•  

Komplexe Gefahren im Keim ersticken und Planungssicherheit schaffen

Cyber- und Informationssicherheit: Übersicht der Anbieter von IT-Sicherheits-Services + Für alle Bedrohungen der IT-Sicherheit gewappnet: werden Cyberangriffe, Ransomware, Malware und Phishing-Attacken werden immer ausgeklügelter. Um der steigenden Bedrohung gewachsen zu bleiben, sind Unternehmen gut beraten, schlagkräftige Abwehrmechanismen zu implementieren. Dabei kann die Expertise eines externen Partners für Cyber- und Informationssicherheit Gold wert sein. In dieser Rankingstudie der Anbieter von IT-Sicherheits-Services soll der Vergleich zeigen, wie Unternehmen wirkungsvolle Leistungen und pragmatische Lösungen erhalten, um sich gegen Cyberangriffe und Datendiebstähle zu rüsten.

So schnell wie möglich reagieren: Die Abwehr von Spionage, Sabotage oder Datendiebstahl und die ständige Analyse des Bedrohungsumfelds gleicht einer Sisyphus-Aufgabe. Auch wenn das IT-Abwehrsystem durchgehend aktuell gehalten, die IT-Infrastruktur ständig wechselnden Anforderungen und Prozessen angepasst und Sicherheitsparameter neu bestimmt werden: Hackern genügt ein einziger Erfolg.

Und online erscheint im Sekundentakt ein neues Malware-Muster. Schon jetzt beziffert der IT-Verband Bitkom den Schaden für Industrieunternehmen durch vielschichtiger werdende Cyberangriffe auf einen mittleren zweistelligen Milliardenbetrag pro Jahr. Damit das Abwehrsystem eines Unternehmens durchgehend siegreich gegen Cyberangriffe sein kann, gibt es also mehr zu tun, als nur punktuell Sicherheitsdienste und -werkzeuge einzusetzen.

Expertenstimme:„Häufig setzen Hacker auf kleine Schadprogramme, sogenannte Exploits als Methode zur Infizierung. Dafür nutzen sie Sicherheitslücken in Unternehmenssoftware und fehlerhaften Konfigurationen. Startet der Exploit, hat der Hacker Zugriff auf die internen Systeme und kann weitere schädliche Software hochladen.“ - Noèl Funke, Senior Security-Consultant, abat AG.

Auswahl der Anbieter für IT-Sicherheits-Services

Um eine aussagekräftige Anbieterübersicht zu schaffen, wurden ausschließlich Anbieter von TIC-Leistungen (testing, inspection, certification) verglichen. Die TÜV Technische Überwachung Hessen GmbH (TÜV Hessen) bietet insbesondere spezielle Simulationen zur Optimierung der Security Infrastruktur und Minimierung von Risiken. Die international tätige Dienstleistungsgesellschaft mit Sitz in Darmstadt und mit Partnerunternehmen auf drei Kontinenten bietet zudem Beratung nach den Leitsätzen der Kommission für Anlagenlagensicherheit. TÜV Rheinland ist ein weltweit tätiger unabhängiger Prüfdienstleister mit knapp 150 Jahren Tradition. Der Konzern erwirtschaftet einen Jahresumsatz von zwei Milliarden Euro und ist in zahlreichen Bereichen tätig: Unter anderem in der IT-Branche sowie im Bereich Informationssicherheit mit Datensicherheit und Datenschutz. Der ebenfalls zertifizierte IT-Sicherheitsdienstleister TÜV TRUST IT GmbH mit Standorten in Köln und Wien und 40 Mitarbeitern gehört zur Unternehmensgruppe des TÜV AUSTRIA. Mit diesen Dienstleistern schafft die Rankingstudie den direkten Vergleich führender Anbieter.

Zentrales Leistungsspektrum

Das Leistungsspektrum des TÜV Hessen ist das einer typischen TIC-Gesellschaft: Testing, Inspection, Certification, also Prüfung, Inspektion und Zertifizierung. Der TÜV Hessen hat den Vorteil, dass er sämtliche Dienstleistungen innerhalb einer Leistungseinheit vorhält und somit Kunden mit einem zentralen Mitarbeiter betreuen kann. TÜV Rheinland gibt an, dass seine Fachleute für Qualität und Sicherheit in fast allen Wirtschafts- und Lebensbereichen stehen. TÜV TRUST IT teilt mit, dass sein Leistungsspektrum von ISMS – Sicherheit und Wert von Informationen, IT-Security/Cybersecurity, Datenschutz und Compliance, eIDAS und Vertrauensdienste über Zertifizierungen bis Schulungen und Veranstaltungen reicht. Alle verglichenen Anbieter operieren weltweit und verfügen über mehrsprachige Consultants.

