Suchen

Security-Startups im Blickpunkt: Cyberscan.io Die ganze IT-Security im Blick

Autor / Redakteur: Ralph Dombach / Peter Schmitz

IT-Security ist, durchaus vergleichbar, mit einem Eisberg. Bei der Eismasse sind gut 85 Prozent unter Wasser verborgen und nur ein kleiner Rest ist über der Wasserlinie sichtbar. Bei der IT-Sicherheit verhält es sich ebenso, denn Malware-Scanner, die Zwei-Faktor-Authentifi­zierung oder der Bildschirmschoner sind nur die sichtbaren Komponenten. Der größere Security-Teil ist meistens unsichtbar, entfaltet aber oft die größte Wirkung.

Cyberscan.io liefert eine Vielzahl von Informationen, die einen umfassenden Blick auf den Stand der IT-Sicherheit erlauben! Damit ist dann auch ein Blick unter die Wasserlinie möglich.
Cyberscan.io liefert eine Vielzahl von Informationen, die einen umfassenden Blick auf den Stand der IT-Sicherheit erlauben! Damit ist dann auch ein Blick unter die Wasserlinie möglich.
(© Romolo Tavani - stock.adobe.com)

Es gibt aber auch Firmen, die sich das Prinzip Eisberg zu Eigen gemacht haben, wie die Deutsche Gesellschaft für Cybersicherheit mbH & Co. KG“ (DGC). Weitestgehend unbemerkt wurde über Jahre hinweg, an einem Tool gefeilt, das für Aufmerksamkeit sorgen wird. In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit innovativen Ideen die IT-Sicherheit voran bringen wollen. Das Tool Cyberscan.io ist ein perfektes Beispiel für diese innovativen Ideen, weshalb wir es uns genauer angesehen haben.

Bildergalerie
Bildergalerie mit 11 Bildern

Need to know

IT Sicherheit hat, für manche überraschend, viel mit Wissen zu tun! Denn ohne entsprechendes Wissen, ist man nicht in der Lage adäquat auf Bedrohungen zu reagieren, Trends rechtzeitig zu erkennen oder zukunftsorientiert zu investieren. In Abwandlung eines bekannten Sprichwortes kann man daher durchaus feststellen: Wissen ist Informationssicherheit.

Wissen liefert auch das Tool Cyberscan.io der DG-Cybersicherheit dem Nutzer. Dieses Scan-Tool, überprüft Domänen bzw. die Systeme dahinter auf bekannte Schwachstellen (CVE). Nach Aussage von Matthias Nehls, dem Geschäftsführer, ist das Tool in der Lage, in weniger als 20 Minuten, ganz Deutschland zu scannen. Eine beeindruckende Leistung.

Ganz Deutschland haben die wenigsten Security-Verantwortlichen im Focus, sondern stattdessen ihre eigene Domain-Struktur bzw. ihre im WWW vertretenen Gesellschaften. Egel, ob dies nun eine Adresse ist oder 500 IP-Adressen inklusive Tochterunternehmen, nach wenigen Sekunden ist üblicherweise das Dashboard des Tools mit Werten gefüllt. Werte, die aufzeigen, wo Schwachstellen vorhanden sind, die beseitigt werden müssen, bevor Hacker und Cyber-Attentäter diese zu ihren Gunsten ausnutzen. Die Ergebnisse von Cyberscan.io, können aber auch dazu genutzt werden, generelle Verbesserungen an der eigenen IT-Infrastruktur vorzunehmen. Mögliche Ansatzpunkte sind hier beispielsweise:

  • Globaler Wechsel von Applikationen und/oder Betriebssystemversionen
  • Schärfen eines Vulnerability-Prozesses, der entdeckte Schwachstellen durch den zeitnahen Rollout von Patches etc. beseitigt
  • Kontrolle der eigenen Web-Infrastruktur und vergleich zu Daten, die beispielsweise durch Dritte (Managed Security Service Provider) geliefert werden.
  • Erkennen von Abhängigkeiten im Hinblick auf Schwachstellen und Legacy-Anwendungen, die nicht mehr modifiziert bzw. gepflegt werden
  • Erstellen einer DMZ für anfällige Systeme, ohne realisierbare Schutzmöglichkeiten

