Tag IT-Security

Warum die Sichtbarkeit von Online-Angriffsflächen bei KRITIS so wichtig ist

Mit dem Internet verbundene industrielle Steuerungssysteme (ICS, Industrial Control Systems) und Einrichtungen der kritischen Infrastruktur (KRITIS) sind häufig Ziele von Cyberangriffen. Der Grund liegt auf der Hand: Diese Systeme steuern zentrale Prozesse des täglichen Lebens, von der Industrie und der Energieversorgung über das Transportwesen bis zur Wasserversorgung. Besonders im Fokus stehen dabei Mensch-Maschine-Schnittstellen (HMI, Human-Machine-Interfaces), da sie bei einem erfolgreichen Angriff direkten Zugriff auf ICS-Netzwerke und laufende Prozesse bieten.

In einer Analyse zeigt Censys – einer der führenden Anbieter von Tools für Threat Intelligence, Threat Hunting und Attack Surface Management -, wie leicht sich solche exponierten digitalen Steuerungssysteme in kritischen Infrastrukturen identifizieren lassen und welche Risiken sich daraus ergeben. Im Rahmen der Untersuchung konnten die Forscher von Censys fast 400 webbasierte HMIs von Wasseranlagen in den USA auffinden, die online zugänglich waren. Die Systeme nutzten alle die gleiche browserbasierte HMI/SCADA-Software und waren unterschiedlich abgesichert. Einige erforderten Anmeldedaten, andere waren lediglich schreibgeschützt einsehbar. Bei 40 Systemen war sogar ein vollständiger Zugriff ohne jegliche Authentifizierung möglich. Nutzer mit einem gewöhnlichen Webbrowser hätten hier unmittelbar in laufende Prozesse eingreifen können. Nach der Untersuchung wurden die meisten der betroffenen Systeme durch die Zusammenarbeit mit der EPA (US Environmental Protection Agency) und dem Hersteller gesichert. Mit Stand Mai 2025 waren nur noch weniger als 6 % der ursprünglich entdeckten Systeme noch auffindbar.

Die Ergebnisse und die ergriffenen Maßnahmen zur Behebung zeigen, wie wichtig die kontinuierliche Bestandsaufnahme von Online-Angriffsflächen und die fundierte Analyse von Risiken sind, um Schwachstellen in kritischen Infrastrukturen zu erkennen und dann gezielt zu beheben. Sichtbarkeit ist dabei elementar – denn nur wenn man weiß, welche Systeme online erreichbar sind, können auch effektive Sicherheitsmaßnahmen ergriffen werden. Insbesondere industrielle Steuerungssysteme geraten durch mangelnde Segmentierung oder veraltete Sicherheitsstandards immer mehr in den Fokus von Angreifern.

Das Beispiel der Wasserversorger in den USA ist dabei kein Einzelfall. Auch in Deutschland müssen KRITIS-Betreiber aus verschiedensten Sektoren ihre Systeme vor Cyberangriffen schützen. Mit der Umsetzung der EU-Richtlinie NIS-2 steigen zudem die Anforderungen an die Cyberresilienz kritischer Infrastrukturen erheblich. Schließlich können erfolgreiche Cyberangriffe nicht nur zu Versorgungsausfällen führen und wirtschaftliche Schäden verursachen, sondern auch Menschenleben gefährden. Die Erkenntnisse aus der Analyse von Censys zeigen erneut: Fehlende Übersicht über exponierte vernetzte Systeme und ihre Schwachstellen ist ein strukturelles Problem. Das Beispiel aus den USA sollte daher ein Weckruf für alle Betreiber kritischer Infrastrukturen sein, auch in Deutschland.

Erfahren Sie mehr über die Untersuchung von Censys und das Vorgehen der Forscher bei der Identifizierung der anfälligen ICS bei der Wasserversorgung: https://censys.com/blog/turning-off-the-information-flow-working-with-the-epa-to-secure-hundreds-of-exposed-water-hmis.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Schwachstellen proaktiv in Echtzeit erkennen und Cybersicherheit erhöhen

Censys, einer der führenden Anbieter von Tools für Threat Intelligence, Threat Hunting und Attack Surface Management, hat sein neues Threat Hunting Module gelauncht. Das neue Modul unterstützt Security-Teams dabei, Schwachstellen proaktiv zu erkennen und aus den Daten Gegenmaßnahmen zur Behebung abzuleiten, bevor es zu Cyberangriffen und einem Exploit von Sicherheitslücken kommen kann. Als Teil der kürzlich vorgestellten Censys Platform ermöglicht das neue Modul IT-Security-Verantwortlichen einen proaktiven Ansatz.

Eine große Herausforderung beim Threat Hunting ist es, zeitnah relevante Daten zu sammeln, die einen proaktiven Schutz vor gezielten Bedrohungen ermöglichen. Mit dem neuen Modul können Sicherheitsteams schnell bösartige Strukturen identifizieren, die von Hackern für Angriffe auf Unternehmen ausgenutzt werden. Dabei werden die Threat Intelligence-Rohdaten der Censys Internet Map in strukturierte und verwertbare Informationen umgewandelt – automatisch und in Echtzeit. Das Modul bietet sehr genaue und aktuelle Ergebnisse bei der Identifizierung von bestehenden und neuen feindlichen Infrastrukturen. So wird das Tool mit einem fortlaufend aktualisierten Feed von Bedrohungs-Updates zum Frühwarnsystem, auf das sich Security-Teams verlassen können.

Das neue Threat Hunting Module bietet Security-Teams eine Reihe von wichtigen Funktionen. Dazu gehören etwa ein Datensatz für Bedrohungen, der unter anderem Zugriff für Red-Team-Tools, Malware-Fingerprints sowie erweiterten Kontext zu den Bedrohungen wie alternative Namen, Bedrohungsakteure oder Referenzen bietet. Mit der Funktion CenseEye lassen sich bösartige Infrastrukturen schneller und einfacher korrelieren, indem ähnliche Hosts und Webeigenschaften erkannt werden. Dies macht es einfacher, gegnerische Ressourcen aufzuzeigen und Bedrohungen in Echtzeit zu verfolgen. Um unbekannte Konfigurationen aufzudecken und Risiken mit systematischen Rescans zu bestätigen, bietet das Modul Live-Erkennung und -Scanning an. Interaktive Dashboards bieten einen Überblick über Strukturen der Bedrohungen, Anomalien sowie Untersuchungsmöglichkeiten, um schnell Rückschlüsse ziehen zu können. Auf der Explore Page lassen sich die verfolgten Schwachstellen zudem anzeigen und nach Ländern aufschlüsseln. So ist das neue Modul für Security-Teams ein zentraler Ort für alle Threat Hunting-Daten.

