis Weyel NodeZero fndet bei einem simulierten Angriff er- zeugte menschliche, etwa durch leichte Passworte, Sicherheitsrisiken, die beim bloßen Einsatz von Ver- teidigungssoftware niemals auffallen würden