Cyber Security : Pentests: Mit dieser Plattform sollen Securitychecks effizienter werden

Frauds, Leaks, Phishing-Attacken – Hacker-Angriffe auf den Mittelstand nehmen zu. Laut Branchenverband Bitkom liegt der Schaden der deutschen Wirtschaft bei über 220 Milliarden Euro, die Dunkelziffer ist wohl noch höher. Die Plattform Bugshell soll Pentests einfacher, transparenter und effizienter machen, um die Sicherheit in den Unternehmen zu erhöhen.

(Lesen Sie auch: Cybersicherheit: So werden Sie Hacker sicher los)

Die Pläne sind ambitioniert, aber für viele kleinere und mittlere Maschinenbauer interessant: Volker Haupt, Inko Lorch und Jakob Semmler von Bugshell aus Berlin wollen im ersten Schritt mit ihrem Unternehmen die Penetrationstests revolutionieren um im zweiten dann eine europaweite Cybersicherheitscommunity aufbauen.

„Wir versammeln Fähigkeiten auf der Plattform und wollen, dass sich Expertinnen und Experten untereinander austauschen können.“ Momentan arbeiten die drei Gründer aus Berlin am ersten Schritt. Seit einigen Monaten ist die Plattform aktiv und die Kunden nutzen sie. Die Berliner lösen ein großes Problem: Denn sie machen Pentesting sicherer und transparent, so das Versprechen. Die Plattform ermöglicht dem Maschinenbauer ein digitales Abbild des aktuellen Pentests. Der Maschinenbauer kann den Prozess des Testings zu jeder Zeit nachvollziehen.

Den Pentest mitverfolgen

„Nach dem Pentest warten viele Unternehmen oft mehrere Wochen auf das Ergebnis. Ein Kunde von uns wartete in der Vergangenheit fast drei Monate auf die Auswertung. Das geht gar nicht. Die Reports sind darüber hinaus meistens sehr kryptisch. Wir bereiten die Reports auf der Plattform für das Management und die Fachabteilung auf“, erklärt Semmler. Dazu kommt: Kritische Sicherheitslücken sollten sofort geschlossen werden, dann wenn sie gefunden wurden und nicht erst nach einem Report. Bugshell liefert dem Pentester ein modular aufgebautes Reportingtool mit. Das erleichtert ihm die „Papierarbeit“, erklären die Unternehmer. „Der Maschinenbauer und sein IT-Team können aber auch direkt in der Plattform das Testing beobachten und sofort Sicherheitslücken schließen und diese nochmal testen lassen“, versichert Semmler.

Die Pentester auf der Plattform sind von Bugshell überprüft worden. „Es gibt nicht den super Cybersicherheitsexperten, der alles kann. Viele Tester haben sich spezialisiert. Deshalb bieten wir eine Plattform und unterstützen den Maschinenbauer bei der Auswahl der Spezialistinnen und Spezialisten für ihr Securityprojekt. Wir arbeiten nur mit Testern aus Europa zusammen.“ Und die Berliner suchen auch neue Pentester. „Der Mittelstand ist längst in der Digitalisierung angekommen, doch das Thema IT-Sicherheit wurde oft zu kurz gedacht. Der Bedarf ist enorm und daher suchen wir weitere freie IT-Sicherheitsexperten für unser Core-Team sowie unsere Projektteams. Unser Ziel ist es, unseren Auftraggebern IT-Sicherheit nach den europäischen Standards anzubieten und auf der anderen Seite den umständlichen Prozess von Akquise bis hin zur Buchhaltung für selbstständige IT-Experten massiv zu verschlanken.“

Ein Core-Team aus erfahrenen Pentesting-Experten ist für die Bearbeitung von etwaigen Sicherheitslücken verantwortlich, unter deren Leitung wird ein Projektteam koordiniert und die Aufträge bearbeitet.

Alles in Europa

Wie lange die Daten der Penetrationstests auf dem Server von Bugshell liegen, entscheidet der Kunde. „Oft werden diese für die weitere Zusammenarbeit benötigt“, meint Semmler. Das hat den Hintergrund, dass Sicherheitslücken eventuell durch Updates wieder an Relevanz gewinnen und Kunden diese erneut testen lassen möchten. „Zudem ermöglicht dies eine langfristige Analyse und statistische Auswertung der Schwachstellen unserer Kunden“, ergänzt der Berliner. Das Unternehmen nutzt einen europäischen Serveranbieter – „ganz bewusst“, heißt es. Aktuell läuft die Plattform beim französischen Dienst „scaleway“.

Der erste Schritt ist gegangen. Die Gründer bauen aber noch einen Zwischenschritt ein: „Wir werden das Pishing-Angebot auf der Plattform erweitern. Viele Kunden fragen dazu gerade Kampagnen nach. Sie wollen ihre Sicherheit checken“, berichtet Semmler. Und dann kommt die europaweite Cybersecurityplattform.

(Lesen Sie auch: Cyber Security: Please change a running system - now!)