Erfahren Sie mehr über das neue Censys Threat Hunting Module: https://censys.com/solutions/threat-hunting?_gl=1*19fpq9d*_gcl_au*MjA3MTI5Mjg2Ny4xNzQ3OTg3MDAz.

Erleben Sie das neue Modul in einer Online-Live-Demo: https://censys.com/request-a-demo?_gl=1*rn6j78*_gcl_au*MjA3MTI5Mjg2Ny4xNzQ3OTg3MDAz.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Ausnutzung von XSS-Schwachstelle ermöglicht Ausführung von beliebigem JavaScript-Code

Eine Analyse von Censys, einem der führenden Anbieter von Tools für Threat Intelligence, Threat Hunting und Attack Surface Management, hat ergeben, dass eine Cross-Site Scripting (XSS)-Schwachstelle in den Versionen 9.0 und 10.0 der Zimbra Collaboration Suite potenziell bis zu 129.131 Instanzen weltweit betrifft. Die Schwachstelle besteht in der Funktion CalendarInvite der klassischen Benutzeroberfläche. Angreifer können dies mit einer E-Mail ausnutzen, die einen manipulierten Kalender-Header mit einer eingebetteten XSS-Payload enthält. Wenn jemand diese Nachricht in der klassischen Zimbra-Webmail-Benutzeroberfläche öffnet, wird die Payload in der Sitzung des Opfers ausgeführt. Dies führt möglicherweise zur Ausführung von beliebigem JavaScript-Code.

Die Schwachstelle ist seit August 2024 offengelegt und ist seit dem 19. Mai 2025 als aktiv ausgenutzt gemeldet. Kürzlich wurde sie in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, bislang wurde noch kein öffentliches Proof-of-Concept (POC)-Exploit identifiziert. Die Ausnutzung der Schwachstelle steht möglicherweise in Verbindung mit einer Reihe von Angriffen, die Webmail-Plattformen attackieren, um an Anmeldungsdaten zu gelangen und einen dauerhaften Zugriff auf die Systeme zu ermöglichen. Für die betroffenen Versionen stehen Patches zur Verfügung.

Analyse zeigt weite Verbreitung von möglicherweise betroffenen Instanzen in Europa

Mit den Tools der Plattform von Censys lassen sich weltweit 129.131 exponierte Instanzen der Zimbra Collaboration Suite feststellen, die potenziell für diesen Exploit anfällig sind. Die überwiegende Mehrheit dieser Instanzen wird in einer Cloud-Infrastruktur gehostet, die über eine Vielzahl von Anbietern verteilt ist. Dabei ist kein Anbieter überproportional häufig vertreten. On-Premises wurden 33.614 potenziell betroffene Hosts entdeckt. Diese sind hauptsächlich mit IPs verbunden, die mehrere Hostnamen bedienen. Das deutet auf eine gemeinsam genutzte Infrastruktur hin.

Die Untersuchung von Censys zeigt, dass sich in Europa besonders viele potenziell exponierte Instanzen der Zimbra Collaboration Suite befinden. Von diesen beobachteten Instanzen sind nicht alle auch zwangsläufig anfällig. Ohne Informationen zu den spezifischen Versionen oder der Verwendung der klassischen Benutzeroberfläche können von Censys Instanzen der Zimbra Collaboration Suite entdeckt werden, die möglicherweise von der Schwachstelle betroffen sind.

Weitere Informationen zur Schwachstelle sowie eine Karte der potenziell betroffenen Instanzen finden Sie unter https://censys.com/advisory/cve-2024-27443.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

SECUINFRA bietet maximale Sicherheit selbst dort, wo herkömmliche Lösungen an ihre Grenzen stoßen

Yasin Ilgar, Managing Cyber Defense Consultant bei SECUINFRA (Bildquelle: SECUINFRA GmbH)

Die SECUINFRA GmbH bietet ihren Kunden ab sofort Managed Compromise Assessment (https://www.secuinfra.com/de/managed-detection-and-response/managed-compromise-assessment/) auf einer eigenen zentralen Plattform. Durch diesen einzigartigen neuen Service des führenden deutschen Cyber Defense Unternehmens können kompromittierte IT-Systeme noch schneller und effektiver erkannt werden. Außerdem lassen sich sogar unsichtbare Bedrohungen erkennen, also auch diejenigen, die Antiviren- oder EDR-Tools (Endpoint Detection and Response) nicht erkennen. Für Kunden ist die Implementierung des Managed Compromise Assessment sehr einfach und ohne großen Aufwand: Sie müssen lediglich die entsprechenden Agenten installieren, ab dann übernehmen die Experten von SECUINFRA.
Der neue Service von SECUINFRA wurde in enger Zusammenarbeit mit Nextron Systems entwickelt und basiert auf dem bewährten APT-Scanner THOR. Als erster Cyber Defense Dienstleister weltweit integriert SECUINFRA den THOR-Scanner von Nextron Systems in seine ISO27001 zertifizierten 24/7 Managed Detection und Response Services.

Was ist Managed Compromise Assessment?
Managed Compromise Assessment ist ein innovativer Service, um selbst sehr ausgefeilte und versteckte Bedrohungen zu erkennen. Angreifer entwickeln ihre Methoden schließlich permanent weiter und finden immer wieder neue Wege, um von herkömmlichen Sicherheitstools unentdeckt zu bleiben. Daher basiert der Managed Compromise Assessment-Ansatz von SECUINFRA auf einer leistungsstarken Kombination aus 30.000 handgefertigten YARA-Signaturen, 3.000 Sigma-Regeln, zahlreichen Anomalie-Erkennungsmechanismen und Tausenden von IOCs (Indicators of Compromise). Diese wurden speziell entwickelt, um die TTPs (Tactics, Techniques, and Procedures) von Angreifern zuverlässig zu erkennen. Durch kontinuierliches Assessment können so Angriffe frühzeitig identifiziert werden. Ein betroffenes Unternehmen kann dann Maßnahmen ergreifen, bevor größerer Schaden entsteht. Um ein Managed Compromise Assessment als zusätzliche Schicht in der Sicherheitsstrategie zu implementieren, muss ein Unternehmen zuvor jedoch die Grundlagen schaffen. Insbesondere sollte bereits ein EDR-System (Endpoint Detection and Response) im Einsatz sein.

Die Vorteile des neuen Services im Uberblick:
1.Frühzeitige Erkennung von Bedrohungen
Durch die gezielte Suche nach den Spuren von Cyberangriffen, also Indicators of Compromise (IOCs) sowie Tactics, Techniques, and Procedures (TTPs) werden Bedrohungen erkannt, die AV- oder EDR-Tools nicht erkennen können. Hierbei werden verdächtige Netzwerkaktivitäten und ungewöhnlicher Datenverkehr ebenso ausgewertet wie Spuren von Malware oder Backdoors. Außerdem wird nach unbekannten Zugriffen geforscht, etwa auf sensible Daten und Systeme oder unautorisierte Änderungen in Logdateien.
2.Zentrale Erkenntnisse und Analysen
Alle Kunden profitieren unmittelbar von den neuesten Erkenntnissen des SECUINFRA Falcon-Teams (https://www.linkedin.com/showcase/secuinfra-falcon-team/) und den Threat Detection Experten von Nextron Systems, da IOCs und TTPs von bereits analysierten Vorfällen direkt in die Überprüfung des eigenen Unternehmens einfließen.
3.Extrem schnelle Implementierung
Der 24/7 Managed Compromise Assessment Service kann innerhalb eines Tages beim Kunden implementiert werden und ist dann einsatzbereit. Wenn die erforderlichen Agenten ausgerollt sind, können die Security-Experten des SECUINFRA Falcon-Teams die Scans konfigurieren und sobald Ergebnisse vorliegen mit der Analyse beginnen. Dieses zügige Vorgehen ist entscheidend, wenn es um die sofortige Reaktion auf Cyberangriffe geht.
4.Nahtlose Integration in bestehende Sicherheitskonzepte
Der Managed Compromise Assessment Service lässt sich problemlos in bestehende Sicherheitsinfrastrukturen integrieren. Beispielsweise erhält man bereits mittels eines Vulnerability Managements (VM) Informationen darüber, welche Schwachstellen vorhanden sind. Durch ein Managed Compromise Assessment erhält man darüber hinaus die viel wichtigere Information, bei welchen Systemen diese Schwachstellen bereits ausgenutzt wurden.
5.Kein eigener Plattformbetrieb notwendig
Das Managed Compromise Assessment erfordert keine eigene Plattformadministration. Das spart Zeit und Ressourcen.

Warum Managed Compromise Assessment so wichtig ist
Cyberangriffe werden immer komplexer, und Unternehmen müssen auf eine mögliche Kompromittierung ihrer IT-Systeme vorbereitet sein. Für Yasin Ilgar, Managing Cyber Defense Consultant bei SECUINFRA, ist daher ein Managed Compromise Assessment elementar: „Angreifer bewegen sich oft monatelang unbemerkt in Netzwerken, bevor sie Schaden anrichten. Unser neuer Service deckt selbst gut versteckte Spuren von Cyberangriffen auf, die sonst von AV- und EDR-Systemen übersehen werden. So können betroffene Unternehmen rechtzeitig handeln, bevor die Situation eskaliert.“ Ramon Weil, Founder und CEO von SECUINFRA, hebt die Bedeutung des neuen Service hervor: „Als erster Cyber Defense Dienstleister weltweit bieten wir ein Managed Compromise Assessment auf einer zentralen Plattform an. Dies hat den Vorteil, dass alle unsere Kunden unmittelbar von den neuesten Erkenntnissen des SECUINFRA Falcon-Teams und den Nextron Threat Detection Experten profitieren.“

SECUINFRA, Experte und Partner für Cyber Defense, hat sich seit 2010 auf die Erkennung, Analyse sowie Abwehr von Cyberangriffen spezialisiert. Die Kernkompetenz liegt in den Bereichen Managed Detection & Response (MDR) und Incident Response (IR). Mittels MDR erkennt und analysiert SECUINFRA 365 Tage im Jahr, rund um die Uhr Cyberangriffe auf Unternehmen und wehrt diese ab, bevor hoher Schaden entsteht. Das Incident Response Team hilft Unternehmen bei der Bewältigung von Cyberangriffen. Weiterhin unterstützt SECUINFRA Unternehmen beim Aufbau und Betrieb von Security Operations Centern (SOC) und Cyber Detection and Response Centern (CDRC).

Firmenkontakt
SECUINFRA GmbH
Thomas Bode
Stefan-Heym-Platz 1
10367 Berlin
+49 89 200 42748
https://www.secuinfra.com/de/

Pressekontakt
FRANKEMEDIA
Thorsten Franke-Haverkamp
Amberger Str. 5
81679 München
+49 89 200 42748

Home

Deutschland dreimal im Top 10-Ländervergleich mit den meisten potenziell betroffenen Instanzen

Censys, einer der führenden Anbieter von Tools für Threat Intelligence, Threat Hunting und Attack Surface Management, hat sechs Schwachstellen untersucht, die mit Salt Typhoon in Verbindung gebracht werden. Die staatlich unterstützte Gruppe von Bedrohungsakteuren hat bekannte Schwachstellen in öffentlich zugänglichen Schnittstellen zu Netzwerkgeräten ausgenutzt und damit weltweit Telekommunikationsanbieter kompromittiert. Als kritische Schwachstellen ermöglichen sie oft den direkten Zugang zu internen Netzwerken und sensiblen Ressourcen.

Mithilfe der Censys Intelligence Plattform kann untersucht werden, wie viele Geräte weltweit mit Versionen betrieben werden, die für diese Schwachstellen anfällig sind. Ein Verständnis für die Entwicklung der Gefährdung durch Salt Typhoon ermöglicht es, sowohl das Ausmaß der Bedrohung als auch die Reaktion von Unternehmen zu beurteilen. Die Analyse wurde für die folgenden mit Salt Typhoon in Verbindung gebrachten Schwachstellen untersucht:
– CVE-2022-3236: Sophos Firewall RCE (CVSS Score: 9,8)
– CVE-2023-20198: Cisco IOS XE Web UI Privilege Escalation (10,0)
– CVE-2023-20273: Cisco IOS XE Web UI Command Injection (7,2)
– CVE-2023-46805: Ivanti Connect Secure Authentication Bypass (8,2)
– CVE-2024-21887: Ivanti Connect Secure Command Injection (9,1)
– CVE-2023-48788: Fortinet FortiClient EMS SQL Injection (9,8)

Bestätigte IOCs (Indicator of Compromise) sind zwar noch selten, eine Untersuchung dieser Schwachstellen lohnt sich aber dennoch aufgrund ihrer Anfälligkeit für Bedrohungen – auch losgelöst von Salt Typhoon. Die Untersuchung von Censys beschäftigt sich daher mit folgenden Fragen:
– Welche Geräte sind am stärksten betroffen?
– Wie hat sich die Gefährdung im Laufe der Zeit verändert?
– In welchen Ländern sind die meisten betroffenen Instanzen zu beobachten?
– Warum ist die Behebung der Schwachstellen für die Abwehr künftiger Bedrohungen entscheidend?

Zum Zeitpunkt der Untersuchung waren insgesamt bis zu 209.149 Instanzen und Systeme potenziell von der Schwachstelle betroffen. Die Untersuchung zeigt auch die Entwicklung der Expositionen zwischen Oktober 2024 und April 2025 in einem 6-Monats-Trend, was einige interessante Rückschlüsse ermöglicht. Die Analyse von Censys hat außerdem ergeben, dass die meisten Exposures der Schwachstellen in den USA liegen. Eine Ausnahme: Mit 38.787 sind die meisten betroffenen Systeme für Sophos XG Firewall in Deutschland verzeichnet. Die Zahl der Fälle liegt damit mehr als doppelt so hoch wie in den USA mit nur 16.589 Instanzen – obwohl in Deutschland weitaus weniger Internet-Dienste gehostet werden als in den USA insgesamt. Auch bei der Schwachstelle in Fortinet FortiClient EMS gehört Deutschland zu der Top 10 der Länder mit den meisten betroffenen Instanzen. Bei dieser Schwachstelle liegt Deutschland mit 178 potenziell betroffenen Instanzen auf Platz zwei. Auf Platz vier liegt Deutschland außerdem bei der Schwachstelle Ivanti Connect Secure Exposures mit 1.124 Instanzen.

Die Untersuchung unterstreicht, wie wichtig die proaktive Überwachung von potenziellen Schwachstellen ist – auch bei Unternehmen, Behörden und Organisationen, die sich selbst noch nicht als potenzielles Ziel erkennen.

Erfahren Sie unter https://censys.com/blog/the-persistent-threat-of-salt-typhoon-tracking-exposures-of-potentially-targeted-devices mehr über die Ergebnisse der Analyse.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Bundesamt für Sicherheit in der Informationstechnik nimmt SECUINFRA in offizielle Anbieterliste auf

SECUINFRA ist in die Liste der qualifizierten APT-Response-Dienstleister des BSI aufgenommen (Bildquelle: SECUINFRA GmbH)

Die SECUINFRA GmbH hat sich nach einem aufwendigen Prüfverfahren durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Dienstleister für APT-Response qualifiziert. Das Berliner Cybersecurity-Unternehmen erfüllt demnach die fachlichen und organisatorischen Anforderungen, um bei der Bekämpfung gezielter und komplexer Cyberangriffe – sogenannter Advanced Persistent Threats (APTs) – als vertrauenswürdiger Partner eingesetzt zu werden. Die Liste qualifizierter APT-Response Dienstleister des BSI richtet sich vor allem an Betreiber Kritischer Infrastruktur, um diese Unternehmen bei der Auswahl eines zuverlässigen Dienstleisters zu unterstützen. Sie soll betroffenen Organisationen im Ernstfall eine verlässliche Orientierung bei der Entscheidung für einen geeigneten Incident Response Partner bieten. Die Anforderungen des BSI umfassen unter anderem fundiertes technisches Know-how, belastbare Prozesse zur schnellen Reaktion sowie hohe Standards in Bezug auf Vertraulichkeit und Qualitätssicherung.

Zuverlässiger Schutz rund um die Uhr
Voraussetzung für die Aufnahme in die BSI-Liste ist ein umfangreiches Prüfverfahren und die Erfüllung wichtiger Kriterien. Hierzu gehören unter anderem eine 24/7-Erreichbarkeit zur schnellen Reaktion auf Vorfälle sowie ein Team aus erfahrenen IT-Sicherheitsspezialisten – inklusive Malware-Analysten, Krisenmanagern sowie Host- und Netzwerk-Forensikern. Zudem muss der Dienstleister über ein IT-forensisches Labor verfügen und in der Lage sein, nicht nur Schadsoftware zu analysieren, sondern auch sensible Daten aufzubewahren und Incidents zu dokumentieren. Darüber hinaus sollte der Dienstleister nach einem APT-Vorfall Unternehmen dabei unterstützen, die betroffenen Systeme zu bereinigen und neu aufzusetzen. Weitere wichtige Bedingungen sind ein Hauptsitz in der EU sowie eine ISO27001-Zertifizierung.
Ramon Weil, Founder & CEO von SECUINFRA, sieht die Aufnahme in die Liste des Bundesamtes für Sicherheit in der Informationstechnik als Bestätigung für die hohe Qualität der eigenen Services: „Dass wir nun als qualifizierter APT-Response Dienstleister aufgeführt sind, unterstreicht das Vertrauen, das das BSI in unsere Arbeit setzt. Sie bestätigt unsere langjährige Expertise in der Bewältigung hochkomplexer IT-Sicherheitsvorfälle.“ Mit der Aufnahme in die Liste positioniere sich SECUINFRA nach Aussage von Weil als kompetenter Ansprechpartner für Organisationen, die bei Cybervorfällen auf höchste Professionalität und staatlich anerkannte Qualität setzen wollen.
SECUINFRA hat seit seiner Gründung im Jahr 2010 seine Dienstleistungen konsequent erweitert und sein Geschäft permanent ausgebaut. Das inhabergeführte Unternehmen ist auf die Erkennung, Analyse und Abwehr von Cyberangriffen spezialisiert. Es bietet unter anderem Services wie Managed Detection and Response (MDR) sowie Incident Response und ist ISO-zertifiziert. „Wir arbeiten mit den besten am Markt befindlichen Technologien und Security-Lösungen“, erklärt Ramon Weil. „Außerdem beschäftigen wir mittlerweile über 80 Cyber Defense Experten, die fortlaufend geschult werden und in zwei redundanten Cyber Detection & Response Center für unsere Kunden rund um die Uhr zur Verfügung stehen.“ Für den Berliner Security-Spezialisten steht deshalb fest: „Wir betrachten die Aufnahme in die BSI-Liste als Auszeichnung und sind stolz darauf, einen Beitrag zur Cyberresilienz in Deutschland leisten zu können.“

Über die Anbieterliste des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht eine Liste qualifizierter APT-Response Dienstleister als Hilfestellung für Betreiber Kritischer Infrastrukturen. Grundlage ist § 3 des BSI-Gesetzes (BSIG), nach dem das Bundesamt solchen Organisationen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen kann. Hierfür prüft das BSI die personellen, organisatorischen und technischen Voraussetzungen des IT-Dienstleisters.

SECUINFRA, Experte und Partner für Cyber Defense, hat sich seit 2010 auf die Erkennung, Analyse sowie Abwehr von Cyberangriffen spezialisiert. Die Kernkompetenz liegt in den Bereichen Managed Detection & Response (MDR) und Incident Response (IR). Mittels MDR erkennt und analysiert SECUINFRA 365 Tage im Jahr, rund um die Uhr Cyberangriffe auf Unter-nehmen und wehrt diese ab, bevor hoher Schaden entsteht. Das Incident Response Team hilft Unternehmen bei der Bewältigung von Cyberangriffen. Weiterhin unterstützt SECUINFRA Unternehmen beim Aufbau und Betrieb von Security Operations Centern (SOC) und Cyber Detection and Response Centern (CDRC).

Firmenkontakt
SECUINFRA GmbH
Thomas Bode
Stefan-Heym-Platz 1
10367 Berlin
+49 89 200 42748
https://www.secuinfra.com/de/

Pressekontakt
FRANKEMEDIA
Thorsten Franke-Haverkamp
Amberger Str. 5
81679 München
+49 89 200 42748
https://www.frankemedia.com/

Auf dem Weg zum führenden deutschen Cyber Defense Unternehmen

SECUINFRA wächst erstmals auf über 100 Mitarbeitende (Bildquelle: SECUINFRA GmbH)

Die SECUINFRA GmbH hat einen weiteren Meilenstein erreicht: Mit mittlerweile über 100 Mitarbeitenden zählt das Unternehmen zu den am stärksten wachsenden Anbietern im Bereich der Cybersicherheit in Deutschland. Besonders bemerkenswert: Mehr als 80 der Beschäftigten sind ausgewiesene Cyber Defense Experten – ein klarer Beleg für die tiefe fachliche Ausrichtung des Berliner Security-Anbieters.
Seit seiner Gründung im Jahr 2010 verfolgt SECUINFRA einen konsequenten Wachstumspfad – ohne externe Investoren und ganz aus eigener Kraft. Der Ausbau wurde Schritt für Schritt aus dem operativen Geschäft finanziert. Diese Unabhängigkeit ermöglicht es SECUINFRA, sich voll und ganz auf Qualität, Innovation und Kundennähe zu konzentrieren. Insgesamt wuchs das Unternehmen im letzten Jahr um beeindruckende 33 Prozent. Größter Wachstumstreiber waren die Managed Cyber Defense Services, die sogar um mehr als 50 Prozent zulegen konnten.

Wachstum durch zuverlässigen Service
„Unsere Mission war von Anfang an klar: Die bestmögliche Erkennung, Analyse und Abwehr von Cyberangriffen für unsere Kunden sicherzustellen“, sagt Ramon Weil, Founder & CEO von SECUINFRA. „Mit unserem hochspezialisierten Team und einem klaren Fokus auf fachliche Exzellenz rücken wir unserem Ziel, das führende deutsche Unternehmen für Cyber Defense zu werden, wieder ein Stück näher.“ Besonders erfreulich ist es aus Sicht des Geschäftsführers, dass ein großer Teil des Wachstums auf Weiterempfehlungen zufriedener Kunden zurückzuführen ist. Dies ist laut Weil ein Beleg dafür, dass die Kunden mit den Dienstleistungen zufrieden sind. „Außerdem zeigt es das große Vertrauen, das Unternehmen in SECUINFRA haben, wenn es um den Schutz ihrer IT-Infrastrukturen geht“, resümiert der Gründer und Security-Spezialist.
Neben dem starken Wachstum in Deutschland expandiert SECUINFRA auch ins Ausland. Das Unternehmen ist bereits seit Längerem in Österreich aktiv und inzwischen ebenfalls in Skandinavien – konkret in Dänemark und Schweden. Ein weiteres zentrales Wachstumsfeld ist dort wie auch in Deutschland die kontinuierliche Weiterentwicklung der Automatisierung im Bereich MDR – Managed Detection and Response. Durch sie wird eine noch schnellere und effizientere Cyberabwehr ermöglicht. So wird zum einen eine höhere Geschwindigkeit erreicht und Cyberangriffe werden früher erkannt, analysiert und abgewehrt. Zum anderen erhöht sich die Effizienz, denn durch die Automatisierung können einfache Sicherheitsvorfälle selbstständig abgearbeitet werden, sodass sich die Cyber Defense Spezialisten auf die Analyse und Abwehr hochkomplexer Bedrohungen konzentrieren können.
SECUINFRA bietet auf diese Weise eine optimale Kombination aus Automatisierung und menschlicher Expertise. Dabei arbeiten die Cyber Defense Experten rund um die Uhr im Schichtbetrieb und gewährleisten so eine schnelle Reaktion das ganze Jahr über. Dank dieser hohen Zuverlässigkeit und des Einsatzes innovativer Technologien war es SECUINFRA möglich, immer mehr Kunden von seinen Services zu überzeugen – und seine strategische Weiterentwicklung konsequent voranzutreiben.

SECUINFRA, Experte und Partner für Cyber Defense, hat sich seit 2010 auf die Erkennung, Analyse sowie Abwehr von Cyberangriffen spezialisiert. Die Kernkompetenz liegt in den Bereichen Managed Detection & Response (MDR) und Incident Response (IR). Mittels MDR erkennt und analysiert SECUINFRA 365 Tage im Jahr, rund um die Uhr Cyberangriffe auf Unter-nehmen und wehrt diese ab, bevor hoher Schaden entsteht. Das Incident Response Team hilft Unternehmen bei der Bewältigung von Cyberangriffen. Weiterhin unterstützt SECUINFRA Unternehmen beim Aufbau und Betrieb von Security Operations Centern (SOC) und Cyber Detection and Response Centern (CDRC).

Firmenkontakt
SECUINFRA GmbH
Thomas Bode
Stefan-Heym-Platz 1
10367 Berlin
+49 89 200 42748
https://www.secuinfra.com/de/

Pressekontakt
FRANKEMEDIA
Thorsten Franke-Haverkamp
Amberger Str. 5
81679 München
+49 89 200 42748
https://www.frankemedia.com/

Angreifer proaktiv verfolgen und abwehren mit dem neuen Censys Threat Hunting Module

Einblick in das Dashboard des Censys Threat Hunting Module

Ann Arbor, Michigan, USA, 28. April 2025 – Censys, ein führender Anbieter im Bereich Internet Intelligence, Threat Hunting und Attack Surface Management (ASM), bringt mit dem Censys Threat Hunting Module eine neue Lösung auf den Markt. Das Modul wurde speziell dafür entwickelt, Threat Hunting-Teams dabei zu unterstützen, gegnerische Infrastrukturen aufzuspüren. Als Teil der kürzlich veröffentlichten Internet Intelligence Platform von Censys verschafft die neue Lösung Sicherheitsteams in Unternehmen und Behörden die notwendige Internet-Transparenz, um sich vor Cyberangriffen zu schützen. Als erfahrener Anbieter von Threat Hunting-Lösungen bietet Censys IT-Security-Teams nun ein speziell entwickeltes Modul, um Bedrohungen proaktiv aufzudecken und abzuschwächen, bevor sie Schaden anrichten können.

Das neue Threat Hunting-Modul lässt sich direkt in bestehende Security Operations-Produkte integrieren und trägt dazu bei, die Erkennung von Schwachstellen zu verbessern und das Threat Hunting proaktiver zu gestalten. Das Censys Threat Hunting Module wandelt die Daten der Censys Internet Map automatisch in strukturierte und umsetzbare Erkenntnisse um. Sicherheitsteams können diese Daten nutzen, um bösartige Infrastrukturen zu identifizieren, die von Angreifern für Cyberattacken auf Unternehmen oder Behörden genutzt werden. Mit der neuen Lösung sind Sicherheitsteams in der Lage, Threat Detection und die Untersuchung von Bedrohungen zu beschleunigen. Zudem lässt sich auf Basis der Ergebnisse nahtlos und proaktiv nach neuen und aufkommenden bösartigen Infrastrukturen suchen.

„Eines der größten Probleme für Threat Hunting-Teams ist es, zeitnahe und relevante Daten zu erhalten, die es ihnen ermöglichen, sich proaktiv gegen gezielte Bedrohungen zu verteidigen“, sagt Silas Cutler, Principal Security Researcher bei Censys, der an der Entwicklung der neuen Lösung beteiligt war. „Das neue Censys Threat Hunting Module löst diese Herausforderung, indem es Echtzeit-Transparenz in bestehende bösartige Infrastruktur liefert. Zudem bietet das neue Modul die Möglichkeit, bekannte und neu auftretende Bedrohungen überall im Internet zu finden und zu verfolgen.“

Effektives und proaktives Threat Hunting in Echtzeit

Die Plattform beseitigt die Datenflut und bietet Security-Teams einen zentralen Ort, an dem sie alle Threat Hunting-Daten einsehen können. Dies beinhaltet auch eine Liste aller bekannten Bedrohungen und eine Heatmap, die zeigt, wo sich diese Bedrohungen befinden. Darüber hinaus bietet das Censys Threat Hunting Modul folgende Funktionen:

– Censys Threat Data Set: Dieser Datensatz für Bedrohungen enthält Erkennungen für Red-Team-Tools, Fingerprints und Malware-Operationen. Er bietet auch erweiterten Kontext zu Bedrohungen, darunter Beschreibungen, alternative Namen, Akteure und Referenzlinks.
– CensEye: Die Funktion ermöglicht es, bösartige Infrastrukturen zu identifizieren und zu korrelieren. Dabei werden Hosts und Web-Eigenschaften mit ähnlichen Merkmalen erkannt. Diese Fähigkeit ermöglicht es Analysten, die Ressourcen von Angreifern aufzudecken und sich entwickelnde Bedrohungen schneller und präziser zu verfolgen.
– Erkennung und Scanning in Echtzeit: Das neue Modul bietet IT-Security-Teams auch Threat Detection und die Validierung von On-Demand-Scan-Funktionen in Echtzeit. Live-Scans decken bisher unbekannte Konfigurationen auf, während Rescans systematisch bestehende Dienste und Endpunkte analysieren, um potenzielle Bedrohungen zu bestätigen und Konfigurationsabweichungen zu verfolgen.
– Interaktive Dashboards: Die Plattform bietet Anwendern interaktive Dashboards für einen Einblick in die Struktur und Frameworks von Bedrohungen. So können Sicherheitsteams Daten und Trends untersuchen, Anomalien aufdecken und effektive Untersuchungen einleiten.
– Visualisierung von Zertifikaten und Hosts: Durch die Untersuchung historischer Beziehungen zwischen Hosts und Zertifikaten können Threat Hunting-Teams Zeitpläne erstellen, Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) aufdecken und historische Attribute anzeigen, die bei der Threat Detection genutzt werden können.
– Erweitertes Pivoting und kontextualisierte Hashes: Threat Hunter können ihre verwandten Indikatoren schnell erweitern, indem sie hilfreiche konfigurationsbasierte Hashes wie JARM, JA3, JA4+ und Favicon-Hashes verwenden, um eine umfassende Ansicht der verwandten Infrastruktur zu erstellen.

„Das neue Censys Threat Hunting Module bietet Unternehmen noch nie dagewesene Visibility, Kontext und historische Einblicke in alle mit dem Internet verbundenen Ressourcen, einschließlich bekannten und neuen feindlichen Infrastrukturen“, sagt Brad Brooks, CEO von Censys. „Mit dem neuen Modul können Sicherheitsteams in Unternehmen und Behörden proaktiv nach ausgefeilten Bedrohungen suchen, die auf sie abzielen. Dabei können sie auf den genauesten und umfassendsten Internet Intelligence-Datensatz der Branche zurückgreifen.“

Erfahren Sie mehr über das Censys Threat Hunting Module: https://censys.com/blog/speeding-up-threat-hunting-with-censys.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Präventive Cybersicherheit mit Threat Hunting und Attack Surface Management

Berlin, 15. April 2025 – Censys, Anbieter der führenden Internet Intelligence Platform für Threat Hunting und Attack Surface Management, ist als Aussteller auf der diesjährigen Cyber Threat Intelligence Conference des Verbands FIRST (Forum of Incident Response and Security Teams) vertreten. Die Konferenz findet vom 21. bis 23. April 2025 statt und versammelt internationale Fachleute aus der Cybersicherheit. Als Aussteller präsentiert Censys auf der Veranstaltung seine Plattform zur umfassenden Erkennung, Analyse und Überwachung von internetbasierten Assets und Online-Angriffsflächen. Die Tools Censys Platform und Censys Attack Surface Management ermöglichen eine verlässliche Sicherheits- und Risikoanalyse.

Mit den Lösungen können Kunden einschließlich Unternehmen und Behörden verborgene IT-Risiken aufdecken, schädliche Infrastrukturen aufspüren und digitale Infrastrukturen kontinuierlich überwachen. Auf Basis der Daten sind entsprechende gezielte Gegenmaßnahmen ableitbar, wodurch sich Unternehmen und Behörden proaktiv vor Cyberbedrohungen schützen können. Die Censys Platform baut auf der weltweit größten und genauesten eigenen Internet-Intelligence-Infrastruktur auf, die ständig mehr als fünf Milliarden mit dem Internet verbundene Dienste überwacht.

Censys Platform ist eine einheitliche Plattform, die Security-Teams den proaktiven Schutz vor Cyberbedrohungen ermöglicht. Auf Basis der Censys Internet Map bietet Censys Platform einen ganzheitlichen Überblick über die globale Internetlandschaft und ermöglicht kontextbezogene und historische Einblicke in die von Censys überwachten Geräte und Dienste. Mit der Plattform können IT-Sicherheitsteams Echtzeitdaten über ihre externe Angriffsfläche erhalten, Vorfälle untersuchen und bösartige Infrastrukturen aufspüren. Zudem sind sie in der Lage, benutzerdefinierte Bedrohungsdaten zu erstellen. Dies verbessert die Möglichkeiten, die eigene Infrastruktur proaktiv zu verteidigen oder potenzielle Risiken bei Dritten, beispielsweise Lieferanten, zu erkennen.

Censys Attack Surface Management erkennt alle mit einem Unternehmen oder einer Behörde verbundenen Assets. Kunden erhalten somit ein vollständiges und stets aktuelles Bild ihrer externen IT-Angriffsfläche, einschließlich Drittanbieter. Dies erlaubt es IT-Security-Teams, kritische Schwachstellen oder fortgeschrittene Bedrohungen zu erkennen und priorisiert zu beheben. Mit einer nahtlosen Integration von Bedrohungsdaten, Asset-Discovery und kontinuierlicher Analyse ist das Tool sehr nützlich für Security- und Incident Response-Teams.

„Unsere Tools machen das Internet transparenter und sicherer und versorgen Security-Teams mit aktuellen, strukturierten und verwertbaren Daten über ihre digitalen Infrastrukturen und Assets“, sagt Tabatha von Kölichen, Regional Sales Director D-A-CH & Central Europe bei Censys. „So lassen sich bisher unbekannte Assets aufspüren und entsprechende Gegenmaßnahmen ergreifen, wodurch Unternehmen und Behörden vor Bedrohungen geschützt und den wachsenden Herausforderungen immer einen Schritt voraus sind. Wir freuen uns auf viele spannende Gespräche mit der internationalen Community von Incident Response-Teams auf der Cyber Threat Intelligence Conference in Berlin. Insbesondere freuen wir uns, die neuen, erweiterten Features unserer Censys Platform vorzustellen.“

Unter https://censys.com/resources/advisories finden Sie Einblicke und Hinweise zu aktuellen Bedrohungen weltweit.

Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

Startseite

Traditionell konzentriert sich das Scannen von Netzwerkdiensten auf Standard-Ports. Diese Vorgehensweise bildet jedoch längst nicht mehr die gesamten modernen IT- und ICS-Sicherheitsinfrastrukturen ab. In der Realität sind Protokolle wie Modbus, ATG und Co. längst nicht mehr nur auf ihren typischen standardmäßigen Ports zu finden. Die Konsequenz? Wer nur Standard-Ports scannt, bleibt blind für zahlreiche sicherheitskritische Systeme. Besonders in kritischen Infrastrukturen, in denen die Sicherheit von Systemen eine wichtige Rolle spielt, kann dies fatale Folgen haben. Deshalb ist es wichtig, die ICS-Scan-Methodik weiterzuentwickeln und mit Messungen und Untersuchungen festzustellen, wo noch gezielter gescannt werden muss. Das kann auch zu überraschenden Ergebnissen führen.

Kommentar von Ariana Mirian, Senior Security Researcher bei Censys

Der Blick über den Tellerrand: Standard-Port +/- 1 Scanning

Viele ICS-Protokolle laufen nicht nur auf ihrem Standard-Port, sondern können auch auf den benachbarten Ports betrieben werden. Um herauszufinden, wo ICS-Protokolle tatsächlich aktiv sind, ist ein gezieltes Scanning auf ihren Standard-Ports sowie deren direkter Umgebung zielführend. So kann beispielsweise beobachtet werden, dass Modbus mit dem Standard-Port 502 häufig auch auf den Ports 501 und 503 aktiv ist.

Für eine gezielte Untersuchung dieses Phänomens kann systematisch nach ICS-Protokollen auf den Standard-Ports sowie angrenzenden Ports gesucht werden. Ein besonders interessanter Test ist das ATG-Protokoll. Automatic Tank Gauges wird zur Überwachung und Verfolgung von Tankinhalten wie Kraftstoff genutzt. Das Protokoll ist zwar nicht das am weitesten verbreitete ICS-Protokoll, wird aber dennoch zahlreich genutzt. Der offizielle Standard-Port für ATG ist 10001, ein gezielter Scan der benachbarten Ports 10000 und 10002 führt zu bemerkenswerten Ergebnissen: Von rund 7.000 identifizierten Hosts, die eine Protokollantwort lieferten, reagierten fast 1.300 Hosts auf den Nicht-Standard-Ports auf ATG-Anfragen. Dies entspricht knapp 20 % der gefundenen Systeme. Ähnliche Ergebnisse zeigen sich für weitere ICS-Protokolle wie WDBRPC, DIGI, FINS, BACNET, S7, IEC 60870-5-104, OPC UA und DNP3. Die Analyse zeigt eine erhebliche Zunahme der erfassten Systeme im Laufe der Beobachtung – in einigen Fällen fast eine Verdopplung der erkannten ICS-Geräte, in anderen Fällen einen moderaten Anstieg.

Anhand dieser Ergebnisse könnte man erwarten, dass die drei Standard-Ports +/- 1 die größten Ports für jedes Protokoll sind. Doch ist dies auch wirklich immer der Fall?

Port-Tweaking: Ports mit ungewöhnlicher Zahlenfolge scannen

Eine weitere interessante Beobachtung betrifft das Modbus-Protokoll. Denn neben dem Standard-Port 502 lässt sich ein auffälliges Muster identifizieren: Viele Modbus-Geräte reagierten auch auf Port 6502. Dabei handelt es sich jedoch keineswegs um eine willkürliche Wahl, sondern vielmehr eine einfache Methode – das Voranstellen einer Ziffer vor bekannte Ports oder den Standard-Port. Dies führt zu einem neuen Ansatz für das Scannen von ICS-Ports: das Port-Tweaking. Port-Tweaking wurde auf Basis der Hypothese aufgebaut, dass Dienste nicht nur auf leicht abweichenden Ports betrieben werden, sondern dass in manchen Fällen eine bestimmte Zahl vorangestellt wird. Ein Beispiel dafür ist HTTPS: Es läuft normalerweise auf Port 443, aber oft auch auf Ports wie 1443, 2443, 3443 und 4443.

Für die Bestätigung dieser Hypothese wurde eine Untersuchung mit Fokus auf ICS-Geräte durchgeführt, die bereits als potenzielle ICS-Hosts erfasst waren, jedoch keine ICS-spezifischen Protokolle wie Modbus oder DNP aufwiesen. Eine Kennzeichnung als potenzielles ICS bedeutet in der Regel, dass eine Art HTTP-basierte Schnittstelle vorhanden ist. Durch gezielte Scans auf Port-Tweaks konnten über 200 zusätzliche ICS-Hosts identifiziert werden, die zuvor unentdeckt geblieben waren. Die häufigsten dabei gefundenen Protokolle waren Modbus und Fox, wobei auch einige andere industrielle Kommunikationsprotokolle erfasst wurden.

Diese Ergebnisse zeigen, dass sich viele ICS-Systeme nicht an gängige Standards halten und dass innovative Scan-Techniken erforderlich sind, um ein vollständigeres Bild der tatsächlich im Internet erreichbaren Systeme zu erhalten. Port-Tweaks sind also bei einigen ICS-Protokollen beobachtbar, bei anderen jedoch nicht. Was also, wenn es andere Hotspots von Ports gibt, die für ICS-Protokolle beliebt sind, die aber keine Port-Tweaks sind? Was, wenn Hersteller standardmäßig einen offenen Port verwenden, der nichts mit dem Standard-Port zu tun hat, sodass dieser leicht übersehen werden kann?

Tiefensuche: 65k-Port-Scans und ihre Erkenntnisse

Für ein noch tieferes Verständnis der Port-Verteilung industrieller Steuerungssysteme wurde eine groß angelegte Analyse aller 65k-Ports durchgeführt. Statt eines blinden Scans des gesamten IOv4-Raums wurde eine gezielte Methode entwickelt:

– Einschränkung auf bereits als ICS identifizierte Hosts: Diese waren besonders relevant, da sie potenziell ICS-Protokolle nutzen, jedoch nicht unbedingt auf bekannten Ports.
– Filtern von Hosts mit zu vielen offenen Ports: Systeme, die bereits eine Vielzahl von offenen Diensten aufwiesen, wurden ausgeschlossen, um gezieltere Analysen zu ermöglichen.
– Ausschluss gängiger Web- und Standard-Ports: Ports wie 80, 443 und ähnliche wurden ignoriert, um den Fokus auf ungewöhnliche ICS-Ports zu legen.
– Scan: ICS-Scans gegen diese Host/Port-Paare und eine Analyse wurden durchgeführt, welche Ports für jedes Protokoll am häufigsten reagieren.

Diese systematische Untersuchung lieferte neben weniger überraschenden Ergebnissen – z.B. DNP3 auf Modbus Standard Port 502, Modbus auf 552 – auch unerwartete Ergebnisse. Beispielsweise wurde das WDBRPC-Protokoll auffällig oft auf Port 111 gefunden – einem Port, der sonst nicht mit ICS-Kommunikation in Verbindung gebracht wird. Bei der Analyse ist zu beachten, dass es sich um einen begrenzten Scan handelte mit Hosts, die mit hoher Wahrscheinlichkeit ansprechbar waren – die Ergebnisse kratzen also nur an der Oberfläche der Aufdeckung von ICS-Geräten.

Der blinde Fleck außerhalb der Standard-Ports

Die Ergebnisse der Untersuchungen zeigen, dass sich das traditionelle Verständnis über die Verteilung industrieller Kommunikationsprotokolle dringend weiterentwickeln muss. Der Fokus auf Standard-Ports reicht schlicht nicht mehr aus für ein umfassendes Bild der ICS-Bedrohungslandschaft. Dass sich viele ICS-Scans und Sicherheitsanalysen ausschließlich auf die Standard-Ports fokussieren, führt wie gezeigt dazu, dass eine große Anzahl potenziell sicherheitskritischer Systeme übersehen wird. Die zunehmende Verlagerung von ICS-Protokollen auf nicht-standardisierte Ports erfordert es, neue Methoden zur Identifikation dieser Systeme zu entwickeln. Für einen umfassenden Überblick über das Internet und Assets muss gezielt nach weiteren Mustern gesucht werden, die auf eine systematische Verschiebung der ICS-Port-Nutzung hindeuten. Klar ist: Die bisherige Herangehensweise muss überdacht werden, um die verborgenen Strukturen industrieller Kommunikation vollständig zu erfassen.

Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.

Firmenkontakt
Censys
Eugenia Kendrick
S Main Street 116
48104 Ann Arbor
+1-888-985-5547
www.censys.com/de

Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
D-56472 Nisterau
+49 (0) 26 61-91 26 0-0
www.sprengel-pr.com