CyberCompare Marktkommentar #35: AI Pen Tests u. ISO27001 Audits

Marktkommentar /
Hallo zusammen,

zufällige Beobachtung aus dem Geschäftsleben: Schweden sind immer (immer!) so angenehm, freundlich und sympathisch im Umgang, dass man sich verpflichtet fühlt, bei jedem Projekt ausnahmslos die allerletzte Extrameile und dann noch ein paar Meter mehr zu gehen. Selbst wenn der Business Case schon längst tiefrot ist. Und das mit einem guten Gefühl dabei. Gilt genauso für Leute aus Kanada. Wahrscheinlich sind die irgendwie verwandt, würde auch erklären, warum die alle so gut Englisch können. Ich schätze, min. 30% des Bruttosozialprodukts von beiden Ländern ist auf diese Reziprozitäts-Superheldenkraft zurückzuführen.

Von kalten Ländern mit warmherzigen Menschen hin zu einem heißen Markt: Automatisierte Pen Tests.
  • In einer Studie von Stanford und Carnegie Mellon (Pen Test auf 8000 Endpunkten und > 10 Subnetzen) haben sich die KI Agenten besser geschlagen als 90% der menschlichen OSCP-zertifizierten Pen Tester
  • Kevin Mandia (Gründer von Mandiant) hat eine neue Company für KI basiertes Red Teaming aus der Taufe gehoben: Armadin (vorheriger Name: Ballistic AI). 160 Mio. USD Funding
  • 50 Mio. bekommt Novee aus Israel, ebenso ein Startup für autonome Pen Tests. Marktbegleiter XBOW hat inzwischen 75 Mio. eingesammelt
  • Sergej Epp (CISO Sysdig, vormals CISO bei PAN) argumentiert, dass das Training von KI bei Offensive Sec Aufgaben einfacher ist, als auf der Blue Team Seite: Erfolge von Zwischenschritten lassen sich leicht verifizieren (Login mit gestohlenen Credentials erfolgreich? Shell geöffnet? Exploit ohne Fehler ausgeführt?). Beim Training zur Angriffserkennung wird hingegen naturgemäß ein höherer Anteil an Falschpositiven oder Alarmen untersucht, bei denen sich nicht zweifelsfrei ein Urteil bilden lässt („inconclusive“) => Pen Tests eignen sich also gut für den Einsatz von KI

  • Ich bin noch hin- und hergerissen zwischen der Begeisterung über die technischen Möglichkeiten und dem Zweifel daran, dass die o.g. Unternehmen jemals die Kapitalkosten des millionenschweren Fundings erwirtschaften werden:
    • Neben den ganzen etablierten Wettbewerbern auf dem Feld (Pentera, Horizon3, Hadrian…) gibt es zehntausende von menschlichen Pen Testern in Indien, Rumänien etc., die keine Verzinsung der Kapitalgeber erwirtschaften müssen. Weil es kein Kapital in der Firma gibt. Und diese Freelancer oder Boutiquen können deshalb trotz höherem manuellen Aufwand noch lange zu ähnlichen Kosten anbieten
    • Analogie: Viele Fabriken in Niedriglohnländern sind bis heute wenig automatisiert (obwohl die Technik dafür seit Jahrzehnten existieren würde), weil es sich eben nicht lohnt
    • Der Betrieb von KI verursacht zudem auch variable Kosten (Sansec hat in einem Versuch z.B. ca. 30 EUR an Claude Inferenzkosten pro Exploit ermittelt). Die Aktionäre von Nvidia, Google, Anthropic etc. wollen schließlich auch bezahlt werden
    • Gleichzeitig steigt der Bedarf an SW-Tests natürlich auf absehbare Zeit exponentiell. KPI hierzu: Die Einreichungen für neue Apps bei Apple ist letztes Jahr um 60% gestiegen, getrieben durch Vibe Coding



Notizen aus einer ISO27001 Lead Auditor Schulung (übrigens extrem diverse Gruppe, wir waren 7 weiße Männer, zwei von uns waren verheiratet und ein anderer hatte lange Haare):
  • Jeder kennt die Fälle, in denen Unternehmen den Scope auf ein Minimum beschränken (z.B. den Betrieb der Hundehütte in Timbuktu), um ein ISO 27001 Zertifikat zu erhalten, und damit dann ahnungslose Einkäufer zu beeindrucken
  • Diese Art von Irreführung nimmt zu. Daneben aber auch

    • schlicht gefälschte Zertifikate oder
    • Zertifikate von nicht akkreditierten Beratungsunternehmen. Denn im Prinzip kann ja jeder ein ISO27001 Zertifikat ausstellen. Und gerade bei kleineren Kundenunternehmen fehlen die Kapazitäten, die Belastbarkeit einer Zertifizierung von Lieferanten zu hinterfragen



  • Ein ISO27001 Zertifikat ist im Vergleich zur ISO 9001 oder 14001 ein teures Vergnügen:

    • Der vorgeschriebene Auditaufwand (der natürlich auch normiert ist, und zwar in der ISO 27006) ist nämlich fast doppelt so hoch
    • Selbst für eine Würstchenbude mit 2 MA sind für eine Erstzertifizierung 5 Auditortage für die Wirksamkeitsprüfung vorgeschrieben, bei 200 MA sind es schon 14 Auditortage.  Davor kommt noch die Dokumentenprüfung und danach der Bericht dazu => Unter 10 TEUR ist der Zettel selbst in der kleinsten Ausbaustufe kaum zu haben.
    • Und das, obwohl die Tagessätze, gerade im Verhältnis zu den knackig vollgepackten Audittagen, erstaunlich niedrig sind: ~1.200 EUR ist normal
    • Ungefähr die Hälfte der Auditoren sind übrigens Freelancer im Unterauftrag der akkreditierten Zertifizierungsgesellschaft und erhalten ca. 700 EUR/Audittag
    • Ein Grund für die niedrigen Tagessätze: Kunden können sich auch von im EU-Ausland akkreditierten Prüfungsgesellschaften auditieren lassen – deutsche Kunden können also z.B. auch auf den TÜV Austria oder der Österreichischen Computergesellschaft zurückgreifen



  • Zertifikatsentzug ist in der Praxis extrem selten („noch nie erlebt“).

    • Bei einer Hauptabweichung hat die auditierte Organisation 3 Monate Zeit, eine Lösung zu präsentieren (in den meisten Fällen ist eine Risikoanalyse ausreichend zur Heilung). Erstzertifizierungen sind i.A. besonders wohlwollend.
    • Ausnahme: Die DAkkS hat gem. Zertifizierungsvertrag das Recht, an Audits teilzunehmen („Witness-Audits“) – Kunden haben kein Einspruchsrecht, auch wenn diese Audits naturgemäß deutlich formaler und anspruchsvoller ablaufen, als ohne Supervision durch die DAkkS


  • ISO27001 Audits müssen immer noch zu min. 70% vor Ort durchgeführt werden, auch wenn das geprüfte Unternehmen keine eigene IT hat

  • Die Besetzung der Rollen von IT Leiter und ISB/CISO mit der gleichen Person ist gem. ISO konform mit der Anforderung „Segregation of Duties“, sofern eine Risikoanalyse für mögliche Rollenkonflikte durchgeführt wurde

  • Es gibt immer noch keine Falldatenbank mit anonymisierter Situationsbeschreibung, anerkannten / nicht anerkannten Nachweisen und Beurteilungen, die für das Training einer KI oder für die systematische Kalibrierung von Auditoren genutzt werden könnte. Noch nicht mal die Frage, wieviele Nebenabweichungen zu einer Hauptabweichung führen, ist definiert oder anhand von „Case Law“ eingegrenzt. Stattdessen nehmen Auditoren an jährlichen Fallbesprechungen teil und es gibt im Konfliktfall Beschwerde- bzw. Einspruchsmöglichkeiten.

  • Außerdem gibt es auch immer noch keine Sammlung von Best Practices zur effektiven + effizienten Umsetzung von bestimmten Anforderungen

  • Schwierig, trotz geforderter Unparteilichkeit der Prüfungsstellen langfristig eine inflationäre Aufweichung der tatsächlichen Beurteilungspraxis zu vermeiden. Insofern ist durchaus verständlich, dass das BSI mit dem IT Grundschutz viel konkretere Forderungen stellt

