Continental AG

„TISAX ist für unsere Branche heute das wichtigste Gütesiegel. Ohne das robuste, risikobasierte Schwachstellen-Management und den ganzheitlichen Blick auf unsere Angriffsfläche, den die Exposure Management-Plattform Tenable One bietet, könnten wir die ENX-Anforderungen kaum erfüllen. Und viele Türen blieben uns verschlossen“, sagt Martin Sturm, CISSP und IT-Security Manager bei Continental.

Stärkung seiner Position als zuverlässiger Supply-Chain-Partner

Sturm stieß 2023 nach einem schweren Cyber-Vorfall zu Continental, um dort die Einführung eines unternehmensweiten Vulnerability Managements für IT, OT und Cloud zu koordinieren. "But TISAX is a relatively recent development," he notes. "When we originally made the decision to invest in vulnerability management, the issues of governance and compliance played a relatively subordinate role. Die vordringliche Aufgabe war es seinerzeit, zuverlässig zu verhindern, dass sich ein Angriff wie der von 2022 wiederholt.“

Die Suche nach einer passenden Lösung begann mit einer umfangreichen Marktanalyse. Das neu aus der Taufe gehobene Vulnerability-Management-Team bei Continental entwickelte dafür einen detaillierten Anforderungskatalog und glich diesen im ersten Schritt mit den Portfolios aller etablierten VM-Hersteller ab. Anschließend wurden die vier aussichtsreichsten Kandidaten bei einem umfassenden Proof of Concept getestet. „Wir setzten eine Anwendungslandschaft auf, die sich eng an unserer tatsächlichen IT-Infrastruktur orientierte, und versteckten darin Dutzende unterschiedlichster Schwachstellen – von fehlerhaft konfigurierten Kubernetes-Clustern über ungepatchte OT-Systeme bis hin zu Service-Accounts mit unnötig weit gefassten Berechtigungen. Dann scannten wir diese Umgebung nacheinander mit den vier VM-Lösungen, um zu sehen, wer sich am besten schlägt“, so Sturm.

Die Regeln waren dabei so einfach wie objektiv – die Lösung, die die meisten Schwachstellen fände, sollte den Zuschlag bekommen. Tenable One identifizierte im Schnitt 25 Prozent mehr Schwachstellen als der Wettbewerb – und konnte darüber hinaus in mehreren kritischen Use Cases überzeugen.

Tenable bietet strategischen Vorteil

Am Ende der sechsmonatigen Testphase konnte sich Tenable im starken Teilnehmerfeld gegen die Wettbewerber durchsetzen. Das Unternehmen punktete dabei vor allem mit dem holistischen Ansatz, den die zentrale Exposure Management-Plattform Tenable One ermöglicht. Die Plattform führt das von Continental gewünschte Feature-Set mit Vulnerability- und Attack-Surface-Management, Cloud- und Web Application-Security sowie OT-Security in einer durchgängigen All-in-One-Lösung zusammen. Der integrierte Überblick machte es dem Team leicht, Schwachstellen zu korrelieren, Datensilos zu beseitigen und Risiken zu minimieren.

Herausragende Erkennungsrate in Cloud und OT

Besonders viele Punkte sammelte Tenable One dabei in den Bereichen Cloud-Security und OT. Die Plattform punktete in mehreren kritischen Use Cases – etwa bei der Erkennung von Fehlkonfigurationen in Cloud-Umgebungen, beispielsweise Azure PIM und Amazon S3 Buckets.

Ganzheitliche Plattform liefert holistische Einblicke

Im Frühjahr 2024 machte sich das Projektteam daran, die Tenable One-Installation aus dem Proof of Concept (PoC) in den Echtbetrieb zu überführen. Mit Blick auf die hohe Integrationstiefe, den breiten Funktionsumfang der Plattform und die Komplexität der Umgebung entschied sich das Team dabei für einen mehrstufigen Ansatz:

• Zunächst wurde in der IT-Umgebung von Continental das Vulnerability Management mit Tenable Nessus Scannern sowie das unternehmensweite Attack Surface Management ausgerollt
• Phase 2 fokussierte dann auf die parallele Einführung von Tenable Web App Scanning und Tenable Cloud Security
• In Phase 3 erfolgte schließlich der Rollout der OT-Security-Lösung

Phase 1: Vulnerability- und Attack-Surface-Management mit Tenable Nessus

Als multinationales Unternehmen, das in 56 Ländern aktiv ist und 200.000 Mitarbeiter beschäftigt, betreibt Continental weltweit über 500.000 dedizierte IT-Assets. Um diese Systeme zuverlässig erfassen und scannen zu können, waren mehr als 200.000 Tenable Nessus Scanner erforderlich – doch trotz dieses enormen Volumens ging der Rollout reibungslos vonstatten.

"We set up a relatively simple metric. Locations with fewer than 1,000 IT systems are scanned centrally by us," recalls Sturm. "In all larger locations, we set up dedicated scanners because there were usually enough reserves there to manage the scans on-site. In this way, we were able to parallelize many tasks – and covered over 80 percent of the IT systems within a very short time."

10 Prozent mehr Web-Assets als vermutet

Um auch potenziell gefährdete, unbekannte Web-Assets zu identifizieren, ergänzte das Team die Nessus-Scans um das Tenable Attack Surface Management. Die Lösung analysierte die DNS-Einträge, IP-Adressen und ASNs im Continental-Netzwerk, um alle webfähigen Systeme zu lokalisieren – und fand dabei immerhin zehn Prozent mehr Assets als ursprünglich vermutet. Anschließend wurden die identifizierten Systeme anhand unterschiedlichster Metadaten inventarisiert, um einen optimalen Überblick über die IT-Landschaft zu erhalten.

Phase 2: Tenable Cloud Security und Tenable Web App Scanning

Die Cloud ist bei Continental heute allgegenwärtig. In vielen Innovationsbereichen kommt der eigenen Anwendungsentwicklung eine Schlüsselrolle zu –und die spielt sich bei Continental wie in jedem Softwareunternehmen heute weitgehend in der Cloud ab. Um die Sicherheit der Daten und der Zugriffe in der Cloud zu gewährleisten, integrierte das Projekt-Team mit Tenable Cloud Security eine dedizierte CNAPP-Lösung, die über offene APIs an die großen Public-Cloud-Anbieter angebunden ist und potenzielle Schwachstellen in Hybrid- und Multi-Cloud-Umgebungen lokalisiert. So lassen sich nicht nur Konfigurationen und Workloads in der Cloud schützen, sondern auch Entwicklungs-, IaC- und Kubernetes-Umgebungen jederzeit sicher betreiben.

"Tenable Cloud Security helps us cut cloud risks faster and easier—no experts needed. It reveals toxic access, flags anomalies, and gets us closer to least privilege," notes Sturm.

Parallel dazu integrierte Continental das Tenable Web App Scanning – einen leistungsfähigen Scanner, der die rund 2.500 internen und externen Web-Anwendungen und APIs im Konzern dynamisch auf mögliche Schwachstellen hin scannt, und so die Weichen für eine zeitnahe Behebung ohne Disruptionen stellt.

Phase 3: Schutz der OT-Umgebung

Nach dem Abschluss der ersten beiden Phasen nahm das Team mit dem Rollout von Tenable OT Security die finale Projektphase in Angriff – und betrat dabei in vielen Bereichen Neuland. Im Rahmen des PoCs waren bereits einige ausgewählte OT-Standorte eingebunden worden, und das Tenable Professional Services-Team trug mit kompetenter Beratung und zusätzlichen Ressourcen dazu bei, in der komplexen Umgebung von Continental eine reibungslose Implementierung sicherzustellen.

Der eigentliche Anlagenpark präsentierte sich allerdings ungleich heterogener als die ursprüngliche Auswahl. Hinzu kam, dass sich durch den hohen Anteil von On-Prem-Systemen nur wenige Aufgaben remote lösen ließen und häufig vor Ort nachjustiert werden musste – und auch die enorme Bandbreite an Betriebssystemen, