Beim Stresstest, im Fachjargon „Penetration Test“ oder kurz „Pentest“ genannt, werden sogenannte White Hat Hacker im Unternehmensauftrag darauf angesetzt, das firmeneigene Computernetzwerk zu knacken, um dadurch Schwachstellen aufzudecken. Rainer M. Richter betont: „Inzwischen benötigt man keine White Hat Hacker mehr, weil es autonome Stresstestplattformen gibt, die aus der Cloud heraus für überschaubares Geld fix und fertig verfügbar sind.“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt in seinem Lagebericht 2023: „Die Bedrohung durch Cybercrime ist so hoch wie nie zuvor.“ Die Statistik des Bundeskriminalamtes (BKA) weist für 2023 knapp 135.000 offiziell gemeldete Fälle von Cyberkriminalität aus – und geht dabei von einem vermuteten Dunkelfeld von 90 Prozent aus. Das entspräche 1,5 Millionen Angriffen im Jahr, also mehr als 4.000 am Tag.
Steigende Anforderungen an Cyberresilienz
Richter verweist auf die steigenden Anforderungen an die Wirtschaft in Sachen Cyberresilienz durch eine sich stetig verschärfende EU-Gesetzgebung. Neben spezifischen Sicherheitsauflagen für das Finanzwesen sind zahlreiche weitere Wirtschaftszweige betroffen, die als „Kritische Infrastrukturen“ (KRITIS) eingestuft werden, betont der Sicherheitsfachmann. Er nennt beispielhaft die neue NIS2-Richtlinie (Network and Information Security); das deutsche Gesetz zur Umsetzung der EU-Vorgaben (NIS2UmsuCG) soll im Oktober 2024 in Kraft treten und mindestens 30.000 Unternehmen in Deutschland betreffen. Die Cyberrisiken bestehen nicht etwa nur im eigenen Betrieb, sondern ebenso bei Zulieferern und Vertriebspartnern, stellt Richter klar. Er gibt zu bedenken: „Jeder Angriff bei einem Geschäftspartner kann direkt auf alle verbundenen Unternehmen übergreifen. Daher umfasst NIS2 die gesamte Lieferkette.“
Doch auch für Firmen, die nicht unter KRITIS fallen, können Sicherheitslücken fatal sein, betont Richter. Er erklärt: „Fällt ein Unternehmen gleich welcher Branche und Firmengröße einem Cyberangriff zum Opfer, führt das in der Regel nicht nur zu einem beträchtlichen Schaden, sondern löst auch die Frage nach der Verantwortung der Firmenleitung aus. Vorstände und Geschäftsführer, die das Thema Cybersicherheit vernachlässigen, stehen daher mit einem Bein, wenn nicht mit beiden Beinen vor dem Kadi.“
Pentests „für jeden Mittelständler erschwinglich"
Der Sicherheitsfachmann betont, dass autonome Pentests aus der Cloud „für jeden Mittelständler erschwinglich“ seien. „Die Kosten skalieren mit der Anzahl der Arbeitsplätze und dem Umfang des Computernetzwerks“, sagt Richter. Die Bedienung ist nach seinen Angaben so einfach, dass das ursprünglich vor allem für die Konzernwelt entwickelte Pentest-Verfahren heutzutage auch im Mittelstand leicht verwendbar sei, ohne externe Hacker beauftragen zu müssen.
Die Pentest-Kosten sind zudem ins Verhältnis zu möglichen Schäden aus Cyberangriffen zu setzen, betont der Sicherheitsexperte. Der IT-Branchenverband Bitkom beziffert den jährlichen Gesamtschaden für die deutsche Wirtschaft auf über 223 Milliarden Euro. Richter verdeutlicht die Dramatik: „Cyberkriminalität kostet die Unternehmen in Deutschland in einem Jahr etwa dreimal so viel, wie sie dem Staat an Umsatzsteuer zahlen.“
Alle angeschlossenen Geräte und Maschinen überprüfen
Neben dem niedrigen Kostenniveau und der leichten Einsetzbarkeit stuft er als einen weiteren Vorteil einer Cloud-basierten Pentestplattform ein, dass diese über die Computer hinaus auch die angeschlossenen Maschinen und Geräte in die Prüfung einbezieht. „Wenn Hacker die Kontrolle über die Sicherheitskameras auf dem Werksgelände übernehmen, gefährdet das die Sicherheit der ganzen Firma“, gibt der Europa- und Asienchef von Horizon3.ai ein konkretes Beispiel, wie der Ruf nach mehr Cyberresilienz weit über die Computersysteme der Unternehmen hinausreicht.
