Was sind die Beweggründe für Unternehmen, ethische Hacking-Dienste zu nutzen, und wer ist immer noch der stärkste Angriffsvektor? Ein Blick auf die Entwicklung der offensiven Sicherheit in der Tschechischen Republik und der Slowakei in den letzten 8 Jahren, seit Citadelo zum ersten Mal ein Handelsunternehmen wurde, wird viele Fragen aufwerfen, über die Sie nachdenken können, und Sie vielleicht sogar dazu veranlassen, zu handeln, bevor Sie entdecken, dass ein unerwünschter Besucher bereits in Ihrem Netzwerk operiert.
Wir haben Jakub Novák interviewt Jakub hat einen technischen Hintergrund, er absolvierte die Fakultät für Angewandte Informatik an der Slowakischen Technischen Universität in Bratislava und arbeitet seit mehr als 8 Jahren als Vertriebsleiter bei Citadelo in der Geschäftsentwicklung und verwaltet auch Portfolios von Kunden mit einem Umsatz von über 100 Millionen CZK in ganz Europa, aber vor allem in den Regionen Tschechien, Slowakei, Dach und in fast allen Segmenten, wie Banken- und Finanzsektor, Fintech und Startups, Industrie, Automobil, Gesundheitswesen, Telekommunikation, IoT usw.
In diesem Jahr ist es 8 Jahre her, dass ich als einer der ersten Verkäufer bei Citadelo angefangen habe. Der Anfang war wirklich herausfordernd für mich. Ich war vorher noch nie im Handel tätig gewesen und war ziemlich auf mich allein gestellt. Wenn ich jetzt darüber nachdenke, war und wird es immer ein großer Meilenstein für mich sein, weil ich mich damals grundsätzlich dazu entschlossen habe, meinen Fokus komplett zu ändern. Und das war der Sprung von einer eher technischen Person, einem Entwickler, in die Geschäftswelt, von der ich absolut nichts wusste. Ich denke, der Hauptgrund für mich war, dass ich mich persönlich in dem früheren Citadel-Verkäufer sah, der gerade im Begriff war, das Unternehmen zu verlassen. Ich habe mir damals einfach gesagt, dass ich es versuchen werde, und ich habe alles aufs Spiel gesetzt. Und seien wir ehrlich, ich wusste von Anfang an, dass ich nicht der Typ war, der es aushalten konnte, 8 Stunden am Tag auf einen Monitor zu schauen.
Penetrationstests und damit verbundene Dienstleistungen wurden damals (zwischen 2015-2016) nur von wenigen Unternehmen angeboten. Die Start-ups in diesem Bereich waren im Wesentlichen Finanzunternehmen und Unternehmen, die eng mit Finanzunternehmen zusammenarbeiteten. Dies sind ansonsten die Unternehmen, die diese Art von Dienstleistung bis heute weitgehend in Anspruch nehmen. Das bedeutet, dass ich in meinen Anfängen in der Welt der Cybersicherheit mit anderen Arten von Unternehmen zusammenarbeiten musste, womit ich einen völlig neuen Weg einschlug. Natürlich ein großes Lob an die Ausnahmen.
Allmählich, als Gesetze wie Cyberrecht, DSGVO, NIS usw. in Kraft traten, begannen Unternehmen aus anderen Branchen, uns mehr und mehr zu verstehen. Für mich ist das nicht der glücklichste Einstieg in dieses Thema, denn die Unternehmen kommen mehr oder weniger gezwungenermaßen, aber es ist ein wichtiger Schritt nach vorne. Mein Traum wäre es, dass Unternehmen und damit die Menschen, die diese Unternehmen leiten, sich proaktiv und präventiv mit Cybersicherheit befassen, damit sie ruhig schlafen und sich auf ihr Geschäft konzentrieren können. Wir sind jedoch noch nicht so weit.
Es gibt im Wesentlichen vier Hauptmotivationen, denen ich früher und heute begegne:
Natürlich möchte ich nicht alle in einen Topf werfen, in vielen Fällen kann es eine Kombination sein.
Ganz am Anfang stammten fast alle aktiven Unternehmen im Markt grundsätzlich aus den ersten beiden Kategorien. Am 1. Januar 2015 wurde der Cybersecurity Act geschaffen, und direkt danach im Jahr 2016 die NIS-Richtlinie. Diese trafen zuerst Banken, Finanzinstitute, die Energiewirtschaft, kritische Infrastrukturen und andere. Da begann sich der Spieß umzudrehen. Gleichzeitig begannen andere Unternehmen angesichts der rasanten Zunahme von Hackerangriffen zu erkennen, dass sie in der digitalen Welt Vermögenswerte zu schützen hatten, und dass ihr Verlust ihre Existenz direkt beeinträchtigen kann.
Entwicklung von getesteten Sektoren bei Citadelo
Es gibt ein wachsendes Interesse von Unternehmen, und das aus mehreren Gründen:
Der erste, über den ich mich unglaublich freue, ist die Eigeninitiative der Unternehmen. Mit der extremen Zunahme von Hackerangriffen ist für Unternehmen bereits klar, dass es nicht darum geht, ob, sondern wann sie ins Visier genommen werden. Daher möchten sie die Sichtweise eines ethischen Hackers auf ihre Infrastruktur, Anwendung oder das gesamte Unternehmen kennen, nur um sich selbst zu schützen, bevor die echten Black-Hat-Hacker ihre Aufmerksamkeit auf sie richten. Und das ist die richtige Entscheidung.
Wenn wir uns unsere Statistiken anschauen, die wir unseren großen Und exzellenten Marketingabteilung verdanken, führten wir im Jahr 2023 384 simulierte Angriffe durch und fanden 2.795 Schwachstellen. Das sind durchschnittlich 7 Schwachstellen pro Angriff, und das ist eine Menge. Für einen Hacker bedeutet dies, dass er 7 mehr oder weniger kritische Schwachstellen für seinen Erfolg zur Verfügung hat, die er aneinanderreihen kann, um dem Unternehmen enormen Schaden zuzufügen.
Gleichzeitig tritt die NIS2-Richtlinie in Kraft (Ende 2024), die andere Marktsegmente zur Durchführung offensiver Sicherheitstests verpflichtet. In der Tschechischen Republik und der Slowakei wird dies rund 10.000+ neue Unternehmen und insgesamt 19 Marktsegmente betreffen.
Dann gibt es DORA (gültig ab 17. Januar 2025), das unter anderem direkt umfassende Unternehmenstests wie den Threat Lead Penetration Test vorschreibt. Diese sind ähnlich wie unser Red Teaming, bei dem es sich um einen simulierten umfassenden Hackerangriff auf ein Unternehmen handelt.
Mit der europäischen NIS2-Richtlinie und dem neuen Gesetz zur Cybersicherheit, das die Tschechische Republik vorbereitet, findet dieses Thema bereits in Unternehmenskreisen definitiv Anklang.
Vollständigen Bericht herunterladen
Nach dem 17. Oktober 2024 müssen CISOs den Umfang des sogenannten Cybersicherheitsmanagements bewerten, Risiken identifizieren und innerhalb eines Jahres mit der Bewältigung dieser Risiken beginnen. Aus einer offensiven Sicherheitsperspektive stehen wir als Citadelo ganz am Anfang des Prozesses, indem wir CISOs dabei helfen, das Ausmaß der Schwachstellen in ihren Systemen durch Penetrationstests und Audits zu bestimmen und Vorschläge für Abhilfemaßnahmen zu machen.
Der Prozess für Unternehmen, die diese Verordnung neu eingeben, umfasst:
Die NCIB in der Tschechischen Republik führte beispielsweise eine Untersuchung bei realen Unternehmen durch und ermittelte einen durchschnittlichen Wert der umgesetzten Maßnahmen von 800.000 - 1,2 Millionen CZK pro Unternehmenssystem. Dies wird eine beträchtliche Menge an Geld sein, die Unternehmen für Cybersicherheit ausgeben müssen, und CISOs müssen diese Budgets heute festlegen und sich darauf vorbereiten, sie bald auszugeben.
Penetrationstests von Web- und mobilen Anwendungen, einschließlich Tests von APIs, bei denen Anwendungen mit Backends kommunizieren, und Infrastruktur (Perimeter vs. interne Infrastruktur). Es gibt auch eine wachsende Zahl von Anfragen für komplexe simulierte Red Teaming-Angriffe. Aktuelle Trends sind OSINT, Social Engineering (Phishing/Vishing/Smishing, physische Penetration, etc.) aber auch die Integration in LLM/AI.
Unsere internen Statistiken zeigen, dass das schwächste Glied für lange Zeit der menschliche Faktor war, ist und sein wird. Unsere langfristige Erfolgsquote von simulierten Hackerangriffen durch die Kombination von Vishing & Phishing liegt bei fast über 40 %, d.h. fast jedes zweite Opfer erliegt unseren simulierten Angriffen und lässt einen ethischen Hacker in die Unternehmensinfrastruktur eindringen. Dies ist ein alarmierender Zustand. Folglich kann dies eine anfällige Client-Anwendung oder ein Unternehmensperimeter sein.
Derzeit sind Social-Engineering-Angriffe mit KI und LLM bereits auf dem Vormarsch. Ein Beispiel ist ein kürzlich erfolgter Hackerangriff, bei dem der CFO einer bestimmten Bank in Hongkong durch eine Kombination aus Deepfake-Online-Meetings und Phishing ausgetrickst wurde. Der Angriff führte zu einem finanziellen Verlust von 25 Millionen US-Dollar.
Der Einsatz dieser Technologien verwischt für die Opfer fast die Unterscheidung zwischen Fiktion und Realität. Es ist daher mit einem Anstieg dieses Prozentsatzes zu rechnen.
Der Geschäftsbereich spielt keine Rolle. Wenn ein Hacker ein Unternehmen hacken möchte, wird er dies tun, indem er zuerst OSINT (Open Source Intelligence) darauf ausführt. Er erfährt, wer dort in welchen Positionen arbeitet, welche Informationen über das Unternehmen in öffentlichen und nicht-öffentlichen Quellen verfügbar sind, er erfährt die Gewohnheiten des Unternehmens und seiner Mitarbeiter und auch, ob es ein Datenleck aus dem Unternehmen gab, z. B. mit Passwörtern usw. Anhand der gefundenen Informationen orchestriert er den Angriff durch ausgewählte Opfer, also Personen in den für ihn interessanten Unternehmen. Oder er plant ein Spear-Phishing, das auf das gesamte Unternehmen abzielt.
In einem Unternehmen mit 100 Mitarbeitern hat er bei einer Erfolgsquote von 40 % die Möglichkeit, 40 Opfer dazu zu bringen, ihre Stationen zu kompromittieren und in das Unternehmensnetz einzudringen.
Wir arbeiten mit Kunden zusammen, um den Mitarbeitern regelmäßige und gründliche Sicherheitstrainings anzubieten, bei denen wir ihnen neben der Theorie selbst auch praktische Demonstrationen verschiedener Hacking-Techniken geben, damit sie diese dann so gut wie möglich identifizieren können. Und das kombinieren wir mit regelmäßigen Penetrationstests in Form von Social Engineering - Phishing / Vishing /Smishing-Kampagnen. Dies ist meiner Meinung nach derzeit der effektivste Weg, um diesen Prozentsatz relativ niedrig zu halten.
Mitarbeiter glauben oft, dass sie im Unternehmensumfeld besser geschützt sind und sich der Schritte nicht bewusst sind, die sie unternehmen, um aktiv einen einfachen Einstiegspunkt für Hacker in das Unternehmensnetzwerk zu schaffen, und sind sich der verheerenden Auswirkungen nicht vollständig bewusst. Dieses Wissen muss an sie weitergegeben und ihre Sensibilität regelmäßig getestet werden. Oder vielleicht sind sie sich dessen sogar bewusst, aber im heutigen enormen Arbeitslast steigt der Prozentsatz der Fehler, weil jeder jede Aufgabe so schnell wie möglich zur Zufriedenheit des Arbeitgebers lösen will.
Die Techniken zwischen Black-Hat- und White-Hat-Hackern sind genau die gleichen. Innerhalb von OSINT können wir viele Informationen für den Kunden herausfinden. Im Allgemeinen können wir herausfinden, was alles über ein Unternehmen für Black-Hat-Hacker im Internet und Darknets verfügbar ist und welche Karten sie bei einem möglichen Angriff auf einen Kunden spielen werden. Durch die Ermittlung dieser Daten erhält das Unternehmen einen Vorsprung, um sich vor einem möglichen Hackerangriff zu schützen.
Gebiete von Citadelo OSINT:
Es ist definitiv wichtig, das Unternehmen in Bezug auf die Tiefe seiner Expertise, d. h. Qualität im Allgemeinen, zu überprüfen. Ethisches Hacking ist eine komplexe Disziplin und es ist immer gut, nach einem Partner zu suchen, der Erfahrung mit seiner Komplexität hat. Das Fachwissen und die Erfahrung des Teams für ethisches Hacking sind in dieser Hinsicht absolut entscheidend. Das Sprichwort „Wenn zwei dasselbe tun, ist es nicht dasselbe.“ gilt in dieser Branche doppelt. Ich würde nach einem Unternehmen suchen, das ethisches Hacking als Kerngeschäft betreibt.
Veröffentlichte Informationen über Referenzen, gefundene Schwachstellen und CVEs oder ausgegebene Berichte, die Bestehensdauer in der Branche, die Anzahl ethischer Hacker, deren Technologiefokus und vieles mehr sind sehr gute Anhaltspunkte. Letztendlich würde ich empfehlen, sich mit dem ausgewählten Unternehmen zu treffen und seine Prozesse im Zusammenhang mit der Dienstleistung durchzugehen, da somit vielleicht nicht nur die Qualität, sondern auch die Kosteneffizienz gewährleistet ist.
Wenn wir Ihr Interesse geweckt haben, kontaktieren Sie uns noch heute, um den Black-Hat-Hackern einen Schritt voraus zu sein.