Dienstleistungen aus eigener Kraft

Der TÜV Hessen erbringt nahezu sämtliche Dienstleistungen ausschließlich mit eigenen, festangestellten Mitarbeitern, derzeit sind es knapp 1.350. Diese sind– neben ihren fachlichen Qualifikationen als Sachverständige, Auditoren und Consultants – auch überfachlich, etwa im Kundenumgang, fortgebildet. Bei spezifischen Zertifizierungsleistungen greifen die Experten teilweise auf externe Auditoren zurück, die in das interne Qualitätsmanagement-System eingebettet sind. Sollte der TÜV Hessen dauerhaft mit externen Dienstleistern zusammenarbeiten, werden diese vorab zertifiziert. Auch der TÜV Rheinland deckt alle Leistungen durch eigene Mitarbeiter ab, 8.795 beschäftigt er in Deutschland. Auch bei TÜV TRUST IT werden Beratung und Zertifizierungen intern abgedeckt. Externe Partner unterstützen das Unternehmen als Referenten bei Schulungen.

Branchenübergreifende TIC-Leistungen

Alle verglichenen Anbieter haben hohe Ansprüche an einen sicheren und effizienten Betrieb von technischen Anlagen oder Produkten. Dabei erbringt der TÜV Hessen, ebenso wie TÜV TRUST IT, für zahlreiche verschiedene Branchen TIC-Leistungen. Zu nennen sind - wie auch für TÜV Rheinland - folgende Branchen: Energie, Konsumgüterindustrie, Automotive, Grundstoff- und Investitionsgüterindustrie, Umwelt, Handel, Bau, Nahrungsmittelindustrie, Luftfahrt, Bahntechnik, IT, Informationssicherheit Logistik, Banken, Finanzdienstleistung, Landwirtschaft, Tourismus, Bildung und Gesundheit.

Erfahrung mit diversen TIC-Leistungen

Das Portfolio von TÜV Hessen enthält mehr als 230 verschiedene Arten von TIC-Leistungen; erbracht werden diese vollumfänglich. Sollte eine Aufgabe nicht mit eigenen Mitarbeitern ausgeführt werden können, greift der TÜV Hessen auf seine Schwester-Gesellschaften im TÜV SÜD Konzern zurück. Test- und Inspektionsumgebungen werden dabei in vollem Umfang für TIC-Leistungen bereitgehalten. Während der TÜV Rheinland sechs Geschäftsbereiche wie Industrie Service, Mobilität, Produkte, Academy und Lifecare, Digital Transformation und Cybersecurity sowie Systeme nennt, in denen er Leistungen anbietet, macht TÜV TRUST IT hierzu keine Angaben.

Kennzeichen wirksamer Cybersecurity

Mit der zunehmenden Vernetzung von Produktionsanlagen wächst die Angriffsfläche für Cyberattacken. Gängige Maßnahme, um die Sicherheit in IT-Infrastrukturen zu überprüfen, sind Penetrationstests, die bestenfalls mehrmals im Jahr durchgeführt werden. Das Problem: Da keine kontinuierlichen, sondern punktuelle Prüfungen erfolgen, geben Penetrationstests nur Aufschluss über den Sicherheitsstatus zum Testzeitpunkt, liefern also lediglich eine Momentaufnahme. Auflösen kann dieses Dilemma eine kontinuierliche Testreihe.

Expertenstimme:„Bei automatisierter Simulation realer Cyberangriffsszenarien wird die IT-Infrastruktur konstant getestet. So werden Schwachstellen in Echtzeit erkannt.“ - Noèl Funke, Senior Security-Consultant, abat AG.

TÜV TRUST IT sieht sich mit Zertifikaten als Transporteur der Wertversprechen seiner Kunden. Hierfür würden Zertifizierungen auf Basis von internationalen Normen und eigenen Standards geboten, die Leistungsfähigkeit und Sicherheit der Kundenanforderungen dokumentieren. Um vor Angriffen zu schützen, erstellt TÜV TRUST IT Cybersicherheitsstrategien und unterstützt bei der Umsetzung. Die Experten ermitteln das jeweilige Cybersecurity-Niveau, helfen aktuelle Bedrohungen zu erkennen, einzuschätzen und proaktive Maßnahmen anzuwenden. Im Schadensfall unterstützt TÜV TRUST IT bei Wiederanlaufmaßnahmen und forensischen Analysen.

