Automatisierte Security Audits Automatisierung ist die einzige Lösung für die Security

Von Ira Zahorsky

Kleinere IT-Dienstleister können umfangreiche Security Audits kaum stemmen, kleine Kunden können sie nicht bezahlen. Die Software von Lywand automatisiert die Analyse. Das macht sie für Dienstleister jeder Größe interessant.

Anbieter zum Thema

Mit einem Security Audit sind unglaublich viele Tasks verbunden. Automatisierung kann die Arbeit von IT-Dienstleistern erleichtern.
Mit einem Security Audit sind unglaublich viele Tasks verbunden. Automatisierung kann die Arbeit von IT-Dienstleistern erleichtern.
(Bild: Rafal Olechowski - stock.adobe.com)

Konventionelle Security Audits sind teuer, selten tagesaktuell und meist landen die umfangreichen Berichte in der Schublade eines Geschäftsführers, Controllers oder CFOs. Maßnahmen gegen gefundene Sicherheitslücken werden selten, zu spät oder gar nicht vorgenommen.

Ein Paradies für Cyberkriminelle. Denn während diese ihre Techniken täglich ausbauen und verfeinern, bleibt die Sicherheitsstrategie gerade kleiner und mittelgroßer Unternehmen mangels zeitlicher, finanzieller oder personeller Ressourcen auf der Strecke.

„Wir haben die Erfahrung gemacht, dass große Reports oft nicht gelesen werden, weil meistens die Leute, die diese Reports bekommen, keine Cybersecurity-Experten oder Fachleute sind“, erläutert Tom Haak, CEO bei Lywand. „Cybersecurity ist ein extrem umfassendes Feld. Das kann jemand, der zum Beispiel ursprünglich aus einer anderen Ausbildungsrichtung stammt, kaum vollständig durchdringen.“ Reports müssen verstanden und Expertentools manuell auf den jeweiligen Kunden eingestellt werden. „Die manuelle Arbeit ist enorm. Am Ende hat man einen Output, den wenige verstehen und Maßnahmen sind erstmals keine vorgesehen, denn die muss der Dienstleister selbst planen.“

Security Audit

Ein Security Audit in der IT umfasst Maßnahmen zur Risiko- und Schwachstellenanalyse eines IT-Systems oder Computerprogramms. Sicherheitsaudits finden meist im Rahmen eines Qualitätsmanagements statt. Nach einer Bestandsaufnahme finden die jeweiligen Tests statt. Auf diese folgt die Bewertung des Schutzbedarfs sowie eine Auswahl von Maßnahmen, die in einem Maßnahmenkatalog festgehalten werden.
Regelmäßige IT-Sicherheitsaudits bilden einen unentbehrlichen Teil des deutschen IT-Grundschutzes. International sind die Management-Standards für IT-Sicherheitsaudits in der Norm ISO/IEC 27001 der ISO (Internationale Organisation für Normung) festgelegt.
Bestandteile eines manuellen Security Audits sind u.a.:
- die Befragung der Belegschaft (Stichwort: Social Engineering)
- Security Scans mittels Portscanner und Vulnerability-Assessment-Produkten
- die Überprüfung der Zugangskontrolle bei Anwendungen und Betriebssystemen
- die Analyse des physikalischen Zugangs zum System
- Penetrationstests

Rundum-Paket für Dienstleister und Kunde

Die automatisierten Security Audits von Lywand schaffen hier in mehrerer Hinsicht Abhilfe. Die Software scannt wöchentlich auf externe Gefahren und ist durch die große Datenbank, die derzeit rund 112.000 Schwachstellen erkennt, immer auf dem aktuellen Stand. Anschließend filtert sie automatisch aus den umfangreichen Daten die für den Kunden essenziellen Ergebnisse heraus. Diese werden in einem zweiseitigen, übersichtlichen und auch für Laien verständlichen Management-Report zusammengefasst. Im MSSP-Modell kann man sich den Report monatlich zuschicken lassen.

Tom Haak, Co-Founder und CEO bei Lywand
Tom Haak, Co-Founder und CEO bei Lywand
(Bild: Lywand)

Zusätzlich werden Maßnahmen zur Behebung der Sicherheitsrisiken empfohlen und – das ist Haak sehr wichtig: „Wenn der IT-Dienstleister die Maßnahmen umgesetzt hat, überprüfen wir, ob die Maßnahmen gegriffen haben.“ Wie praktisch das ist, konnten die Partner zum Beispiel bei der Log4J-Sicherheitslücke feststellen. Während andere Dienstleister entweder gar nicht wussten, ob ihre Kunden betroffen sind, oder gar von den Kunden darauf angesprochen wurden, was denn nun zu tun sei, konnten die Lywand-Partner innerhalb einer Woche sagen, wer betroffen ist und welche Maßnahmen ergriffen werden müssen.

Nicht nur eine Lizenz

Im vergangenen dreiviertel Jahr haben die Österreicher, die bislang exklusiv über den Distributor Nuvias vertreiben, die Zahl der Vertriebspartner von 15 auf 41 mehr als verdoppelt. Darunter sind nicht nur, wie ursprünglich anvisiert, kleinere und mittelgroße IT-Dienstleister. Auch größere Partner setzen inzwischen die automatisierte Security-Audit-Lösung ein. „Große IT-Dienstleister haben zwar eine Reihe von Cybersecurity-Experten, können aber nur 10 oder 15 Prozent ihrer Bestandskunden bedienen. 85 Prozent adressieren sie nicht, weil diese das nicht bezahlen können oder die Ressourcen an Cybersecurity-Experten nicht ausreichen für 100 Prozent“, resümiert Haak. Die 85 Prozent können durch das Lywand-Automatisierungstool abgedeckt werden. „Mit Automatisierung können sie das bewältigen, wofür ihre Ressourcen bislang zu knapp waren“, ist Haak überzeugt.

Unsere Partner sehen uns als Vertriebstool.

Tom Haak, CEO bei Lywand

„Unsere Partner sehen uns nicht als Software-Lizenz, die sie als Subscription verkaufen, sondern als Vertriebstool“, freut sich Haak über den Mehrwert, den die Dienstleister mit Hilfe der Lywand-Software generieren können. Denn der Partner spart sich nicht nur Zeit und personelle Ressourcen. Aufgrund der vorgeschlagenen „nicht nur kosmetischen, sondern essenziellen Maßnahmen“ kann er dem Kunden explizit sagen, welche „seiner Türen offen stehen“ und was das Schließen kostet. So kann Zusatzgeschäft in Form von Hardwareverkauf oder durch weitere Services generiert werden. „Die Partner bauen ein Vertriebskonzept um uns herum, ohne dass wir sichtbar sind.“

Ausblick

Da die meisten Schwachstellen interner Natur sind, weitet Lywand derzeit die externen Scans auf interne aus. Mit fünf IT-Dienstleistern läuft gerade die Beta-Phase. Dabei werden Agenten auf die Endpoints ausgelegt und mit der gleichen Methodik wie beim externen Scan auch der interne abgedeckt, erklärt Haak. Dabei werden zunächst unter anderem Schwachstellen und Konfigurationseinstellungen überprüft sowie Berechtigungen abgefragt. In einer zweiten Stufe soll das Tool auch Umgebungen der einzelnen Agenten scannen, also beispielsweise Shadow IT finden, das Active Directory überprüfen und die Server Logs auswerten. Im Juli soll die Erweiterung für den internen Scan fertig sein.

Bei der Partneranzahl hat sich Lywand die 100 für dieses Jahr als Ziel gesetzt: „Wir sind auf einem guten Weg dazu“, ist Haak optimistisch.

Newsletter

Ihre täglichen News aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48261562)