LocateRisk

Messbare IT-Sicherheit durch automatisiertes Monitoring von Drittparteien

Durch die komplexe Analyse von LocateRisk werden Cyber-Risiken messbar.© StartUpSecure ATHENE

Motivation

In Zeiten zunehmender Digitalisierung aller Arbeitsprozesse sollte IT-Sicherheit höchste Priorität in der Managementebene haben, denn die Digitalisierung birgt auch neue Gefahren. Um der Managementebene schnelle Handlungsempfehlungen geben zu können, muss das fachlich komplexe Thema übersichtlich und kompakt aufbereitet werden. Nur so können Gefährdungssituationen verstanden und die notwendigen Maßnahmen vom Management angewiesen werden. Möglich wird dies durch den Einsatz von Leistungskennzahlen, die bereits in anderen Sparten als Basis von Kommunikation und Planung Anwendung finden. Dieser Ansatz soll im Projekt LocateRisk auf die IT-Sicherheit übertragen werden.

Ziele und Vorgehen

Ziel des Vorhabens „Sicherheit durch Transparenz - Cyber Security Monitoring im Vendor Risk Management (LocateRisk)“ ist es, ein vom Startup eigens kreiertes Analysesystem zur Durchführung einer breit angelegten Studie der IT-Sicherheitssituation in Deutschland weiterzuentwickeln. Das Analysesystem wird dabei zu einer Plattform für die automatisierte digitale Durchführung der Studie ausgebaut. Damit ist es in der Lage, die IT-Sicherheitslage eines jeden zu untersuchenden Unternehmens ohne direkten Zugang zu Unternehmensnetzen zu ermitteln. Die Sicherheitsanalyse ist daher nicht-invasiv und bedarf keiner gesonderten Konfiguration für einzelne Unternehmen. Die gescannten Daten geben Aufschluss über von außen sichtbare Netzwerk- und Anwendungssicherheit, Verschlüsselungen, Konfiguration und Datenpannen. Damit kann die Analyse auch zur Sicherheit europäischer Dateninfrastrukturen wie GAIA-X beitragen. Als Ergebnis einer solchen Bewertung liegt neben einer detaillierten Handlungsempfehlung auch eine kennzahlenbasierte Auswertung vor. Im Rahmen des Projekts soll erforscht werden, wie diese Kennzahlen mit gefundenen Sicherheitslecks korrelieren. Um die Audit-Ergebnisse mit der internen Sicherheitssituation der Unternehmen abzugleichen, soll außerdem ein digitaler Fragebogen in die Analyse integriert werden.

Innovationen und Perspektiven

Die im Projekt LocateRisk entwickelte Sicherheitsanalyse soll Unternehmen eine kostengünstige, vollautomatisierte Alternative zu aufwändigen und teuren manuellen Sicherheitsaudits bieten. Die hochkomplexen Analysen werden in verständlichen und übersichtlichen Berichten zur Verfügung gestellt. In diesen finden Unternehmen auch Lösungsanleitungen für gefundene Schwachstellen. Durch das Aufzeigen von Handlungsbedarfen können Unternehmen proaktiv Ihre Sicherheitslage verbessern. Neben dem Monitoring des eigenen Unternehmens erlaubt die Lösung auch ein Monitoring der von außen verfügbaren Daten von Drittparteien wie beispielsweise externen Dienstleistern. Denn Angriffe können nicht nur über die unternehmenseigenen Netzwerke und IT-Systeme, sondern auch über den Umweg der Drittparteien kommen. Den Unternehmen bietet sich durch das System die Möglichkeit, die Wirksamkeit ihrer getroffenen Maßnahmen zu überprüfen und zu beobachten. Von einer solch günstigen und einfach zu bedienenden Sicherheitslösungen profitieren besonders kleine und mittlere Unternehmen, da diese oftmals über keine eigene IT-Sicherheitsabteilung verfügen und finanzielle Mittel für Sicherheitsaudits begrenzt sind. Das Projekt leistet damit einen wichtigen Beitrag zur Stärkung der IT-Sicherheit deutscher Unternehmen und europäischer Netzwerke.

Zuwendungsbescheid (PDF)