  • Insgesamt wirkt das auf mich wie eine etwas aus der Zeit gefallene Methodik


M&A:
  • Aikido (Alles rund um Security für Entwickler – und alles KI basiert, aus Belgien) erreicht Unicornstatus – schneller als bisher jedes andere europäische Cybersec-Startup
  • Upwind (Cloud Security) erhält nochmal 250 Mio. USD
  • Claroty besorgt sich eine weitere 200 Mio. Finanzierungsspritze @ kolportierter 3 Mrd. Bewertung – bestätigt die Aussage des Nozomi CEOs, dass OT NIDS Anbieter flächendeckend unprofitabel sind
  • Lebt noch jemand, dem der Name RSA etwas sagt? Auch hier stecken Kreditgeber nochmal ~130 Mio. hinein, vermutlich um irgendwas mit KI zu entwickeln

 

Vendor Briefings, heute mal exklusiv mit Firmen, die mit „Cy“ anfangen:

CyberDesk:
  • Deutsches Startup mit klarem Fokus auf Zugriffsrechtevisualisierung und -verwaltung („Identity Visibility + Intelligence Platform“ oder „Data Governance“ gem. Gartner). Haben auch schon größere Konzerne als Kunden
  • Die Lösung bietet einen Überblick dazu, welche Accounts (menschlich/maschinell) welche Zugriffsrechte (Create, Write, Read…) auf welche Ressourcen haben. Ähnliche Darstellung wie der Authorization Graph von Veza (jetzt ServiceNow)
  • Dazu werden IAM-Systeme und CMDBs / Asset-Inventare angebunden
  • Zugriffsrechte können dann über Tickets oder die Anbindung an IGA direkt angepasst werden, wo notwendig
  • Bei älteren on prem Systemen stößt das natürlich an Grenzen, funktioniert aber bei SaaS/IaaS sehr gut. OT bisher nicht abgedeckt, soll aber noch kommen
  • SaaS oder on prem Deployment möglich
  • Hausnummer für Lizenzkosten von ~10 EUR/Jahr und MA

Cysmo:
  • Exposure Management über Outside In Scans, 100% Tochter der PPI AG aus Hamburg. Name soll an Seismograph erinnern
  • Arbeiten für ca. 50 Cyberversicherungen und -Makler, jährlich 2-3 Mio. Scans im Kundenauftrag, und das mit nur 25 MA
  • Alles in D entwickelt und in eigenen RZ betrieben
  • Fokus liegt darauf, möglichst geringe Falsch-Positive zu melden (bedeutet natürlich höheres Risiko, DNS/Mail Fehlkonfigurationen oder offene Ports o.ä. Befunde überhaupt nicht zu melden)
  • Wollen jetzt das direkte Geschäft mit Kunden weiter ausbauen, auch im Hinblick auf Supply Chain Risk Management im Rahmen DORA
  • Allerdings bisher nicht als PCI SSC Approved Scanning Solution zertifiziert, kommt evtl. noch
  • Kleinstes Paket (5 Unternehmen) für ~1.500 EUR/a. Unlimitierte Scans bei Lizenzierung, funktioniert auch kontinuierlich mit Alerting
  • Anfragen von Managed Security Partnern / Resellern auch gerne

 

CyberVadis (Update):
  • Französischer MSSP für Third Party Cyber Risk Management. Ursprünglich mal Spin-Off von EcoVadis (das Gleiche für ESG-Risiken)
  • Basierend auf Fragebögen (gemapped auf DORA, NIS-2, ISO…), Nachweisen und Workflows (z.B. Prüfung, Eskalation, Risk Acceptance, Maßnahmennachverfolgung)
  • Eigene Plattform, bei der Lieferanten standardisiert Informationen + Nachweise hinterlegen und damit für mehrere Kunden gleichzeitig abrufbar machen können (ähnlich Panorays etc.)
  • Lieferanten können die Assessments natürlich als externe Audits verbuchen und bekommen qualifizierte Hilfestellung bei der Maßnahmenplanung, gerade bei mittelgroßen Unternehmen ein Vorteil
  • Rückmeldungen durch Lieferanten und Beratung können auf Deutsch erfolgen
  • Knapp 100 Unternehmenskunden (viele natürlich DORA reguliert) und ~5000 geprüfte Lieferanten
  • Weiteres Wachstum über NIS-2 erwartet, Skalierung über KI-gestützte Auswertung der Fragebögen auch gut vorstellbar
  • Kosten werden i.A. auf Kunden und geprüfte Lieferanten verteilt
  • Sind noch auf der Suche nach Consulting-/Channelpartnern (z.B. für Priorisierung von Lieferanten mit hohem Risiko) im DACH Raum – bei Interesse gerne melden

 

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

 

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder im Archiv umsehen.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen