Thought Leadership
„Das entschlossene Vorgehen der Bundesregierung gegen Internetkriminalität ist sehr zu begrüßen“, erklärt der Cybersecurity-Experte Dennis Weyel zum geplanten Inkrafttreten der NIS2-Richtlinie (Network & Information Security) am 17. Oktober.
Das Bundeskabinett hatte den NIS2-Gesetzesentwurf mit umfassenden Vorgaben zur Cybersicherheit und Meldepflicht bei Vorfällen am 24. Juli beschlossen.
„Ein Großteil der betroffenen Unternehmen ist auf die neuen Vorschriften allerdings kaum vorbereitet“, stellt Dennis Weyel, International Technical Director mit Zuständigkeit für Europa beim Sicherheitsunternehmen Horizon3.ai, fest. Das Unternehmen, das eine Plattform für sogenannte Penetrationstests („Pentests“), also Selbstangriffe auf die eigene IT-Infrastruktur, um die Cyberresilienz zu prüfen, betreibt, erfährt eine „für die Sommerzeit absolut ungewöhnlich hohe Nachfrage“, sagt Dennis Weyel. Er erklärt: „Den Firmen wird offenbar zusehends klar, dass sie ihre Computernetze bis Mitte Oktober bewerten und auf den aktuellen Sicherheitsstand bringen müssen.“
Kapazität auf Pentesting-Plattform NodeZero deutlich erweitert
Ein Penetrationstest zur Prüfung, wie gut das eigene Netzwerk gegen Cyberattacken geschützt ist, stellt den ersten Schritt dar, um den NIS2-Anforderungen zu genügen.“ Horizon3.ai hat eigenen Angaben zufolge auf seiner Pentesting-Plattform NodeZero bereits die Kapazitäten für die EU-Staaten deutlich erhöht, um der stark gestiegenen Nachfrage Rechnung zu tragen.
„Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen“, hat Bundesinnenministerin Nancy Faeser anlässlich der NIS2-Verabschiedung im Kabinett formuliert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt, dass rund 29.500 Unternehmen, die „Kritische Infrastrukturen“ (KRITIS) betreiben, unmittelbar von NIS2 betroffen sind. Andere Experten gehen von bis zu 40.000 Firmen aus.
Firmen ab 50 Beschäftigte sollten BSI-Test machen
„Zum Kreis der Betroffenen gehören nicht etwa nur die KRITIS-Betreiber, sondern auch die Zulieferer und alle anderen Geschäftspartner“, stellt Dennis Weyel klar. Er rät „praktisch jedem Unternehmen ab 50 Beschäftigten zum Betroffenheitstest, den das BSI über eine Webseite kostenfrei anbietet.
Das Bundesamt für Sicherheit in der Informationstechnik spricht von einer „erheblichen Zunahme der Zahl von Unternehmen und Einrichtungen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben.“ „Ein solcher Nachweis ist in der Praxis nur mit einem Penetrationstest zu erbringen, denn nur dadurch lässt sich verbindlich belegen, dass die IT-Infrastruktur einem umfassenden Angriffsversuch tatsächlich standhält“, meint Dennis Weyel. Er gibt allerdings zu bedenken: „Angesichts von geschätzt etwa 4.000 Cyberangriffen am Tag allein in Deutschland ist die Frage nicht, ob eine Firma einen IT-Penetrationstest durchgeführt hat, sondern wie aktuell dieser ist.“
BSI-Statistiken gehen von rund 70 neu aufgedeckten Software-Schwachstellen pro Tag (!) aus. Laut dem „Cyber Security Report DACH 2024“ von Horizon3.ai, dem eine Stichprobe von 300 Firmen in Deutschland, Österreich und der Schweiz zugrunde liegt, überprüfen lediglich 40 Prozent aller Unternehmen regelmäßig, ob ihre IT-Infrastruktur Infiltrationsversuchen von außen standhält. Knapp die Hälfte davon führt einen solchen Test aber nur einmal jährlich oder sogar nur alle paar Jahre durch.
„Viele Unternehmen haben Dutzende von Abwehrsystemen gegen Angriffe aller Art im Einsatz und glauben sich dadurch ausreichend geschützt“, weiß Dennis Weyel aus zahlreichen Gesprächen. „Doch das ist ein fataler Irrtum, weil niemand vorhersagen kann, ob ein Schutzwall wirklich standhält, solange man ihn nicht einem ernsthaften Angriff aussetzt.“ Er verweist darauf, dass die Europäische Zentralbank (EZB) schon seit Jahren Penetrationstests – die von der EZB als Stresstest bezeichnet werden – zur Überprüfung der IT-Sicherheit europäischer Banken durchführt. „Dieses bei Finanzinstituten vorgegebene Sicherheitsniveau fordert der Gesetzgeber ab 17. Oktober für zahlreiche weitere Sektoren“, erklärt Dennis Weyel die Zusammenhänge. Die ab Herbst betroffenen Branchen sind Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Produktion und Herstellung von Medizinprodukten, Maschinen und Fahrzeugen sowie elektrischen/elektronischen Geräten, digitale Anbieter und Forschung.
Resilienz gegenüber Social Engineering
Wie Horizon3.ai mitteilt, überprüft die autonome Pentest-Plattform NodeZero nicht nur die technische Sicherheit der zur Überprüfung eingereichten IT-Infrastruktur, sondern analysiert darüber hinaus auch die Resilienz gegenüber Social Engineering. So werden beispielsweise soziale Netzwerke wie Facebook, LinkedIn, TikTok oder X von Angreifern durchkämmt, um an Informationen wie das Geburtsdatum eines Mitarbeiters oder den Namen seines Haustiers zu gelangen, die ihnen helfen könnten, Benutzernamen und Passwörter zu erraten, um Zugang zu Unternehmensnetzwerken zu erhalten.
Zudem wird das sogenannte Berechtigungskonzept im Firmennetzwerk detailliert überprüft, um beispielsweise besser gegen Phishing-Attacken gewappnet zu sein. Dahinter steckt die Frage: Wenn der Account eines Beschäftigten gehackt wird, weil dieser zum Beispiel auf eine Fake-Mail hereinfällt, wie tief gelangen die Angreifer in das Netz, weil mit diesem einen Account sehr weitgehende Berechtigungen innerhalb der Firma verbunden sind. „Wir stellen immer wieder fest, dass beim Gros der Unternehmen über die meisten Accounts viel mehr Zugänge zu anderen Teilen des Firmennetzes möglich sind als für die betrieblichen Aufgaben des jeweiligen Account-Besitzers überhaupt nötig wären“, sagt Dennis Weyel. Er stellt klar: „NodeZero findet diese Überberechtigungen und gibt konkrete Hinweise, wo und wie sie abgestellt werden sollten.“
Die Unternehmen, die sich an den NIS2-Regularien messen lassen müssen, unterliegen künftig einer „Pflicht zum Nachweis der IT-Sicherheit“. „Dieser Nachweis ist im Grunde nur mit einem Penetrationstest zu erbringen“, ist Dennis Weyel überzeugt. Horizon3.ai wird daher seine Kapazitäten für EU-Unternehmen auf der Pentesting-Plattform NodeZero weiter kräftig ausbauen, kündigte der Spezialist für Cybersicherheit an.
Dennis Weyel, International Technical Director mit Zuständigkeit für Europa bei Horizon3.ai
