Cyberrisiken werden messbar

Darmstadt, 5. August 2020 - Seit Juli wird das Projektvorhaben LocateRisk von Lukas Baumann und seinem Team mit einem Gesamtvolumen von rund 0,73 Millionen Euro durch das Förderprogramm StartUpSecure des BMBF unterstützt. Das bereits gegründete Startup möchte im Projektvorhaben sein Analysesystem zur Einschätzung eines Angriffsrisikos auf Unternehmen weiterentwickeln und gerade kleinen und mittelständischen Unternehmen eine benutzerfreundliche und kostengünstige Alternative zu aufwändigen und teuren manuellen Sicherheitsaudits bieten. Im innovativen Projektvorhaben werden aber nicht nur die Sicherheitsrisiken des eigenen Unternehmens abgebildet, sondern erstmals auch ein Monitoring der verfügbaren Daten von Drittparteien wie beispielsweise externen Dienstleistern oder Geschäftspartnern zur Verfügung gestellt. „IT-Sicherheit ist ein wichtiges Thema und wird immer noch von vielen Unternehmen aus verschiedenen Gründen vernachlässigt. Mit unserer Lösung möchten wir vor allem das Management für das Thema Cybersicherheit sensibilisieren. Dafür bereiten wir unsere komplexen Analysen einfach und verständlich auf und machen auch auf die zunehmenden Gefahren aufmerksam, die durch Schnittstellen mit Drittparteien entstehen können“, erklärt der IT-Sicherheitsexperte Lukas Baumann seine Motivation. Mit Hilfe der Unterstützung des Förderprogramms in der Förderphase II möchte das Team nun den Transfer in die Wirtschaft beschleunigen und weitere Neueinstellungen vornehmen. Für eine erfolgreiche Marktdurchdringung fehlt es derzeit noch an personellen Kapazitäten und fundiertem Know-how einer Strategie zur Markteinführung, die langfristig auch auf den europäischen Markt abzielen soll. Das Team des gleichnamigen Gründungs­inkubators StartUpSecure | ATHENE, ansässig am Fraunhofer-Institut für Sichere Informations­technologie SIT und an der Technischen Universität Darmstadt, hat bei der Antragstellung mit technischen und wirtschaftswissen­schaft­lichen Fachwissen intensiv unterstützt und beraten.

Cyberrisiken werden mess- und vergleichbar
Die innovative IT-Sicherheitslösung ermöglicht es, Cyberrisiken mess- und vergleichbar zu machen. LocateRisk scannt dafür den digitalen Fußabdruck eines Unternehmens und schätzt aus Sicht eines externen Angreifers das Cyberrisiko des betreffenden Unternehmens ein. Dabei realisiert LocateRisk erstmals neben dem Monitoring des eigenen Unternehmens (First Party Monitoring) auch ein Monitoring von Drittparteien (Third Party Monitoring). Denn eine Vielzahl der Angriffe erfolgt über Schwachstellen in der IT von Dritten wie beispielsweise Geschäftspartnern oder externen Dienstleistern. Die hochkomplexen Analysen werden im nächsten Schritt in einer einfachen Übersicht als Dashboard und anhand von leicht verständlichen Berichten abgebildet. Der interaktive Report versetzt damit auch Mitarbeitende ohne IT-Kenntnisse in die Lage, eine Einschätzung der sichtbaren Schwachstellen und Risiken vorzunehmen. Eine weitere Funktion gibt für die IT-Abteilung Handlungsempfehlungen, um mögliche Lücken zu schließen. Damit können gerade auch kleine und mittelständische Unternehmen proaktiv Ihre Sicherheitslage verbessern und die Wirksamkeit ihrer getroffenen Maßnahmen überprüfen und beobachten.

Sicherheitsanalyse ist nicht-invasiv und bedarf keiner gesonderten Konfiguration
LocateRisk scannt die IT-Netze und -Systeme der Unternehmen sowie der Drittparteien von außen mit Hilfe einer automatisierten Open Source Intelligence. Die notwendigen Daten für die Analyse sind öffentlich im Netz verfügbar. Damit erfolgt die IT-Sicherheitsanalyse konfigurationsfrei und es bedarf keinen Zugang auf Unternehmensnetzwerke. Die gescannten Daten geben Aufschluss über von außen sichtbare Netzwerk- und Anwendungssicherheit, Verschlüsselungen und Datenpannen. Die Lösung von LocateRisk integriert zudem ein Vendor Risk Management.

Für die Zukunft hat sich LocateRisk die Weiterentwicklung des Analysesystems zur Durchführung einer breit angelegten Studie der IT-Sicherheitssituation in Deutschland vorgenommen. Das Analysesystem wird dabei zu einer Plattform für die automatisierte digitale Durchführung der Studie ausgebaut. Damit kann die Analyse auch zur Sicherheit europäischer Dateninfrastrukturen wie GAIA-X beitragen. Als Ergebnis einer solchen Bewertung liegt neben einer detaillierten Handlungsempfehlung auch eine kennzahlenbasierte Auswertung vor. Im Rahmen des Projektes soll die IT-Sicherheitslage deutscher Unternehmen großflächig erfasst werden.

Über das Förderprogramm StartUpSecure

Das Förderprogramm StartUpSecure des BMBF unterstützt innovative Projekte aus dem Bereich IT-Sicherheit mit finanziellen Mitteln für zwei Förderphasen. Ziel der ersten Ent­wicklungs­phase (Phase I) ist es, die technische Umsetzbarkeit einer Gründungsidee auszubauen und die wirtschaftliche Anschlussfähigkeit herauszustellen. In der zweiten Phase (Phase II) stehen die Markteinführung des Produkts oder der Dienstleistung im Vordergrund. Hier geht es unter anderem um die Ausarbeitung einer Strategie für eine erfolgreiche Marktetablierung des entwickelten Produktes. Der Gründungs­inkubator StartUpSecure | ATHENE fungiert als Ansprechpartner bei allen Belangen rund um das Förderprogramm und hilft beispielsweise bei der Antragsstellung.