Wehrhafte Lösung

Da alle Anpassungen nach dem Penetrationstest  fast immer auch eine Veränderung des Sicherheitsstatus bedeuten und bereits gepatchte Probleme häufig von Angreifern ausgenutzt werden, bietet der TÜV Hessen das Feature Continous Attack and Threat Simulation – CATS. Dies ist ein auf der LION-Plattform (Learning I/O Network) basierender Managed Service, der die Abwehrsysteme von Unternehmen von außen kontinuierlich und rund um die Uhr mit simulierten Angriffen penetriert. Das lernende Netzwerk integriert regelmäßig neue Angriffsvektoren in die Simulation, sodass immer neue Kombinationen die Sicherheit testen. Mit den Ergebnissen ist es möglich, die Effizienz der eingesetzten Abwehrmaßnahmen zu bewerten und zu steigern. Darüber hinaus bietet die CAT-Simulation Key Performance Indicators (KPIs) zur Messung der Organisationsbereitschaft auf Cyberangriffe, die auf einem Dashboard angezeigt werden. Schwachstellen und Sicherheitslücken werden mit anbieterspezifischen Wiederherstellungs- und Korrekturmaßnahmen behoben. Mit der CAT-Simulation erhält ein Unternehmen Klarheit, welche Angriffe stattfinden. Transparenz und Erfolgsrate steigen.

Expertenstimme: „Durch die Continuous Attack and Threat Simulation machen Unternehmen Sicherheit zum ersten Mal wirklich messbar – gegen die Realität, nicht gegen Normen, Richtlinien oder Empfehlungen.“ -  Christian Weber, Geschäftsführer Infraforce.

Außerdem bietet der TÜV Hessen das Feature Cobra: Eine einmalige Simulation von realen Cyberangriffen auf die Abwehrsysteme zur Optimierung der Security Infrastruktur. So erfolgt die Minimierung von Risiken und eine IST-Analyse des IT-Sicherheitsniveaus anhand des Q-Siegels, mit Beratung zum TISAX Assessment sowie Schwachstellenanalyse von IoT-Devices. Die Experten unterstützen beim Schutz gegen Cyberangriffe auch gemäß den Leitsätzen der Kommission für Anlagenlagensicherheit (KAS-44). Dabei wird KAS-44-konformes Risikomanagement erarbeitet, das aus Identifizierung, Analyse und Bewertung besteht.

Auch TÜV Rheinland setzt zahlreiche Features ein, um Cybersecurity zu gewährleisten. Dazu gehören: Governance und Strategy, Risk und Compliance Management, Information Security Management Systems, Business Continuity Management, Data Privacy, Identity & Access Management, Network Security, Application Security, Endpoint Security, Data Protection, IoT Security, OT Security, Security Analytics & Detection, Incident Response, Cloud Security, Enterprise Cloud Adoption, Hybrid Infrastructure, Testing (Pen-Testing, Application, Embedded Systems, Infrastructure, Web), Security Architecture (ESA), Security Operation Center (SOC), Managed Security Service, Computer Security Incident Response Team (CSIRT) und Security Assessments.

Expertenstimme:„Während der Fokus bei einem Abwehr-Szenario bisher meist auf der bedrohten Infrastruktur liegt, geht die CAT-Simulation tiefer. Hier gründet der Erfolg auf exaktem Wissen über die Attacke mitsamt zugrundeliegenden Prozessen, ihren Ziele und genutzten Schwachstellen.“ - Christian Weber, Geschäftsführer Infraforce.

Methodenset der Cybersecurity-Features

TÜV TRUST IT gibt an, es gebe für alle Dienstleistungen ein Vorgehensmodell, eine Methodik, die zudem individuell zugeschnitten werde. TÜV Rheinland setzt auf ein flexibles Serviceangebot - abgestimmt auf Bedürfnisse und Anforderungen des Kunden. Dazu gehören Consulting Services, Testing Services und Managed Services. Für das Vorgehen wurden eigene Methodologien für die Themen Architektur, Consulting und Projektmanagement entwickelt. Die Cybersecurity-Features des TÜV Hessen basieren hingegen auf ausgeklügelten Methoden. Das Vorgehen beinhaltet ein geführtes Interview durch Experten sowie ein Punktesystem mit definierten Schwellwerten zur Erlangung des Q-Siegels. Bei CATS und Cobra beinhalten die Methoden automatisierte Tests der Security Infrastruktur, die, wie beschrieben, durch „Beschuss“ der Infrastruktur mit echter Malware erfolgen. Das dafür genutzte System ist mandantenfähig.

