Schlagwortarchiv für: Bedrohungserkennung

Markus Feilner

Dwell Time: Angreifer schlagen schneller zu und tarnen sich immer besser

Sicherheitsexperten beobachten eine Besorgnis erregende Entwicklung: Die Time to Exploit (TTE), also die Zeit zwischen dem Bekanntwerden einer Sicherheitslücke und ihrem Ausnutzen durch böswillige Akteure, sinkt in der letzten Zeit massiv.

Gleichzeitig zeigen Angreifer immer größere Kompetenz beim Verbergen ihrer Anwesenheit in einem erfolgreich gehackten Netzwerk. Die Zeit, um sich einzunisten und sodann unbefugt auf Unternehmensressourcen zuzugreifen, bevor sie entdeckt (und entfernt) werden, nennen Experten „Dwell time“, also Verweildauer. Je kürzer diese ist, umso besser für die Angegriffenen. Auch der begabteste Hacker braucht Zeit und kann umso mehr (dauerhaften) Schaden anrichten, je länger er unbemerkt und unbeobachtet bleibt.

Der Feind hört mit – und ist vielleicht schon da

Erschreckenderweise erreicht die Dwell Time immer häufiger Monate oder gar Jahre, so wie bereits bei Sony oder im US-Office for Personal Management. Dort konnten Angreifer mehr als zwölf Monate ungestört agieren. Bei dem japanischen Technologiekonzern flossen in der Folge sogar über 10 Terabyte an Daten ab.

Die Angst vor verborgenen Eindringlingen ist groß, schließlich kann niemand mit Sicherheit sagen, ob sich nicht bereits ein bösartiger Zuhörer im eigenen Netzwerk befindet. Das kommt vor. Schon beim Bundestagshack 2015 zum Beispiel informierte nicht das eigene Monitoring, sondern ein „befreundeter“ Geheimdienst die deutschen Behörden über seltsame Aktivitäten Dritter (russische APT-Hackergruppen) im Bundestagsnetz. Wie lange und wie viele Akteure zu dem Zeitpunkt sich bereits im Netzwerk getummelt hatten, blieb offen. Klar war nur: Es waren mehr als einer, und die befreundeten Geheimdienste hatten schon länger zugeschaut.

Erkennung, Prävention und Reaktion immer kritischer

Umso wichtiger ist es, dafür Sorge zu tragen, dass die Angreifer erst gar nicht ins System gelangen. Das aber wird immer schwieriger: Wie unter anderen die Experten von Googles Mandiant berichten, ist in den letzten fünf Jahren die Reaktionszeit, die Unternehmen und Softwarebetreibern zwischen dem Bekanntwerden einer Schwachstelle und dem Exploit bleibt, in den letzten Jahren rapide gefallen: von 63 Tagen 2018 auf gut einen Monat.

Immer weniger Zeit zum Reagieren

2023 blieben Administratoren schon nur mehr fünf Tage im Durchschnitt, um Schwachstellen zu bemerken und zu schließen. Heute sind es bereits weniger als drei Tage.

Damit nicht genug. Früher wurden Sicherheitslücken häufiger erst ausgenutzt, nachdem Patches verfügbar waren, also nachdem sich erfahrene Administratoren bereits abgesichert und die aktuellen Patches eingespielt hatten. Eigentlich sollten diese so genannten „N-day Vulnerabilities“ also gar kein Problem sein, gibt es doch Fixes dafür.

Verbesserte Disziplin mit Nebenwirkungen: Angreifer lernen

Leider war in der Vergangenheit die Disziplin (und die Aufmerksamkeit) in vielen Unternehmen nicht so ausgeprägt, man vernachlässigte das Thema und sorgte so unfreiwillig auch für weitere Verbreitung von automatisierten Angriffsmethoden, etwa mithilfe von Würmern und Viren. Gerade hier gibt es auch gute Nachrichten: 2022 machten die Attacken über die N-Day-Schwachstellen noch 38 % aller Angriffe aus, 2023 nur noch 30 %.

Auf den ersten Blick klingt das gut, weil Administratoren bekannte Schwachstellen, für die es Patches gibt, schneller und besser finden und fixen. Nach Jahren mit eher schlecht ausgeprägter Disziplin und mangelnder Update- und Patch-Strategie haben sicher auch die großen und erfolgreichen Ransomware-Vorfälle dazu beigetragen, einer Mehrheit von Verantwortlichen die Tragweite und Bedeutung von ordentlichem Schwachstellenmanagement zu vermitteln.

Zwei Drittel sind mittlerweile Zero-Days

Aber die Zahlen haben auch eine Kehrseite: Mehr als zwei Drittel aller Angriffe basieren mittlerweile auf „Zero-Day“-Schwachstellen, also Sicherheitslücken, für die es noch keinen Patch gibt – 2023 waren das sogar schon 70 %. Die kriminellen Gruppen und Angreifer haben reagiert, gelernt und ihre Machenschaften professionalisiert, automatisiert und gewaltig beschleunigt.

Ohne Automatisierung und Standardisierung von Prozessen, ohne moderne, gepflegte und kontrollierte Open-Source-Software können Admins der Entwicklung kaum mehr Paroli gebieten. Wer kann schon behaupten, er sei in der Lage, binnen drei Tagen auf eine neue Bedrohung zu reagieren?

Machtlos? Nicht mit Greenbone

Wenn Angreifer schneller auf neue, bis dato unbekannte Schwachstellen reagieren können und sich dann auch noch besser zu verstecken gelernt haben, kann es nur eine Antwort geben: den Einsatz eines professionellen Schwachstellenmanagements. Mit Lösungen von Greenbone lässt sich das Netzwerk automatisiert testen. Mit Berichten über den Erfolg von Maßnahmen erhalten Administratoren damit einen schnellen Überblick über den aktuellen Sicherheitsstatus Ihres Unternehmens.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Oktober 2024 Threat Report: Ransomware auf dem Vormarsch – Zeit zu reagieren

Der Oktober war der europäische Aktionsmonat für Cybersecurity (ECSM) und der internationale Monat für  „Cybersecurity Awareness“, unter dem Motto „Secure Our World“. Die Einführung von Best Practices für die Online-Sicherheit von Privatpersonen, Unternehmen und kritische Infrastrukturen ist dieses Jahr von entscheidender Bedeutung. Wir freuen uns, zusätzlich zu unserem Angebot für Schwachstellenmanagement in Unternehmen weitere IT-Sicherheitstools über unsere Community Edition, das Community Portal und das lebhafte Community Forum zugänglich zu machen, wo wir Entwicklungen und Funktionen diskutieren und uns gegenseitig unterstützen.

Unsere Kernbotschaft an die Entscheidungsträger für Cybersicherheit: Patchen oder nicht patchen, ist nicht die Frage. Es geht darum, wie man Schwachstellen und Fehlkonfigurationen erkennt, bevor ein Angreifer sie ausnutzen kann. Proaktives Handeln ist gefragt. Sobald Schwachstellen identifiziert sind, müssen sie priorisiert und behoben werden. Warnungen vor einer aktiven Ausnutzung von Sicherheitslücken können zwar helfen, die Prioritäten richtig zu setzen, aber wenn es um wichtige Systeme geht, müssen auch Handlungen folgen. Mit Hilfe von Leistungsindikatoren können Sicherheitsteams und Entscheidungsträger den Fortschritt quantitativ verfolgen und Bereiche mit Verbesserungsbedarf aufzeigen.

Im Threat Tracking-Blogbeitrag dieses Monats geben wir einen Überblick über die diesjährige Ransomware-Landschaft, einschließlich der Ursachen von Ransomware-Angriffen, und stellen einige der wichtigsten Cyber-Bedrohungen vom Oktober 2024 vor.

Internationale Bemühungen zur Bekämpfung von Ransomware

Die internationale „Initiative zur Bekämpfung von Ransomware“ (Counter Ransomware Initiative; CRI), die sich aus 68 Ländern und Organisationen – ohne Russland und China – zusammensetzt, traf sich in Washington, D.C., um die Widerstandsfähigkeit gegen Ransomware weltweit zu bündeln. Die CRI zielt darauf ab, die weltweiten Ransomware-Zahlungen zu reduzieren, den Rahmen für die Meldung von Vorfällen zu verbessern, Partnerschaften mit der Cyber-Versicherungsbranche zu stärken, um die Auswirkungen von Ransomware-Vorfällen zu verringern, und die Widerstandsfähigkeit durch die Festlegung von Standards und bewährten Verfahren zur Verhinderung von und Wiederherstellung nach Ransomware-Angriffen zu verbessern.

Der Digital Defense Report 2024 von Microsoft hat ermittelt, dass die Zahl der Angriffe im Jahr 2024 zwar gestiegen ist, aber weniger davon die Verschlüsselungsphase erreichen. Das Ergebnis ist, dass insgesamt weniger Opfer Lösegeld zahlen. Die Untersuchungen von Coveware, Kaseya und dem Blockchain-Überwachungsunternehmen Chainanalysis bestätigen ebenfalls niedrigere Auszahlungsraten. Dennoch verzeichnen Ransomware-Banden Rekordgewinne: In der ersten Hälfte des Jahres 2024 wurden mehr als 459 Millionen US-Dollar erpresst. In diesem Jahr wurde mit einer Auszahlung in Höhe von 75 Mio. USD ein neuer Höchststand erreicht, wobei ein Trend zur „Großwildjagd“ zu beobachten ist, die eher auf große als auf kleine und mittlere Unternehmen (KMU) abzielt.

