Security Rating - Sicherheitsbewertung (BitSight, SecurityScorecard)

Security Ratings sind der “Bonitätsscore” der Cybersicherheit - ähnlich wie SCHUFA für Kreditwürdigkeit, aber für IT-Sicherheit. BitSight behauptet: “Unternehmen mit einem BitSight-Score unter 640 haben eine 7.7× höhere Wahrscheinlichkeit, eine Datenpanne zu erleiden.” Cyber-Versicherer nutzen Security Ratings als Underwriting-Faktor. Procurement-Teams prüfen Lieferanten-Scores bevor sie Verträge abschließen. CISOs nutzen eigene Scores im Executive-Reporting.

Wie Security Ratings funktionieren

Datenquellen für Security Ratings (alle extern/passiv):

Technische Signale:
  → Internet-Scanning (Shodan, Censys): offene Ports, Dienste, Versionen
  → SSL/TLS-Konfiguration: TLS-Version, Zertifikat-Gültigkeit, Cipher Suites
  → E-Mail-Sicherheit: SPF, DMARC, DKIM vorhanden und konfiguriert?
  → DNS-Konfiguration: DNSSEC aktiviert? Offene DNS-Resolver?
  → HTTP-Security-Header: CSP, HSTS, X-Frame-Options, etc.
  → Web-Application-Fingerprints: erkennbare Software-Versionen

Kompromittierungs-Signale:
  → Botnetz-Traffic: sendet die IP Spam oder C2-Traffic?
  → Malware-Hosting: wurden Malware-Samples von dieser IP verteilt?
  → Phishing-Hosting: laufen Phishing-Seiten auf der Domain?
  → Sinkhole-Daten: hat die IP auf C2-Server verbunden?
  → Ransomware Leak-Sites: taucht die Firma auf Leak-Sites auf?

Dark Web:
  → Credential Leaks: E-Mail/Passwort-Kombinationen im Darknet?
  → Breach Mentions: taucht die Organisation in Breach-Daten auf?
  → Threat Actor Mentions: diskutieren Bedrohungsakteure das Unternehmen?

Score-Berechnung:
  BitSight:       0-900 (700+ = gut, <600 = schlecht)
  SecurityScorecard: A-F (A = sehr gut, F = sehr schlecht)
  Riskrecon:      0-10 (9-10 = hervorragend)

  Faktoren-Gewichtung (SecurityScorecard Beispiel):
  - Application Security:      20%
  - Network Security:          20%
  - DNS Health:                10%
  - Patching Cadence:          20%
  - Endpoint Security:         10%
  - IP Reputation:             10%
  - Web Application Scanning:  5%
  - Cubit Score:               5% (komplexe Signale)

Hauptanbieter im Vergleich

BitSight Technologies:
  Skala:       250-900 (700+ = "Advanced", <600 = "Basic" oder schlechter)
  Stärke:      Größte Datensammlung, am häufigsten für Cyber-Versicherungen
  Besonderheit: "Evidence Ratings" - konkrete Findings nicht nur Score
  Nutzung:     Cyber-Versicherungen (am häufigsten genutzt)
  Preis:       Enterprise, Preise auf Anfrage

SecurityScorecard:
  Skala:       A-F + numerischer Score (0-100)
  Stärke:      Beste UI, verständlich für Non-Technical Executives
  Besonderheit: 10 Kategorien mit Einzelscores, Branchen-Vergleich
  Nutzung:     Vendor Risk Management, Executive Reporting
  Preis:       Basis kostenlos (eigener Score), Premium-Features kostenpflichtig

Riskrecon (Mastercard):
  Skala:       0-10
  Stärke:      Detaillierteste technische Findings
  Besonderheit: Tiefste Asset-Erkennung (Sub-Domains, Cloud-Assets)
  Nutzung:     Detailliertes Vendor Assessment
  Preis:       Enterprise

Panorays:
  Stärke:      Supply-Chain-Fokus, auch nicht-technische Faktoren (Compliance-Fragebogen)
  Nutzung:     Third-Party Risk Management mit Lieferanten-Selbstauskunft
  Besonderheit: Kombiniert passive Scans + aktive Fragebögen

Upguard:
  Skala:       0-950
  Stärke:      Umfangreiche Sicherheitschecks, gute API
  Preis:       Auch für KMU (Starter-Pakete verfügbar)

Kostenloser Eigen-Score-Check:
  SecurityScorecard: securityscorecard.com → eigenen Score kostenlos abrufen
  Mozilla Observatory: observatory.mozilla.org → Web-Security-Check
  ImmuniWeb: immuniweb.com/websec → Web-Sicherheitsprüfung
  SSL Labs:   ssllabs.com/ssltest → TLS-Score

BitSight Eigenbewertung:
  → bitSight Free: grundlegender Score einsehbar (Portfolio)
  → Ähnliche kostenlose Alternative: Shodan Monitor