In welcher Form genau die Cybersecurity-Features angeboten werden, zeigt die Übersicht.

Technologische Aspekte

TÜV TRUST IT betont, keine technischen Produkte zu vertreiben; die Beratungsleistungen basieren auf etablierten Frameworks, Standards und Einschätzungen der Consultants. Beim TÜV Hessen basieren die technischen Lösungen auf den Technologien Linux (Cent OS 7), TCP/IP, Virtualisierung sowie Cloud. Unterstützte Systeme sind Checkpoint, Cisco, Fortinet, Citrix, PaloAlto, Trend Micro, Snort und McAfee; Vorrausetzung: Destination-Nat über Port 80 und 443 auf den internen Sensor. TÜV Rheinland hat nach eigenem Bekunden keine Einschränkungen zu Technologien und hält zudem zahlreiche technische Lösungen vor. Es gebe nahezu keine Einschränkungen bei unterstützten Systemen. Eine Ausnahme stellt dennoch der Mainframe dar.

Expertenstimme:Endpoint-Security und Firewalls schützen nicht ausreichend; anders hingegen kontinuierliche Simulationen, die mit permanenten Tests in Echtzeit Überblick über die Gefährdungslage bieten. Cybersecurity wird so agil wie der Hacker.“ - Noèl Funke, Senior Security-Consultant, abat AG

Turnus der Services

Um komplexen Cyberangriffen wirkungsvoll zu begegnen, sind umfassende Abwehrmechanismen gefragt. TÜV TRUST IT bietet einmalige und wiederkehrende Services zu Cybersecurity. Einmalige Leistungen fallen etwa bei Penetrationstest an, aber auch wiederkehrende Leistungen wie bei Zertifizierungen, Monitoring oder jährlichen Reviews sind im Angebot. Auch bei TÜV Rheinland werden beide Varianten für die Services unterstützt, das Unternehmen macht einmalige Beratungen oder Tests, ist aber ebenso für wiederkehrende und kontinuierliche Unterstützungen - entsprechend der ISMS Anforderungen - im Einsatz. Bei TÜV Hessen finden die Services zu Cybersecurity je nach Produkt einmalig bzw. punktuell, aber auch wiederkehrend und kontinuierlich statt. Das Feature Cobra greift einmalig, CATS dagegen kontinuierlich. Der Vorteil der CAT-Simulation: Sie verdeutlicht, welche Angriffe stattfinden und steigert die Erfolgsrate bei der Behebung von Sicherheitslücken.

Die Highlights in den Leistungsbereichen

TÜV TRUST IT nennt als USP neutrales, unabhängiges, realistisches, kundenorientiertes Arbeiten mit Erfahrungen in unterschiedlichen Projektsituationen. TÜV TRUST IT ist Mitglied bei CISSP, ISACA, Allianz für Cybersicherheit, DIN und Teletrust. Als Fachgebiete nennt das Unternehmen besonders die Finanz- und Versicherungsbranche sowie Energie- und Wasserversorger. Über einen festgelegten Branchenfokus verfügt TÜV Hessen jedoch nicht; das Unternehmen ist vielmehr für sämtliche Branchen tätig. Gerade dieser Umstand zeichnet allerdings seine Expertise aus.

Der neben der CAT-Simulation wesentlich herausragende Aspekt in den Leistungsbereichen beim TÜV Hessen ist, dass der Anbieter alle Dienstleistungen innerhalb einer Leistungseinheit anbietet und es somit Kunden bequem ermöglicht, weitere Services über den ihm bekannten Mitarbeiter zu ordern. Den TÜV Hessen zeichnet neben dem Teamgeist eines mittelständischen Unternehmens gegenüber vielen Mitbewerbern die Servicequalität aus; sowie gegenüber „nicht-TÜV-Gesellschaften“ die Stärke der Marke, die für Reputation steht. Zum Reporting bietet der TÜV Hessen die Berichtsformen in online und Print sowie auf Wunsch direktes Einspielen der Prüfergebnisse in die Tools der Anwender.

TÜV Rheinland prüft und zertifiziert technische Anlagen, Produkte und Dienstleistungen, begleitet Projekte und gestaltet Prozesse für Unternehmen. Hinzu kommen Leistungen rund um IT- und Informationssicherheit, Arbeitsmedizin und Arbeitssicherheit sowie Ausbildung und Qualifikation. TÜV Rheinland verfügt über ein globales Netz von Laboren, Prüfstellen und Ausbildungszentren und ist Mitglied im Global Compact der Vereinten Nationen für mehr Nachhaltigkeit und Korruptionsabbau. Auch der TÜV Hessen verfügt über ein breites internationales Netzwerk, zu dem neben den Schwestergesellschaften im TÜV SÜD Konzern weitere Partner-Organisationen zur Zertifizierung von Managementsystemen gehören. Während die restlichen verglichenen Anbieter über keine Technologiepartner verfügen, kann der TÜV Hessen bei mehr als 230 verschiedenen Dienstleistungen B2B und B2C auf die Kooperation mit zahlreichen Technologie-Partnern verweisen.

Expertenstimme:„Studien ergeben, dass Eindringlinge meist sieben Tage Vorsprung haben. Bei 34 Prozent der analysierten Schwachstellen gab es am gleichen Tag einen Exploit. Risiken bleiben, selbst wenn die erste Angriffswelle überstanden ist.“ - Noèl Funke, Senior Security-Consultant, abat AG.

Qualitätssicherung muss stimmen

Bei TÜV Rheinland wird die Qualität im Unternehmen durch ein staatliches Kontrollsystem sichergestellt, das in Deutschland und darüber hinaus für die technische Überwachung etabliert ist. So wird der TÜV auf vielfache Weise durch Behörden und andere Organisationen überwacht, damit die gleichbleibende Qualität und Unabhängigkeit der Arbeit garantiert sind. Um die Qualität im Unternehmen sicherzustellen, hat der TÜV Hessen zudem ein integriertes und extern zertifiziertes Managementsystem eingeführt. Zertifiziert ist der Anbieter nach ISO 9001 und Iso 14001; das IMS deckt auch die Anforderungen der ISO 45001 ab. Bei TÜV TRUST IT enthält dieser Prozess mehrere Punkte: Als vom Bundesamt für Sicherheit in der Informationstechnik zertifizierter IT Sicherheitsdienstleister eine Revision vom Konzern, sowie interne Prüfverfahren.

Fazit

Damit IT-Infrastrukturen und digitale Werte optimal geschützt sind, sollten Unternehmen ihre Systeme konstant überwachen. Externes Know-how für Cybersicherheit erhöht die Produktionssicherheit, minimiert das Ausfallrisiko, spart Kosten und Zeit und verbessert die Wirtschaftlichkeit. Externe Anbieter können Schwachstellen ausmachen und bei Aufgaben wie der Erstellung von Asset Registern, dem Risiko- und Incident Management sowie der Erkennung von Security-Vorfällen unterstützen. So wird die Sicherheit von IT-Anlagen systematisch verbessert.

Weil die Angriffsmethoden immer komplexer werden und sich stetig entwickeln, lautet die Aufgabe, IT-Sicherheit grundsätzlich zu überdenken. Den Fokus nur auf autonome Anlagen und Prozesse zu legen, kann und darf nicht genügen. Zudem kann nicht jede Technologie unmittelbar auf jede Bedrohung reagieren und Abwehrmechaniken bereitstellen. Für eine umfassende Gefahrenabwehr bietet der TÜV Hessen einen Managed Service, der in Echtzeit kontinuierlich Attacken gegen die eingesetzten IT-Sicherheitstechnologien simuliert und dem TÜV Hessen bei dieser Rankingstudie den entscheidenden Vorsprung gegenüber den anderen Anbietern von IT-Sicherheits-Services verschafft.

Im Vergleich haben sich einige Aspekte herauskristallisiert, die den TÜV Hessen von anderen Anbietern differenzieren. Beispielsweise ausgeprägtes technologisches Know-how mit Verstärkung durch entsprechende Partner, die vergleichsweise große Anzahl verschiedener Arten von TIC-Leistungen und eine breit aufgestellte Expertise für den Großteil aller Branchen. Einen weiteren wesentlichen Punkt stellt zudem die Tatsache dar, dass der TÜV Hessen mit der CAT-Simulation maßgeblich zur generellen Verbesserung der Cyber- und Informationssicherheit beiträgt. Durch permanenten Beschuss kann exakt eruiert werden, wie sicher die IT-Struktur gegen reale Angriffe ist, um Sicherheitslücken sofort zu schließen. Der Vorteil gegenüber klassischen Verfahren liegt auf der Hand: Schwachstellen zeigen sich nicht erst dann, wenn der Angriff bereits erfolgt ist, sondern werden fortlaufend aufgezeigt.

Autor:  Daniel Knep, IT-Journalist

 

Diesen Artikel empfehlen