Hauptursache für Ransomware

Wie kommen erfolgreiche Ransomware-Angriffe überhaupt zustande? Hier helfen Ursachenanalysen: Laut einer weltweiten Statista-Umfrage sind ausgenutzte Software-Schwachstellen die Hauptursache für erfolgreiche Ransomware-Angriffe, die in 32 % der erfolgreichen Angriffe eine Rolle spielen. In derselben Umfrage wurde die Kompromittierung von Zugangsdaten als zweithäufigste Ursache genannt, während bösartige E-Mails (Malspam und Phishing-Angriffe) an dritter Stelle stehen. Security-Experten von Symantec stellen fest, dass die Ausnutzung bekannter Schwachstellen in öffentlich zugänglichen Anwendungen zum primären Einstiegsvektor bei Ransomware-Angriffen geworden ist. Auch KnowBe4, ein Anbieter von Sicherheitsinformationen, stuft Social Engineering und ungepatchte Software als Hauptursachen für Ransomware ein.

Diese Ergebnisse bringen uns zurück zu unserer anfänglichen Botschaft und unterstreichen die Bedeutung der branchenführenden Kernkompetenz von Greenbone: die Unterstützung von Verteidigern bei der Identifizierung von Schwachstellen, die in ihrer IT-Infrastruktur lauern, damit sie ausnutzbare Sicherheitslücken beheben und schließen können.

FortiJump: Eine aktiv ausgenutzte Sicherheitslücke in FortiManager

Ende Oktober 2024 warnte Fortinet Kunden vor einer RCE-Schwachstelle kritischen Ausmaßes in FortiManager, dem Flaggschiff-Produkt für das Management von Netzwerksicherheit. Die als „FortiJump“ bezeichnete und als CVE-2024-47575 (CVSS 9.8) geführte Schwachstelle wird als „Fehlende Authentifizierung für kritische Funktion“ [CWE-306] im fgfm-Daemon von FortiManager eingestuft. Googles Mandiant hat rückwirkend Protokolle durchsucht und bestätigt, dass diese Schwachstelle seit Juni 2024 aktiv ausgenutzt wird, und beschreibt die Situation als ein Szenario massenhafter Ausnutzung.

Eine weitere aktiv ausgenutzte Schwachstelle in Fortinet-Produkten, CVE-2024-23113 (CVSS 9.8), wurde im Oktober ebenfalls in den KEV-Katalog der CISA aufgenommen. Diesmal ist der Übeltäter ein extern gesteuerter Format-String in FortiOS, der es einem Angreifer ermöglichen könnte, über speziell gestaltete Pakete nicht autorisierte Befehle auszuführen.

Greenbone kann Geräte erkennen, die für FortiJump anfällig sind, FortiOS-Geräte, die für CVE-2024-23113 [1][2][3] anfällig sind, sowie über 600 weitere Schwachstellen in Fortinet-Produkten.

Iranische Cyber-Akteure im Dienst von Ransomware-Bedrohungen

Das FBI, die CISA, die NSA und andere US-amerikanische und internationale Sicherheitsbehörden haben eine gemeinsame Warnung vor einer vom Iran unterstützten Kampagne herausgegeben, die sich gegen kritische Infrastruktur-Netze richtet, insbesondere in den Bereichen Gesundheitswesen, Regierung, IT, Technik und Energie. Assoziierte Bedrohungsgruppen werden mit Ransomware-Angriffen in Verbindung gebracht, die sich in erster Linie über öffentlich zugängliche Dienste [T1190] wie VPNs Zugang verschaffen. Zu den weiteren Techniken, die in der Kampagne eingesetzt werden, gehören Brute-Force-Angriffe [T1110], Passwort-Spraying [T1110.003] und MFA Fatigue Attacken.

Die Kampagne steht im Zusammenhang mit der Ausnutzung der folgenden CVEs:

  • CVE-2024-24919 (CVSS 8.6), eine Offenlegung von Informationen in Check Point Security Gateway VPNs
  • CVE-2024-21887 (CVSS 9.1), ein Fehler bei der Befehlseingabe in Ivanti Connect Secure und Ivanti Policy Secure
  • CVE-2024-3400 (CVSS 10), ein Fehler bei der Befehlseingabe in Palo Alto Networks PAN-OS
  • CVE-2022-1388 (CVSS 9.8), eine Schwachstelle, die die Umgehung der Authentifizierung in F5 BIG-IP ermöglicht, und CVE-2020-5902 (CVSS 9.8), eine Sicherheitslücke zur Remote Code Execution (RCE) in der Benutzeroberfläche von F5 BIG-IP Traffic Management
  • CVE-2020-1472 (CVSS 5.5), eine Schwachstelle, die zur Ausweitung von Berechtigungen in Microsoft Netlogon Remote Protocol führen kann
  • CVE-2023-3519 (CVSS 9.8), eine Schwachstelle zur unautorisierten RCE und CVE-2019-19781 (CVSS 9.8), eine Sicherheitslücke, die die Umgehung von Verzeichnissen in Citrix Application Delivery Controller und Gateway erlaubt
  • CVE-2019-11510 (CVSS 10), ein nicht autorisiertes Lesen von Dateien und CVE-2019-11539 (CVSS 7.2), ein Fehler zur Remote-Ausführung von Befehlen, beide in Pulse Secure Pulse Connect Secure

Greenbone kann alle CVEs erkennen, die im Zusammenhang mit der Kampagne stehen, und gibt Verteidigern mit einem Überblick die Möglichkeit, das Risiko zu mindern. Darüber hinaus ist die Verhinderung von Brute-Force- und Passwort-Spraying-Angriffen ein elementarer Bestandteil der Cybersicherheit, auch wenn sie nicht als CVE erfasst wird. Zwar bieten viele Authentifizierungsdienste von Haus aus keinen Brute-Force-Schutz, doch können zusätzliche Sicherheitsprodukte so konfiguriert werden, dass nach wiederholten Anmeldefehlern eine Sperrzeit verhängt wird. Greenbone kann die Einhaltung der CIS-Sicherheitskontrollen für Microsoft RDP bescheinigen, einschließlich derjenigen, die Brute-Force- und Password-Spraying-Angriffe bei der Anmeldung verhindern.

Schließlich müssen laut Anhang I, Teil I (2)(d) der EU Cyber Resilience Act (CRA) Produkte mit digitalen Elementen „den Schutz vor unbefugtem Zugriff durch geeignete Kontrollmechanismen gewährleisten“, einschließlich Systemen für Authentifizierung, Identitäts- und Zugriffsmanagement, und sollten auch alle Fälle von unbefugtem Zugriff melden. Dies bedeutet, dass die EU in Zukunft von allen Produkten einen eingebauten Brute-Force-Schutz verlangen wird, anstatt sich auf „Rate Limiting“-Tools von Drittanbietern wie fail2ban für Linux zu verlassen.

Unverschlüsselte Cookies in F5 BIG-IP LTM

Die CISA hat beobachtet, dass Cyber-Bedrohungsakteure unverschlüsselte dauerhafte Cookies auf F5 BIG-IP Local Traffic Manager (LTM) Systemen ausnutzen. Sobald die Cookies gestohlen wurden, werden sie verwendet, um andere interne Netzwerkgeräte zu identifizieren, was wiederum eine passive Erkennung von Schwachstellen innerhalb eines Netzwerks ermöglichen kann. Ähnlich wie die meisten Webanwendungen gibt BIG-IP ein HTTP-Cookie zwischen dem Client und dem Server weiter, um User Sessions zu verfolgen. Das Cookie hat standardmäßig den Namen BIGipServer<pool_name> und sein Wert enthält die verschlüsselte IP-Adresse und den Port des Zielservers.

F5 BIG-IP ist eine Suite zur Verwaltung des Netzwerkverkehrs, und LTM ist das Kernmodul, das für Load Balancing und die Verteilung des Datenverkehrs auf die Server sorgt. Die CISA rät Unternehmen, dafür zu sorgen, dass persistente Cookies verschlüsselt werden. F5 bietet eine Anleitung zur Einrichtung der Cookie-Verschlüsselung und mit BIG-IP iHealth ein Diagnosetool, um unverschlüsselte dauerhafte Profile von Cookies zu erkennen.

Obgleich eine aktive Ausnutzung die Bedrohung für Unternehmen erhöht, die diese Schwachstelle nicht behoben haben, ist die Sicherheitslücke seit Anfang 2018 bekannt. Greenbone bietet seit Januar 2018 eine Erkennung für diese Schwachstelle an, sodass Benutzer die Sicherheitslücke, die durch unverschlüsselte Cookies in F5 BIG-IP LTM entsteht, seit ihrer Offenlegung erkennen und schließen können.

Hochgefährliche Schwachstellen in Palo Alto Expedition

In Expedition, einem Migrationstool von Palo Alto, das den Übergang von Security-Konfigurationen von Drittanbietern zu PAN-OS von Palo Alto vereinfachen soll, wurden mehrere neue hochgefährliche Schwachstellen entdeckt. Obwohl noch nicht in aktiven Kampagnen beobachtet, wurden zwei der insgesamt neun CVEs, die Palo Alto im Oktober zugewiesen wurden, mit EPSS-Scores höher als 98 % aller anderen bewertet.  EPSS (Exploit Prediction Scoring System) ist ein Vorhersagemodell, das mithilfe von Machine Learning die Wahrscheinlichkeit schätzt, dass ein CVE innerhalb von 30 Tagen nach der Vorhersage in freier Wildbahn ausgenutzt wird.

Hier eine kurze technische Beschreibung der einzelnen CVEs:

  • CVE-2024-9463 (CVSS 7.5, EPSS 91.34%): Eine OS-Schwachstelle bei der Befehlseingabe in Palo Altos Expedition erlaubt es einem nicht authentifizierten Angreifer, beliebige OS-Befehle als Root-Dateien in Expedition auszuführen, was zur Offenlegung von Benutzernamen, Klartext-Passwörtern, Gerätekonfigurationen und Geräte-API-Schlüsseln von PAN-OS Firewalls führt.
  • CVE-2024-9465 (CVSS 9.1, EPSS 73.86%): Eine SQL-Injection-Schwachstelle in Palo Altos Expedition ermöglicht es einem nicht authentifizierten Angreifer, sensible Datenbankinhalte wie Passwort-Hashes, Benutzernamen, Gerätekonfigurationen und Geräte-API-Schlüssel auszuspähen. Sobald diese Informationen erlangt wurden, können Angreifer beliebige Dateien auf den betroffenen Systemen erstellen und lesen.

Vier kritische CVEs in Mozilla Firefox

Wie bereits in unserem Threat-Tracking-Blog erwähnt, ist die Browsersicherheit von entscheidender Bedeutung für die Verhinderung von Erstzugriffen, insbesondere bei Arbeitsplatzgeräten. Im Oktober 2024 wurden sieben neue kritische und 19 weitere weniger kritische Sicherheitslücken in Mozilla Firefox < 131.0 und Thunderbird < 131.0.1 bekanntgegeben. Eine davon, CVE-2024-9680, wurde bereits gegen Nutzer des Tor-Netzwerks aktiv ausgenutzt und wurde in den Katalog der bekannten Schwachstellen der CISA aufgenommen. Greenbone enthält Schwachstellentests, um alle betroffenen Mozilla-Produkte zu identifizieren.

Hier die sieben neu veröffentlichten Schwachstellen:

  • CVE-2024-9680 (CVSS 9.8): Angreifer gelangten zu einer unautorisierten RCE, indem sie eine Use-After-Free-Schwachstelle in Animation Timelines ausnutzten. CVE-2024-9680 wird in freier Wildbahn ausgenutzt.
  • CVE-2024-10468 (CVSS 9.8): Mögliche Laufbedingungen in IndexedDB können Speicher beschädigen, was zu einem potenziell ausnutzbaren Absturz führt.
  • CVE-2024-9392 (CVSS 9.8): Ein kompromittierter Inhaltsvorgang ermöglicht das willkürliche Laden von Cross-Origin-Seiten.
  • CVE-2024-10467, CVE-2024-9401 und CVE-2024-9402 (CVSS 9.8): In Firefox vorhandene Speicherfehler zeigten Anzeichen von Speicherbeschädigung. Sicherheitsexperten vermuten, dass einige dieser Fehler mit genügend Aufwand zur Ausführung von beliebigem Code ausgenutzt werden könnten.
  • CVE-2024-10004 (CVSS 9.1): Das Öffnen eines externen Links zu einer HTTP-Website, wenn Firefox iOS zuvor geschlossen war und einen HTTPS-Tab geöffnet hatte, konnte dazu führen, dass das Vorhängeschloss-Symbol fälschlicherweise HTTPS anzeigte.

Zusammenfassung

Unser monatlicher Threat Tracking-Blog befasst sich mit den wichtigsten Cybersecurity-Trends und hochriskanten Bedrohungen. Zu den wichtigsten Erkenntnissen für Oktober 2024 gehören die verstärkten Bemühungen zur Bekämpfung von Ransomware auf internationaler Ebene und die Rolle, die ein proaktives Schwachstellenmanagement bei der Verhinderung erfolgreicher Ransomware-Angriffe spielt. Zu den weiteren Höhepunkten gehören aktiv ausgenutzte Schwachstellen von Fortinet und Palo Alto sowie Updates zu einer vom Iran unterstützten Cyberangriffskampagne, die auf öffentliche Dienste kritischer Infrastrukturunternehmen abzielt. Darüber hinaus unterstreichen die unverschlüsselte Cookie-Schwachstelle von F5 BIG-IP LTM, die zur Reconnaissance ausgenutzt wird, und vier neue Mozilla Firefox-Schwachstellen, von denen eine aktiv als Waffe eingesetzt wird, wie notwendig es ist, wachsam zu bleiben.

Greenbone erleichtert die Identifizierung und Behebung dieser und weiterer Schwachstellen und hilft Unternehmen, ihre Widerstandsfähigkeit gegenüber wachsenden Cyber-Bedrohungen zu verbessern. Schnelle Erkennung und rechtzeitiges Patchen sind für die Risikominimierung entscheidend.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Andreas Bergler

Greenbone auf der it-sa 2024: Drei spannende Messetage und ein Besucherrekord

Die it-sa 2024 in Nürnberg war nicht nur für die Veranstalter, sondern auch für uns ein voller Erfolg: drei Tage voll inspirierender Gespräche, neuer Kontakte und wichtiger Einblicke in die aktuellen Sicherheitsanforderungen von Kunden und Interessenten. Als eine der wichtigsten Fachmessen für IT-Sicherheit in Europa war die it-sa für uns die ideale Bühne, um die neuesten Entwicklungen einem breiten Publikum vorzustellen. Unsere Keynote, gehalten vom Vorstandsvorsitzenden Dr. Jan-Oliver Wagner, zog zahlreiche Fachbesucher an. Unter dem Titel „Sicher sein und sicher bleiben“ gab er einen Einblick in den Stellenwert unseres Portfolios für eine proaktive Unternehmenssicherheit.

Das Greenbone-Team am Partnerstand auf der it-sa 2024 in Nürnberg.“

Das Greenbone-Team auf der it-sa 2024 freute sich über doppelt so viele Besucher wie im Vorjahr.

 

Keynote: Schwachstellenmanagement als Basis für Cybersicherheit

In seiner Keynote sprach Jan-Oliver Wagner über die wachsende Bedeutung von Schwachstellenmanagement als den fundamentalen Baustein einer umfassenden Sicherheitsstrategie. Unternehmen und Organisationen jeder Größe stehen vor der Herausforderung, die ständig wachsende Bedrohung durch Cyberangriffe zu bewältigen. Besonders im Hinblick darauf, dass die Zahl der Angriffe in den letzten Jahren stark zugenommen hat und schon hohe zweistellige Millionenbeträge für Lösegeldzahlungen aufgerufen wurden, ist klar, dass Cybersicherheit nicht länger nur „nice to have“, sondern überlebensnotwendig ist.

Jan-Oliver Wagner forderte, Bedrohungen möglichst frühzeitig zu erkennen und Risiken proaktiv zu managen. Dabei stellte er das Schwachstellenmanagement als „die erste Verteidigungslinie“ gegen Angreifer dar. Mit den Lösungen von Greenbone können Unternehmen ihre IT-Infrastruktur kontinuierlich auf Sicherheitslücken überprüfen: „Schwachstellenmanagement ist die Basis einer nachhaltigen und hochwirksamen Sicherheitsstrategie.“ Sicherheitsteams stehen dabei oft vor der schwierigen Aufgabe, Risiken angemessen zu beurteilen und die richtigen Entscheidungen zu treffen. „Das Ziel ist es, Angreifern stets einen Schritt voraus zu sein. Unsere Lösungen identifizieren nicht nur Sicherheitslücken, sondern helfen auch zu priorisieren, welche Schwachstellen am dringendsten behoben werden müssen.“

Inspirierende Gespräche und neue Kontakte: die Messe-Highlights

Die Messe ermöglichte es uns, direkt mit Fachbesuchern, Kunden und Partnern in Kontakt zu treten, ihre Fragen zu beantworten und ihre Perspektiven besser zu verstehen. Mit extrem vielen Fachgesprächen in nur drei Messetagen hat sich die Zahl der Besucher an unserem Partnerstand bei ADN gegenüber dem vergangenen Jahr mehr als verdoppelt, berichtet Ingo Conrads, Chief Sales Officer: „Besonders gefreut haben wir uns über die vielen neuen Interessenten und Partner, mit denen wir viele neue Geschäftsmöglichkeiten besprechen konnten.“

Dr. Jan-Oliver Wagner, CEO von Greenbone, bei seiner Keynote ‚Sicher sein und sicher bleiben‘ auf der it-sa 2024 in Nürnberg.

Greenbone-CEO Dr. Jan-Oliver Wagner bei seiner Keynote „Sicher sein und sicher bleiben“ auf der it-sa 2024.

Viele Messebesucher kannten Greenbone bereits als Marke, teils durch den Einsatz von OpenVAS in der Vergangenheit. Doch auch neue Produkte wie „Greenbone Basic“ waren für viele eine Entdeckung, die zeigt, wie umfassend und skalierbar unsere Lösungen inzwischen sind – von Einsteigervarianten bis hin zu Enterprise-Produkten für den öffentlichen Sektor. Gerade die Vielfalt unseres Portfolios und unserer Services hat für Überraschung und Interesse gesorgt. Einen Überblick über die verschiedenen Einsatzmöglichkeiten unserer Lösungen steht auf unserer Webseite zur Verfügung.

Danke für die erfolgreiche Messe!

Die it-sa 2024 war für uns ein voller Erfolg und ein inspirierendes Erlebnis. Einmal mehr hat die Messe gezeigt, wie wichtig Schwachstellenmanagement geworden ist und dass Greenbone hier einen wichtigen Beitrag zur IT-Sicherheit leistet. Besten Dank an unseren Distributionspartner ADN für die hervorragende Zusammenarbeit am Partnerstand – und herzlichen Dank an alle Besucher für die interessanten Gespräche und das wertvolle Feedback!

Gemeinsam setzen wir uns dafür ein, dass Unternehmen sicher sind – und sicher bleiben.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

NIS2-Umsetzungsgesetz lässt auf sich warten: Zeit zum Handeln

Auch wenn die Bundesregierung es wohl nicht geschafft hat, die notwendigen Umsetzungen der NIS2-Richtlinie fristgerecht auf den Weg zu bringen, sollten Unternehmen und Behörden nicht nachlassen. NIS2 kommt, zwar nicht wie geplant noch im Oktober, sondern erst im Frühjahr 2025, doch die Kerninhalte bleiben gleich. Ganz unabhängig vom schlussendlichen Termin gehört professionelles Schwachstellenmanagement wie das von Greenbone zwingend dazu.

Eigentlich hatten alle von NIS2 betroffenen Unternehmen und Organisationen schon acht Jahre Zeit, um sich einzuarbeiten und angemessene Maßnahmen zu treffen. Wer seine Hausaufgaben gemacht hat, wird bemerkt haben: Zwar kommt da viel Arbeit auf Firmen zu, vor allem auf Betreiber kritischer Infrastrukturen, aber das meiste ist doch überaus klar und wohldefiniert. Aber dass die NIS2-Umsetzung und -Einführung dennoch nicht immer einfach ist, zeigt derzeit der Deutsche Bundestag exemplarisch.

Acht Jahre verstrichen, Startschuss verpasst

Theoretisch wäre Ende Oktober der Startschuss für das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) gefallen, doch aus dem von der EU auch für Deutschland verordneten Termin vom 17.10.2024 wird nichts. Die Referentenentwürfe von 2023 und 2024 fanden keine Mehrheit, selbst das Innenministerium ist skeptisch und „rechnet nicht mit einer fristgerechten Einführung der NIS2-Richtlinie“. Das geht aus einer Antwort des Ministeriums auf eine Anfrage des BVMW (Bundesverband mittelständische Wirtschaft – Unternehmerverband Deutschlands) hervor. „Wann die NIS2-Richtlinie kommt, die für den 17. Oktober 2024 geplant war, ist offenbar völlig unklar. In der Antwort des Innenministeriums heißt es lediglich, dass bei einem zügigen parlamentarischen Verfahren ein Inkrafttreten des Gesetzes im ersten Quartal 2025 möglich sei.“

NIS2-Studie: Unternehmen akzeptieren die Vorschriften

Dabei ergibt NIS2 durchaus Sinn und trifft auf hohe Akzeptanz, vor allem in sicherheitsrelevanten Branchen und Firmen, auch wenn diese selbst zugeben müssen, noch nicht perfekt vorbereitet zu sein. 38 Prozent halten NIS2 für überfällig, 67 Prozent gehen davon aus, dass Cyberattacken weiter zunehmen werden, und 84 Prozent wissen: Das Budget wird steigen. 34 Prozent der Unternehmen werden zukünftig in Schwachstellenmanagement investieren. Diese Zahlen stammen aus einer aktuellen, umfangreichen Studie von techconsult im Auftrag von Plusnet, die auch den Sinn und Zweck von NIS2 zusammenfasst: „Unternehmen und Organisationen werden angewiesen, robuste Sicherheitsmaßnahmen zu implementieren, regelmäßige Risikoanalysen durchzuführen und angemessene Schutzmechanismen gegen Cyberangriffe einzurichten. Eine erhöhte Transparenz und Reaktionsfähigkeit sollen dazu beitragen, Bedrohungen schneller zu identifizieren und einzudämmen.“

Top-Investitionsfelder von Unternehmen im Bereich Cybersicherheit: Sicherheits­schulungen (45 %), ISO-Zertifikate (44 %), Awareness-Trainings (42 %), sichere Kommunikation, EDR, SIEM, KI-Lösungen, automatisierte Schwachstellenscans (je 34 %).

Quelle: „NIS2 Readiness in deutschen Unternehmen“ techconsult GmbH/ Plusnet, 2024

Unternehmen und Organisationen werden so verpflichtet, Sicherheitsvorfälle innerhalb von 24-Stunden-Fristen zu melden. KRITIS-Betreiber setzen schon lange auf Systeme zur Angriffserkennung. Vor allem die schon von NIS1 betroffenen Unternehmen (55 %) setzen auf modernste Formen der Cyberabwehr – gegenüber Firmen, die durch NIS2 neu hinzukommen (44 %). Nachlassen sollten CISOs dennoch nicht, es gibt noch viel zu tun: Die von NIS1 betroffenen Unternehmen rangieren laut Studie, auch um zehn Prozent höher als die erweiterten NIS2-Sektoren, „unter anderem bei der Intrusion Detection & Prevention und automatisierten Schwachstellen-Scans“.

51 Prozent aller befragten Unternehmen und Organisationen verwenden SIEM-Lösungen (Security Information and Event Management), um Bedrohungen, Muster und Anomalien in großen Datenmengen frühzeitig zu identifizieren und Sicherheitsvorfälle zu verhindern.

„Diese Fähigkeit ist in Zeiten, in denen Cyberangriffe immer raffinierter werden, besonders wertvoll“, schreiben die Autoren der Studie. Dazu kommen Systemmonitoring, Logging und Reporting sowie Data Loss Prevention.

Neun von zehn Unternehmen wollen mehr in Sicherheit investieren

84 Prozent der Unternehmen und Organisationen werden ihr Security-Budget erhöhen, im Durchschnitt um zehn Prozent, größere Unternehmen sogar bis zu zwölf Prozent. Erst 29 Prozent haben Sicherheitsmaßnahmen voll umgesetzt, weitere 32 Prozent teilweise. Hauptgründe dafür sind der Fachkräftemangel, mangelndes Bewusstsein (Awareness) bei den eigenen Mitarbeitern, aber auch der Zeitplan, also die gebotene Eile.

Gleichwohl betrachten die Firmen die anstehende Umsetzung der NIS2-Richtlinie nicht nur als Kostenfaktor und Belastung, sondern auch als Chance, „die eigene Cyberresilienz zu stärken, Geschäftsprozesse zu optimieren und das Vertrauen von Kunden und Partnern zu gewinnen“.

Kontrastprogramm: Verzögerungen in der Politik

Wer aber die jüngsten Debatten in der Politik und die Analysen von Institutionen wie dem Bundesrechnungshof und Manuel Atug (Sprecher der AG KRITIS) verfolgt, der bekommt schnell den Eindruck, dass auf staatlicher Seite gerade Vertrauen verspielt wird. Sogar der Bundesrechnungshof kritisiert die geplanten Ausnahmen von der NIS2-Regelung für Behörden. Er fordere daher, so das Nachrichtenmagazin heise, den Gesetzesentwurf im parlamentarischen Verfahren nachzubessern. „Ausnahmen von den zentralen Vorgaben zur Informations- und Cybersicherheit sollten begrenzt werden und die Koordinatorin oder der Koordinator für Informationssicherheit sollte angemessene Aufgaben und Befugnisse erhalten, so zwei Kernforderungen. Auch seien die Bedarfe der Bundesbehörden an zusätzlichen Haushaltsmitteln kritisch zu hinterfragen.“

Trotz aller Streitpunkte winkt der Bundesrat Ende September eine Vorlage einfach durch, in „einer Minute und einer Sekunde“, wie Atug süffisant bemerkt. Wirkungslos ist das jedoch nicht, beispielsweise im Gesundheitswesen. Da könnten „künftig große Praxen, Berufsausübungsgemeinschaften und Medizinische Versorgungszentren Betreiber kritischer Anlagen werden“. Aber auch andere große ambulante Einrichtungen, umsatzstarke Praxen aus der Radiologie und Nuklearmedizin, Nephrologie oder Laboratoriumsmedizin könnten so als wichtige Einrichtungen relevant werden und unter die NIS2-Regeln fallen.

Verbrannte Erde, verlorene Zeit?

Es macht es nicht leichter, dass für Krankenhäuser auch noch besondere Übergangsfristen gelten. § 108 SGB V schreibt hier fünf Jahre vor, nun hat man eine entsprechend verlängerte Übergangsfrist auch für die wichtigen Einrichtungen gefordert. „Erste Nachweise kommen damit erst frühestens 2030“, zeigt sich Atug enttäuscht. Seine Kritik: „Sowohl die Bundesländer als auch das Gesundheitswesen sollen Cybersicherheit nur nach dem Minimalprinzip angehen, was der aktuellen Bedrohungslage als auch dem Lagebild Gesundheit absolut nicht gerecht wird.“ Die vielen Ausnahmen und das Verschweigen bekannter Defizite drohen hier, einen Flickenteppich von Ausnahmen zu schaffen, der niemandem helfe.

Warum Unternehmen jetzt investieren müssen

Die Studie von Plusnet zeigt klar: Das Bewusstsein in betroffenen Betrieben ist da, die Investitionsbereitschaft ebenso. Der Bundesrechnungshof und die AG KRITIS haben nachhaltig und laut bekundet, wie wichtig aktives Handeln jetzt ist – und ebenso laut ihrer Enttäuschung Ausdruck verliehen, dass gerade die Politik da nicht handelt, zumindest nicht angemessen. Unternehmen und Organisationen hingegen sind keineswegs die Hände gebunden: Was kommt, ist klar, auch hier im Greenbone Blog haben wir immer wieder darauf hingewiesen.

Spätestens nächstes Jahr werden viele Aspekte der IT-Security neu aufgerollt, und Schwachstellenmanagement wie Greenbones Enterprise Produkte spielen dabei eine wichtige Rolle.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von