Hinzu kommt: Die Zeitspanne zwischen dem Aufdecken einer Sicherheitslücke und der Ausnutzung durch Kriminelle verkürzt sich zusehends. Daher bleibt den Unternehmen immer weniger Zeit, zu prüfen, ob ihre eigenen Computernetzwerke gefährdet sind. „Angesichts der Komplexität heutiger IT-Landschaften ist es für die Firmen im Grunde unmöglich, bei jeder neu aufkommenden Schwachstelle rechtzeitig festzustellen, ob sie potenziell betroffen sind, ganz abgesehen von den damit verbundenen enormen Kosten“, analysiert Richter.
Home Office und KI als Treiber von Angriffsszenarien
Die Unternehmen sind über alle Firmengrößen hindurch zu sorglos, mahnt Richter. Die meisten IT-Abteilungen hätten längst den Überblick über alle potenziellen Schwachstellen in ihren Computernetzwerken verloren, sagt der Sicherheitsfachmann. Das sei auch verständlich, „denn die Computer- und Netzwerkkonstellationen werden immer komplexer und die Angriffe immer raffinierter und schneller.“ Richter hat vor allem zwei Treiber für die rasch wachsende Cyberkriminalität ausgemacht: Der Trend zum Home Office bindet immer mehr zweifelhaft abgesicherte PCs in die Firmenstruktur ein und der Einsatz von Künstlicher Intelligenz (KI) macht Cyberangriffe „schneller und gefährlicher als je zuvor.“
Wie Horizon3.ai bei firmenbeauftragten Angriffsszenarien mit seiner eigenen KI-basierten Pentestplattform NodeZero festgestellt hat, gelingt es in der Regel binnen weniger Minuten, die Abwehrsysteme der Unternehmen zu überwinden. NodeZero wendet dabei laut Angaben auch Social-Engineering-Kompetenzen an, nutzt also menschliche Schwächen aus, wenn also beispielsweise ein Mitarbeiter den Namen seines Hundes in den sozialen Netzwerken verrät und diesen gleichzeitig als Passwort für das Firmennetzwerk verwendet. „Es genügt in der Regel eine einzige Schwachstelle, um Angreifern Zugang zur digitalen Infrastruktur eines Unternehmens zu ermöglichen“, gibt der Europa- und Asienchef von Horizon3.ai zu bedenken.
70 neue Schwachstellen pro Tag
Der größte Teil der Wirtschaft sei sich der Bedrohungslage durchaus bewusst, ist Richter sicher, setze aber auf die falschen Abwehrmaßnahmen. „Viele Unternehmen haben 20 bis 40 separate Sicherheitssysteme zur Abwehr von Cyberangriffen gleichzeitig laufen, wissen jedoch kaum, wie gut diese zusammen funktionieren“, sagt Richter. Er verweist auf Recherchen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), wonach jeden Monat durchschnittlich mehr als 2.000 sogenannte Vulnerabilities („Verletzlichkeiten“) in Softwareprodukten zu verzeichnen seien, von denen das Amt 15 Prozent als „kritisch“ einstuft. „Angesichts von täglich knapp 70 neuen potenziellen Einfallstoren für Hacker ist im Grunde jeden Tag ein Stress- sprich Penetrationtest zu empfehlen, auf jeden Fall aber einmal pro Woche“, rät der Fachmann.
Viele Unternehmen verließen sich auf Vulnerability Scanner, um Schwachstellen aufzudecken, doch das damit verbundene Sicherheitsgefühl sei trügerisch, meint Richter. Die Scanner fänden zwar viele Lücken und schätzten auch das damit verbundene Risiko ein – aber nicht für das jeweilige Unternehmen. „Keine IT-Abteilung ist angesichts der Flut an bekanntwerdenden Sicherheitslücken in der Lage, alle zu stopfen“, sagt Richter. Vielmehr komme es darauf an, sich auf diejenigen zu konzentrieren, von denen man selbst betroffen ist. „Diese Fokussierung ist nur mit systematischen simulierten Angriffen auf die eigene Firma möglich, weil nur dabei die jeweils tatsächlich relevanten Schwachstellen zutage treten“, betont Richter.
Der Sicherheitsexperte zitiert aus dem BSI-Lagebericht zur IT-Sicherheit in Deutschland, in dem es heißt: „Bei Cyberangriffen mit Ransomware beobachtet das BSI eine Verlagerung der Attacken: Nicht mehr nur große, zahlungskräftige Unternehmen stehen im Mittelpunkt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen. Insbesondere von erfolgreichen Cyberangriffen auf Kommunalverwaltungen und kommunale Betriebe sind die Bürgerinnen und Bürger unseres Landes oft auch unmittelbar betroffen: So kann es dazu kommen, dass bürgernahe Dienstleistungen eine Zeit lang nicht zur Verfügung stehen oder persönliche Daten in die Hände Krimineller gelangen
