Die Wirtschaft steht in Sachen Cybersicherheit unter Druck
Autonomes Penetration Testing deckt in kürzester Zeit Cyber-Schwachstellen in Unternehmen auf, die nach neuer Richtlinie vermieden werden müssen
Die Situation wird kritisch für Unternehmen – das neu in Kraft getretene Verordnungs-Paket der Europäischen Union (EU) verpflichtet Organisationen in vielen Branchen zu einem stringenten Schutz gegen Cyberangriffe. Die Richtlinie gilt dabei nicht nur für Betreiber kritischer Infrastrukturen, sondern für Organisationen aller Art und Größe. „Zahlreichen Unternehmen ist noch nicht klar, inwieweit NIS 2 das eigene Handeln tangiert. Fakt ist: Das Gesetz betrifft praktisch alle Firmen bis hinauf in die Management-Ebene. Versäumnisse in der Cybersicherheit müssen schnellstens erkannt und beseitigt werden“, warnt Rainer M. Richter, Vice President EMEA & APAC von Horizon3.ai. Das Unternehmen hat eine Lösung für die Wirtschaft, entwickelt von zahlreichen ehemaligen Mitgliedern der Cyber-Defense-Teams innerhalb von internationalen Streitkräften. NodeZero ermöglicht autonomes Pentesting – also den ständigen simulierten Angriff auf die eigene Infrastruktur ohne ein Risiko. „Unsere Methode des autonomen Penetration Testings ist im Unterschied zum automatischen Pentesting nicht einfach eine Abfolge von Tests. NodeZero untersucht mit einer KI-gestützten Abfolge von Tests die gesamte Infrastruktur und findet so alle ausnutzbaren Angriffsvektoren. Damit können Schwachstellen in kürzester Zeit identifiziert, behoben und auf korrekte Sicherheit neu überprüft werden ohne auf die üblicherweise notwendigen Cybersicherheitsspezialisten angewiesen zu sein“, so Richter weiter. Professionelle Pentester kommen hingegen kaum den eigenen Aufträgen nach – die Wartezeiten sind lang und werden durch NIS 2 noch länger.
Autonome Pentests bringen automatisierte Sicherheit
Die zentrale Anforderung der EU: IT-Sicherheit wird zum Teil der Unternehmenssteuerung und verlagert sich so von der IT-Abteilung in die Firmenleitung. Organisationen müssen ein Risikomanagement und Notfallpläne einführen. Auch ein System für die zügige Meldung von Vorfällen an die Aufsichtsbehörden wird künftig verpflichtend. Autonomes Pentesting, dass im laufenden Betrieb aller Systeme stattfinden kann, hilft auch dabei: NodeZero von Horizon3.ai bietet Pentesting-as-a-Service, autonom und anwenderfreundlich und somit gleichermaßen für den Einsatz in Unternehmen und die Nutzung durch professionelle Pentester geeignet. Professionelle Reports helfen beim Nachweis von Schwachstellen und deren Beseitigung. Mit geringem Aufwand kann die gesamte Infrastruktur ständig auf Sicherheitsprobleme untersucht werden, das Modell von Horizon3.ai arbeitet dabei nach drei Grundsätzen: Find, fix and verify. Potenzielle und durch Hacker ausnutzbare Sicherheitslücken werden gefunden, können gezielt beseitigt, und anschließend sofort auf die einwandfreie Funktion überprüft werden. Die kontinuierliche Überprüfung der Infrastruktur schützt zudem dauerhaft, während externe Pentester meist nur einmal im Jahr das Angriffsszenario ausspielen. „Mit unserer Lösung NodeZero ist die Funktion Pentesting nicht nur ein Feature, sondern ein permanentes Element der Cyber-Sicherheit und verifiziert auch, ob andere Sicherheitsmaßnahmen wie EDR oder SIEM auch wirklich funktionieren“, betont Rainer M. Richter von Horizon3.ai.
EU-Rundumschlag für die Gesamtwirtschaft
NodeZero nutzt dabei für Kunden in Europa eine eigene europäische Instanz, um die höchste Datensicherheit zu gewährleisten. „Das so erzielbare Sicherheitsniveau ist höher als alle bisherigen Maßnahmen. Das bezieht sich nicht nur auf die Erfüllung von NIS 2, sondern auch auf einen effizienteren Schutz vor Angreifern. Unsere Algorithmen werden regelmäßig erweitert aktualisiert und sind daher stets auf Augenhöhe mit den Hackern – egal, ob wirtschaftlich oder politisch motiviert“, erläutert Rainer M. Richter von Horizon3.ai weiter. Die Richtlinie NIS 2 schließt erstmals auch kleine Unternehmen mit mindestens 50 Mitarbeitern und zehn Millionen Euro Umsatz ein. Oft verfügen diese Betriebe nur über eingeschränkte Ressourcen in der IT-Abteilung – automatisierter Schutz tut also not. „NIS 2 geht alle an, vom Mittelstand bis zum Dax 40“, betonte Iris Plöger, verantwortlich für Digitalisierung beim Bundesverband der Deutschen Industrie (BDI) Ende letzten Jahres auf einer Tagung. Hinzu kommen empfindliche Strafen, die Organisationen drohen: Bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes bei Einrichtungen „mit hoher Kritikalität“. Andere Firmen werden mit bis zu sieben Millionen Euro oder 1,4 Prozent des Erlöses geahndet. „Jetzt kommt der Druck von beiden Seiten – nicht nur Angreifer bedrohen Firmen in ihrer Existenz, sondern auch Sicherheitslücken, die mit Geldstrafen versehen sind. Es ist dringender Handlungsbedarf gegeben!“, resümiert Rainer M. Richter von Horizon3.ai.
Wer oder was ist eigentlich Horizon3.ai?
Horizon3.ai hat es sich zur Aufgabe gemacht, potenzielle Angriffschancen für Angreifer zu finden und zu beheben, bevor diese ausgenutzt werden können. NodeZero ist eine Software-Lösung für autonome Penetration Tests und steht als SaaS-Angebot für Unternehmen und Institutionen zur Verfügung. So können professionelle Pentester ihr Angebot mit automatisierten Dienstleistungen erweitern, Unternehmen aber auch ohne spezielle Fachkenntnisse und spezialisierte IT-Abteilungen die Sicherheit und Integrität ihrer Infrastruktur prüfen. NodeZero arbeitet mit den Augen des Angreifers und identifiziert so alle Schwächen in der Sicherheitsarchitektur, während die IT-Teams ihre Ressourcen für die Behebung wichtiger Probleme sowie die zukunftssichere Entwicklung ihrer Netzwerke verwenden können. So können nicht nur gesetzliche Vorgaben eingehalten werden, sondern auch das höchstmögliche Sicherheitsniveau erzielt werden. Horizon3.ai wurde 2019 von ehemaligen Angehörigen verschiedener Streitkräfte gegründet und hat seinen Hauptsitz in San Francisco, Kalifornien.