Ergänzendes zum Thema
Im Gespräch mit Matthias Nehls, Geschäftsführer Deutsche Gesellschaft für Cybersicherheit

Matthias Nehls leitet als Geschäftsführer die Deutsche Gesellschaft für Cybersicherheit mbH & Co. KG.
Matthias Nehls leitet als Geschäftsführer die Deutsche Gesellschaft für Cybersicherheit mbH & Co. KG.
( Bild: Matthias Nehls )

Security Insider: Hr. Nehls, die Frage, die sich förmlich aufdrängt – wie haben Sie es geschafft, ein derart performantes Tool zu entwickeln. Was Ist Ihr Trick bei Cyberscan.io?

Matthias Nehls: Da gibt es keine Tricks. Cyberscan.io zu entwickeln war harte Arbeit über mehrere Jahre. Es gibt nichts vergleichbares und so war es Tag für Tag, ein Prozess aus ausprobieren und verbessern. Alles was momentan am Markt ist, ist teilweise schon 15-20 Jahre alt und wurde seitdem zwar regelmäßig angepasst aber im Kern wird oftmals noch die Software aus der Jahrtausendwende verwendet. Im Ergebnis sind wir viel, viel schneller als alle anderen nationalen und internationalen Produkte in dem Bereich. Wir sind in der Lage jede Domain bzw. IP-Adresse in kürzester Zeit auf knapp 250.000 Schwachstellen zu überprüfen. 10 Minuten nach dem Erkennen einer neuen Schwachstelle, ist diese vollautomatisch bei uns in der Datenbank enthalten, lange bevor diese in den bekannten Schwachstellenscanner integriert wird. Um alle ca. 18 Millionen IP-Adressen in Deutschland auf eine Schwachstelle zu überprüfen, brauchen wir ca. 30 Minuten.

Security Insider: Eine Anwaltskanzlei, die ein Tool begleitet, ist relativ unüblich, aber sehr erfreulich – Stichwort Rechtsgutachten. Weshalb haben Sie sich für diese Maßnahme entschieden?

Nehls: Cyberscan.io arbeitet im rechtlich zulässigen Rahmen. Das ist für uns selbstverständlich. Nur so können wir uns an unserer eigenen Wertskala orientieren und Vertrauen beim Kunden aufbauen. So kann jeder jeden scannen, ohne Angst vor Rechtsfolgen haben zu müssen. Ebenso betreiben wir Cyberscan.io aus Deutschland und unterliegen damit dem Deutschen und Europäischen Datenschutzgesetzen. Leider ist es so, dass gerade Unternehmen aus den USA mit Ihren Produkten aufgrund des neuen „Cloud Act`s“ sogar verpflichtet werden können, Kundendaten und damit unter anderem auch gefundene Schwachstellen an Behörden herauszugeben und dies auch wenn es gegen die Gesetze in Deutschland und Europa verstoßen würde. Deshalb sind wir stolz mit unserer Software eine deutsche Alternative bieten zu können. Da wir selber aber keine Juristen sind, haben wir uns einen anerkannten IT-Spezialanwalt an die Seite geholt, der uns ständig begleitet. Dessen Rechtsgutachten geben wir natürlich auch an Kunden, damit sie sich in dieser schwierigen Materie sicher fühlen.

Security Insider: Bei Cyberscan.io setzen sie auch auf den Mehrwert von öffentlichen Tools – ist hier ein Risiko oder eine Abhängigkeit gegeben, die sich irgendwann einmal gegen Sie bzw. den Nutzer derartiger Tools richten könnte?

Nehls: Da wir bei der Auswahl hohe Maßstäbe ansetzen und auch selber den Code checken, sehe ich hier kein Problem, da es keine Verbindung zu unserer Datenbank gibt. Wir arbeiten auch nicht ausschließlich mit einer Software für einen bestimmten Bereich, sondern nutzen unsere Eigenentwicklung und öffentliche Tools parallel.

Security Insider: Mit Cyberscan.io geben Sie den Verantwortlichen ein leistungsstarkes Tool in die Hände. Wo liegen Ihre nächsten Schwerpunkte? Bei der Tool-Entwicklung oder im Managementbereich um für IT Sicherheit mehr zu erreichen?

Nehls: Priorität hat die Weiterentwicklung von Cyberscan.io. Wir arbeiten u.a. gerade daran, eine führende deutsche Alarmzentrale an Cyberscan.io anzubinden um das Vorfallmanagement zu automatisieren und zu dokumentieren. Im Managmentbereich gibt es natürlich jede Menge Aufklärungsarbeit zu leisten. Es ist erschreckend zu sehen, dass selbst große Konzerne es nicht schaffen IT-Sicherheit vernünftig umzusetzen und auch selbst große Behörden kein Verständnis aufbringen und umsetzen.

Security Insider: Wie beurteilen Sie die Sicherheitslage von Deutschland, anhand Ihrer Expertise im Vergleich zu den anderen EU-Staaten – haben wir wirklich einen erhöhten Handlungsbedarf, wie zahlreiche Initiativen vermuten lassen.

Nehls: Die Sicherheitslage ist schon erschreckend. Dies würde ich nicht auf Deutschland, sondern auf die ganze Welt beziehen. Ich habe damit angefangen Behörden und Unternehmen auf Ihre Sicherheitslücken hinzuweisen, kann dies aber aufgrund meiner begrenzten Ressourcen natürlich nicht beliebig skalieren und sehe hier auch die Regierung bzw. jeden einzelnen in der Pflicht. Aber bis es soweit ist, muss erstmal das Bewusstsein allgemein in den Unternehmen und in der Bevölkerung ankommen. Wenn ich eine Lücke melde bekomme ich leider oftmals keine Rückmeldung oder aber widerwillig, dies ist sehr schade. Es geht um einen Wechsel des Verständnisses aber das kann leider wohl noch etwas dauern.

Cyberscan.io im Einsatz

Die Nutzung des Scan-Tools folgt dabei den üblichen Vorgehensweisen. Lädt man die Webseite www.cyberscan.io kann man sofort einen einfachen Scan-Lauf für die eigene Domain durchführen lassen, der nach zwei bis drei Sekunden die Ergebnisse liefert. Die Ergebnisse werden dabei summiert angezeigt, gruppiert nach vier Schweregraden und zwei weiteren, zusätzlichen Kategorien:

  • Kritisch
  • Hoch
  • Mittel
  • Niedrig
  • Informativ (Weitere Informationen, ohne CVSS-Einstufung)
  • Ports (Offen Ports)

In diesem Quick-Modus werden nur Summenwerte angezeigt, beispielsweise das 12 Schwachstellen der Kategorie „Kritisch“ gefunden wurden und 34 der Kategorie „Mittel“. Eine Detailinformation, worum es sich dabei handelt, erhält man jedoch erst, wen erst man sich anmeldet. Dies kann ein regulärer (kostenpflichtiger) Account sein oder ein 14-Tägiger Test-Account, der unentgeltlich genutzt werden kann. Bei diesem ist es auch möglich, die gefundenen Vulnerabilitys „durchzuklicken“, um am Ende der Kette konkrete Handlungsempfehlungen zur Beseitigung der Schwachstelle zu erhalten. Einzige Einschränkung bei diesem Test-Zugang, ist die Anzahl der Domains, die auf zehn begrenzt ist.

Nutzt man die Gratis-Offerte von Cyberscan.io, wird nach einer Bestätigungs-E-Mail der Zugang freigeschaltet und man kann bis vorgegeben Domainanzahl überprüfen, die sich maximal über 10.000 IP-Adressen erstrecken darf. Diese Begrenzung soll verhindern, dass mit dem Tool Schindluder getrieben wird und durch unberechtigte Personen quer Beet im Cyberspace nach Schwachstellen gesucht wird. Cyberscan.io erlaubt beispielsweise auch nicht, dass einmal aufgenommene Domänen wieder gelöscht werden, denn sonst könnt man hier auch nach dem Muster A) Domain aufnehmen B) Domain scannen und C) Domain löschen den Begrenzungsschutz umgehen.

Geschäftsmodelle

Reguläre Geschäftskunden können hier auf erweiterte Optionen zugreifen. Derzeit bietet Cyberscan.io vier unterschiedliche Modi an, die mit dem Starter-Paket bei einem Preis von 49,90€ im Monat beginnen. Das größte Standardpaket ist Professional, welches mit 499,90€ je Monat zu Buche schlägt. Cyberscan.io bietet aber auch eigenständig anpassbare Pakete an, die via Paket-Option „Customized“ individuell konfiguriert werden können. Hier startet der Monatspreis bei dem Wert des Professional-Paketes. In den Paketen Professional und Customized ist auch ein mehrstündiger PEN-Test enthalten, der durch das Personal von Cyberscan nach Rücksprache mit dem Kunden durchgeführt wird. Wem dies nicht genügt, wird bei Cyberscan.io ein offenes Ohr für individuelle Lösungen finden.

Das Tool selbst wird auch von einer Rechtsanwaltskanzlei mit einem Rechtsgutachten abgesichert, welches beschreibt, was Cyberscan.io macht und vor allem, was Cyberscan.io nicht macht – nämlich in fremde Rechennetze einzudringen. Das Rechtsgutachten belegt auch, dass die Aktivitäten des Scanners geltenden Compliance-Anforderungen in Deutschland und der EU entsprechen.

Ergänzendes zum Thema
Security-Startups gesucht!

Security-Insider präsentiert innovative, junge Startups, aus Deutschland, Österreich und der Schweiz, die es sich zur Aufgabe gemacht haben, die IT-Sicherheit mit einfallsreichen, neuen Ansätzen und einem kreativen Blick auf die Security-Landschaft zu verbessern.

Wir stehen bei der Suche nach den interessantesten IT-Security-Startups aus dem deutschsprachigen Raum bereits mit vielen Verbänden, Inkubatoren, Acceleratoren und Universitäten in Kontakt. Aber wenn Sie ein Startup aus dem Bereich der IT-Sicherheit kennen, oder selbst Gründer eines solchen jungen Unternehmens sind, das nicht älter als drei Jahre ist und das wir unbedingt kennenlernen sollten, dann schreiben Sie uns!

Anwendung

Hat man sich für ein Cyberscan.io-Paket entschieden oder nutzt, für erste Schritte die Free-Version, steht nach der Anmeldung und E-Mail-Verifikation der Daten einem Login nichts mehr im Wege. Nach einer Anmeldung wird ein leeres Dashboard angezeigt, mit einem Menübereich auf der linken Seite und dem eigentlichen Dashboard-Datenbereich rechts davon. Die erste Aktivität, die man ausführt, ist es, eine zu scannende Domain hinzuzufügen. Dazu gibt man den Domainnamen innerhalb des Menübereiches ein und bestätigt die nachfolgende Frage, ob diese zum Paket hinzugefügt werden soll.