Security Ratings für Vendor Risk Management

Third-Party Risk Management (TPRM) mit Security Ratings:

Warum wichtig?
  → 60% aller Datenpannen haben Drittanbieter-Beteiligung (Ponemon 2024)
  → Lieferketten-Angriffe: SolarWinds, Kaseya, MOVEit
  → ISO 27001 A.5.21: Sicherheit in der Lieferkette
  → NIS2 Art. 21: Supply-Chain-Sicherheit als Pflicht

TPRM-Prozess mit Security Ratings:

  Tier-Einstufung der Lieferanten:
    Tier 1 (Kritisch):   Zugang zu kritischen Systemen/Daten
                         → SecurityScorecard + Detaillierter Fragebogen + Audit
    Tier 2 (Wichtig):    Begrenzte Systeme/Daten-Zugang
                         → SecurityScorecard + Standard-Fragebogen
    Tier 3 (Standard):   Kein wesentlicher Datenzugang
                         → SecurityScorecard-Score + Self-Attestation

  Onboarding neuer Lieferanten:
    □ SecurityScorecard-Score abrufen (< 1 Minute!)
    □ Score < 70 (F/D): Lieferant muss Korrekturplan vorlegen
    □ Kritische Issues (Malware-Hosting, offene Port 22): sofortige Klärung
    □ Score gut: Fragebogen senden (ggf. vereinfacht)

  Laufendes Monitoring (Continuous Monitoring):
    → Alerts bei Score-Verschlechterung (z.B. Score fällt um >20 Punkte)
    → Alert bei neuen kritischen Issues (Malware, Breach-Erwähnung)
    → Quartalsweise Review der Tier-1-Lieferanten

  Beispiel-Policy (Lieferanten-SLAs):
    Tier 1 Lieferant: Minimum SecurityScorecard Score = B (>80)
    Bei Score-Verschlechterung zu C: 30 Tage Korrekturplan
    Bei Score-Verschlechterung zu D/F: 14 Tage, Eskalation zum CISO
    Malware-Hosting entdeckt: sofortige Kontaktaufnahme, 72h zur Klärung

  Reporting an Management:
    → Durchschnittlicher Lieferanten-Score (Trend)
    → Anzahl Lieferanten unter Minimum-Score
    → Kritische Issues im Lieferanten-Portfolio
    → "Wir haben 3 Tier-1-Lieferanten unter Score 70 - Maßnahmen eingeleitet"

Security Ratings in der Cyber-Versicherung

Cyber-Versicherer nutzen Security Ratings als Underwriting-Faktor:

Wie Versicherer Security Ratings nutzen:
  Prämien-Kalkulation: niedrigerer Score → höhere Prämie
  Risikoausschlüsse: bestimmte Issues → Ausschluss von Coverage
  Onboarding: Score unter Schwellwert → mehr Underwriting-Fragen
  Renewal: Score-Verschlechterung → Prämienanpassung

BitSight + Versicherungsmarkt:
  → BitSight ist Marktstandard bei US-Versicherern (Berkshire, Aspen, etc.)
  → Zunehmend auch in Deutschland (Markt noch im Aufbau)
  → "BitSight Score < 640 = deutlich höheres Prämienangebot oder Ablehnung"

Verbesserungen die den Score schnell verbessern:
  Niedrig-hängende Früchte (schneller Impact):
    □ E-Mail-Security: SPF/DMARC/DKIM konfigurieren → sofortiger Score-Anstieg
    □ HTTPS überall: fehlende HTTPS-Weiterleitungen fixen
    □ Offene Ports schließen: nicht benötigte Ports in Firewall blockieren
    □ SSL-Zertifikat erneuern: abgelaufenes Zertifikat → sofort Score-Verlust
    □ Kompromittierte IPs: Bot-Traffic-Probleme bereinigen (Hosting-Provider!)

  Mittelfristig (Wochen):
    □ Patch Management: erkennbare ungepatchte Software-Versionen
    □ HTTP-Security-Header: HSTS, CSP, X-Frame-Options implementieren
    □ Veraltete TLS-Versionen: TLS 1.0/1.1 deaktivieren

  Langfristig (Monate):
    □ Reputation: Malware/Spam-Hosting-Historie verbessert sich über Zeit
    □ Asset Discovery: nicht bekannte Sub-Domains sichern oder löschen

Warum Security Ratings keine vollständige Sicherheitsbewertung sind:
  → Nur externe, passive Signale - kein Einblick in interne Systeme
  → Kein Phishing-Simulation, kein Awareness-Training messbar
  → Kein internes Netzwerk, kein AD, kein Endpoint-Status
  → "Security Theater": guter Score ≠ keine internen Schwächen
  → Echter Wert: Angreifer-Perspektive + Lieferanten-Monitoring + Benchmarking
  → Ergänzung: Security Rating + Pentest + SIEM + Awareness = vollständiges Bild