Deutsche Gesellschaft für Cybersicherheit startet neuen Security-Dienst: Cyberscan.io soll Angriffspunkte in der Infrastruktur aufspüren

Mit Cyberscan.io will die Deutsche Gesellschaft für Cybersicherheit aufwändige Schwachstellenscans und Penetrationstests automatisieren und beschleunigen. Mit dem Dienst können Systemhäuser und IT-Dienstleister bei ihren Kunden nicht nur Sicherheitslecks aufdecken, sondern auch die eigene Arbeit überprüfen.

(Foto: lovegtr35 - Fotolia)

Eigentlich war die Idee aus der Not heraus geboren worden. Denn wenn man seinen Firmensitz in Schuby, in der Nähe von Schleswig hat, dann ist es gar nicht so leicht, Sicherheitsexperten zu finden. Man kann diese natürlich selbst ausbilden, so wie die Deutsche Gesellschaft für Cybersicherheit das auch macht. Doch oft wechseln die Mitarbeiter dann zu größeren Unternehmen oder wandern in größere Städte ab und man beginnt von vorn. Deshalb sei es irgendwann notwendig gewesen, weite Teile der Arbeit zu automatisieren, berichtet Matthias Nehls, Geschäftsführer des Sicherheitsspezialisten, im Gespräch mit CRN. Bereits vor fünf Jahren begann er mit der Entwicklung eines Dienstes, der Schwachstellenscans und Penetrationstests vereinfacht, indem er mehrere Tools zusammenführt und Quervergleiche sowie Überprüfungen automatisiert.

Was zunächst nur als Helfer bei der eigenen täglichen Arbeit gedacht war, steht als Cybersan.io seit Juni für Jedermann zur Nutzung bereit. Der Dienst checkt beliebige Domains auf Schwachstellen und andere Angriffspunkte, etwa ob Zugangsdaten in Passwort-Leaks aufgetaucht sind oder Exploits für die von außen erreichbaren Systeme existieren, und prüft Zertifikate. All das geschieht fast in Echtzeit und vollautomatisch und liefert am Ende einen detaillierten Report zu den gefundenen Lecks sowie Hinweise und Empfehlungen, wie mit diesen umzugehen ist. Fehlt zum Beispiel ein Microsoft-Update, wird das im Web zu findende Informationsmaterial dazu zusammengetragen und nebst Download-Link zum Update und Installationsanleitung bereitgestellt. Auch das geschehe automatisiert und sei »nullkommanull Handarbeit«, versichert Nehls.

In Cyberscan.io nutzt die Deutsche Gesellschaft für Cybersicherheit nicht nur diverse Open-Source-Tools, sondern auch einige Eigenentwicklungen. »Die größte Herausforderung war es aber, den Scan mit dem deutschen Recht in Einklang zu bringen«, betont Nehls; schließlich gebe es viele Grauzonen. Man verzichtet deshalb auf das Eindringen in die Infrastruktur, das Auslesen von Daten und natürlich DDoS-Tests. Das, was gemacht wird, ist rechtlich von der Großkanzlei SKW Schwarz Rechtsanwälte geprüft und bestätigt.

Übersicht