Wie bereits erwähnt, wird nach wenigen Sekunden eine Schwachstellen-Analyse zu der Domain angezeigt. Der Default-View im Dashboard zeigt eine statistische Übersicht an, wie es um die Sicherheit der Domain steht. Alternativ ist auch über das Dashboard eine von weiteren acht Ansichten wählbar (sofern dazu Daten vorliegen), die ergänzende Informationen darstellen. Bei diesen handelt es sich um:

  • Dashboard (Default - Überblick)
  • IPs (die verwendeten IP-Adressen rund um die Domain – beispielsweise für Mail)
  • Schwachstellen (Gefundene Schwachstellen je Schweregrad)
  • Datenlecks (Gefundene Benutzernamen, E-Mail-Adressen und Passwort-Hinweise, die in Bezug zur überprüften Domain stehen)
  • Darknet (Relevante Informationen zur Domain im Darknet). Netzwerke (beispielsweise IP-Ranges des Netzwerkes und der jeweilige Internet-Service-Provider)
  • Organisationen (Vereinfachtes, technisches Rating zu der Organisation des IP-Hosters)
  • ISPs (Informationen über die Internet Service Provider und Host-Einträge)
  • Weltkarte (Geographischer Standort der Server – in der Regel das RZ des ISPs). Diese unterschiedlichen

Dashboard-Ansichten erlauben es, den Eindruck über eine Domain zu vervollständigen und beispielsweise auch abweichende Aussagen bzw. der Standorte von gehosteten Informationen aufzudecken oder zu verifizieren, wie ernst ein ISP selbst das Thema Schwachstellen-Bekämpfung nimmt.

Cyberscan.io greift zur Vervollständigung dieser Alternativen auf die Daten von rund 150.000 Exploits zu, aggregiert mehr als einhundert Herstellerblogs und nutzt eine Datenbasis von rund 500 Millionen Password-Leaks. Wobei immer zu beachten ist, dass die technischen Daten, die Cyberscan.io liefert ggf. in einem organisatorischen Rahmen zu betrachten sind die einer menschlichen Analyse bedürfen.

Ein angenehmer Nebeneffekt ist es übrigens, dass Cyberscan.io eventuell bereits über Daten zu einer Domain verfügt und diese im Standard-Dashboard im Bereich „Schwachstellen-Historie“ abbildet. Hier kann man also bereits mit etwas Glück Daten vorfinden, die vor dem Datum liegen, zu dem man den ersten Prüflauf gemacht hat. Dies erleichtert die Verfolgung von Aktivitäten der Schwachstellen-Reduzierung da man quasi ein größeres Zeitfenster geschenkt bekommt.

Recht unscheinbar im Footer-Bereich der Webseite von Cyberscan.io steht „Alle Domains“ – hier kann man eine Teilmenge der Domains sehen, die durch Cyberscan in der letzten Zeit analysiert wurden.

Fazit

Cyberscan.io ist ein intuitiv zu bedienendes Werkzeug, das eine Vielzahl von Informationen liefert, die in Ihrer Gesamtheit einen umfassenden Security-Blick erlauben! Diese Informationen gestatten es, auch den Blick unter die Wasserlinie zu werfen und zu verifizieren, ob der Eisberg noch sicher und tragfähig ist oder ob Schwachstellen existieren, um die man sich kümmern muss.

Cyberscan.io auf einen Blick
Name Cyberscan.io, (Produkt der Firma Deutsche Gesellschaft für Cybersicherheit mbH & Co. KG)
Webseite https://www.cyberscan.io/
Geschäftsform GmbH & Co. KG
Standort Schuby bei Schleswig
Gründungszeitpunkt 2015
Geschäftsführer Matthias Nehls
Anzahl Mitarbeiter 12
Security-Sparte Umfassender Schwachstellen-Scan für Domains, IP-Adressen.
Produkt Cyberscan.io
Innovation Hochgeschwindigkeitsanalyse von Vulnerabilities zur Selbstoptimierung des Betreibers und zur Kontrolle von Kunden, Dienstleistern bzgl. der Umsetzung.
Unternehmens-Blog http://www.cyberscan.io/blog
Investitionen möglich N/A
Startfinanzierung / Umsatz letztes Jahr N/A

(ID:45622748)

Über den Autor