Horizon3.ai verdoppelt Pentesting-Kapazität – wegen NIS2

Offenbar in letzter Minute vor Inkrafttreten des EU-weiten NIS2-Gesetztes stellen Unternehmen fest, dass Pentesting den IT-Schutz erhöhen kann. Cybersicherheits-Anbieter Horizon3.ai stellt eine sprunghaft steigende Nachfrage in Europa fest. Das ist auch eine gute Nachricht für Managed Service Providers (MSP) und Managed Security Service Provider (MSSP).

Horizon3.ai hat seine Kapazitäten für sogenannte Penetrationstests in Europa eigenen Angaben zufolge verdoppelt. Grund für die sprunghaft gestiegenen Nachfrage sei das Inkrafttreten der NIS2-Verordnung in der Europäischen Union. NIS2 gilt ab 17.Oktober 2024 für alle betroffenen Unternehmen in der EU, allein in Deutschland müssten Schätzungen zufolge rund 40.000 Unternehmen ihre IT-Sicherheitsmaßnahmen erhöhen, um NIS2 gerecht zu werden. Eine Übergangsfrist gibt es nicht.

"Vielen Unternehmen ist offenbar erst kurzfristig klargeworden, dass ein Penetrationstest der beste und vermutlich rechtlich einzige Weg ist, die Compliance zu NIS2 verbindlich nachzuweisen", sagt Dennis Weyel, International Technical Director mit Zuständigkeit für Europa bei Horizon3.ai.

Horizon3.ai betreibt eigenen Aussagen zufolge mit NodeZero am Standort Frankfurt eine der weltweit umfassendsten Plattformen für Pentesting. Die Lösung wird von MSPs und MSSPs eingesetzt, die sie bei ihren Kunden einsetze.

Über die erweiterten NodeZero-Kapazitäten lassen sich sowohl IT-Netzwerke in den Unternehmen vor Ort (on premise) als auch Konfigurationen in gängigen Cloud-Umgebungen wie AWS oder Azure einer Sicherheitsüberprüfung unterziehen, teilt Horizon3.ai mit. Der Anbieter hat kurz vor der NIS2-Pflicht unter dem Namen "NodeZero Cloud Pentesting" eine eigene Lösung vorgestellt, die Unternehmen hilft, komplexe ausnutzbare Schwachstellen und versteckte Angriffspfade in ihren Cloud-Umgebungen zu identifizieren und zu beheben.

NIS2 betrifft nicht nur KRITIS-Unternehmen selbst, sondern auch die Zulieferer, Kunden und sonstigen Geschäftspartner dieser Firmen. Weyel stellt fest: "Die Nachfrage nach Pentesting ist nicht nur in der EU dramatisch gestiegen, sondern auch in Nordamerika und Asien, weil viele dort ansässige Firmen im Rahmen internationaler Lieferketten Unternehmen mit Sitz in der EU zu ihrem Kundenkreis zählen. Denn jeder Angriff bei einem Geschäftspartner kann direkt auf alle verbundenen Unternehmen übergreifen."

Laut Horizon3.ai werden bei einem Penetrationstest mit NodeZero alle verbundenen Geräte, Maschinen und Systeme aufgelistet und anschließend auf Sicherheitslücken überprüft. "Veraltete Software in Gerätschaften außerhalb des Kernnetzes zählt zu den häufigsten Einfallstoren für Cyberkriminelle", sagt Weyel. Als Beispiele nennt er Kassensysteme, Überwachungskameras, Drucker, CNC-Maschinen, Fertigungsroboter und die Gebäudeautomatisierung.

Pentest über NodeZero deckten laut Angaben des Plattformbetreibers nicht nur technische Schwachstellen auf, sondern auch menschliche Schwächen, die die Sicherheit des Firmennetzes gefährden. Bei Phishing, einer der häufigsten Angriffsformen mittels Social Engineering, bei der ein Beschäftigter zum Klick auf einen schädlichen Link verleitet wird, helfe NodeZero bei der Folgeneindämmung, indem die Berechtigungen, die ein einzelner Mitarbeiter im Firmennetzwerk besitzt, auf das für seine Tätigkeit notwendige Maß beschränkt würde. Wird ein einzelner Account gehackt, könnten die Angreifer also noch längst nicht auf das gesamte Netzwerk zugreifen.

Weyel schlägt den Bogen zur Politik: "Die EU-Bürokratie mag an vielen Stellen als aufgebläht erscheinen, doch mit NIS2 hat die EU ein Sicherheitsniveau festgelegt, das ohne jeden Zweifel dringend notwendig ist, denn dadurch werden Angriffsszenarien zum ultimativen Prüfstein der Cyberresilienz". In diesem Fall sei die Politik "tatsächlich einmal der Wirtschaft voraus, denn der aktuelle Ansturm auf NodeZero ist nur mit einem dringenden Nachholbedarf bei vielen Unternehmen zu erklären."