NIS2 treibt Nachfrage in Europa an Horizon3.ai verdoppelt Pentesting-Kapazitäten

Anbieter zum Thema

Horizon3.AI Europe GmbH

sysob IT-Distribution GmbH & Co. KG

FAST LTA GmbH

FTAPI Software GmbH

Die Cybersicherheitsspezialisten von Horizon3.ai haben nach eigenen Angaben ihre Kapazitäten für sogenannte Penetrationstests in Europa verdoppelt. Als Grund nennt das Unternehmen vor allem die steigende Nachfrage nach Pentesting vor der bevorstehenden Inkraftsetzung der NIS2-Verordnung.

„Vielen Unternehmen ist offenbar erst kurzfristig klargeworden, dass ein Penetrationstest der beste und vermutlich rechtlich einzige Weg ist, die Compliance zu NIS2 verbindlich nachzuweisen“, vermutet Dennis Weyel, International Technical Director mit Zuständigkeit für Europa von Horizon3.ai, aufgrund vieler Kundengespräche.

Die NIS-2-Richtlinie soll die Cyberresilienz in der EU stärken und ist als EU-Richtlinie bereits im Januar 2023 in Kraft getreten. Der Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie in Deutschland soll in Kürze von Bundestag und Bundesrat abgesegnet und schließlich im März 2025 umgesetzt werden. Es wird erwartet, dass insgesamt rund 30.000 als „Kritische Infrastrukturen“ (KRITIS) eingestufte deutsche Unternehmen zahlreicher Branchen schärferen Security-Pflichten nachkommen müssen.

Per Pentesting den Stand der Dinge prüfen

Horizon3.ai greift im Rahmen eines Penetrationstests Unternehmensnetzwerke gezielt an, um die jeweilige Cyberresilienz zu überprüfen. Mit NodeZero betreibt Horizon3.ai am Standort Frankfurt am Main eine der weltweit umfassenden Pentesting-Plattformen, die über Managed Service Provider (MSP) und Managed Security Service Provider (MSSP) zur Verfügung gestellt wird. Dank der erweiterten Kapazitäten lassen sich sowohl IT-Netzwerke in Unternehmen vor Ort als auch Konfigurationen gängiger Cloud-Umgebungen wie AWS oder Azure einer Prüfung unterziehen. Die Lösung „NodeZero Cloud Pentesting“ soll Firmen beim Auffinden und Beheben komplexer ausnutzbarer Schwachstellen und versteckter Angriffspfade in Cloud-Umgebungen unterstützen.

„In den meisten Unternehmen laufen Dutzende von Programmen, um Cyberattacken abzuwehren, und das ist auch gut so“, erklärt Weyel. Aber genauso notwendig sei es, mit Pentests regelmäßig zu überprüfen, wie gut diese Abwehrsoftware unterschiedlichen Angriffsszenarien tatsächlich standhalten. „Dieser Lackmustest für die Cyberresilienz wird von NIS2 zwingend eingefordert“, so der Experte.

Regelmäßige Tests empfohlen

Horizon3.ai hat sich nach eigenen Angaben bereits auf eine weitere Ausweitung der NodeZero-Kapazitäten vorbereitet. Überkapazitäten fürchtet das Unternehmen indes nicht, da es ohnehin zu regelmäßigen Penetrationstests rät: „Ein Test pro Monat ist angesichts von mehr als 2.000 neu aufgedeckten Softwareschwachstellen monatlich, von denen durchschnittlich etwa 15 Prozent als kritisch einzustufen sind, sicherlich nicht übertrieben“, ist sich Weyel sicher. Er selbst hält sogar einen Testlauf pro Woche angesichts des schnellen Auftauchens neuer Einfallstore für Cyberkriminelle für angebracht. Für die NodeZero-Nutzer hält sich der Aufwand der Pentests ohnehin in überschaubaren Grenzen: NodeZero führt alle Prüfungen autonom aus der Cloud aus.

„Jeder mittelständische Firma kann und sollte ihre Cyberresilienz mindestens so regelmäßig einem Penetrationstest unterziehen wie sie die Monatsmiete für die Büroräumlichkeiten begleicht“, rät der Fachmann. Denn die Folgen einer Vernachlässigung könnten gravierend sein: „Ohne Miete verliert die Firma ihre Bleibe als Grundlage für einen funktionierenden Geschäftsbetrieb, bei einem Cyberangriff steht ihre technische und organisatorische Funktionalität inklusive aller Betriebsabläufe, Datenbestände und Geschäftsgeheimnisse im Feuer. Hinzu kommt die persönliche Verantwortung bis hinauf zum Vorstand oder zur Geschäftsleitung nicht nur bei den staatlichen Stellen in Sachen NIS2-Compliance, sondern auch Anteilseignern, Geschäftspartnern und etwa bei einem Datendiebstahl Kunden gegenüber“, fasst Weyel die eher unerfreulichen Effekte eines erfolgreichen Cyberangriffs zusammen.

(ID:50209482)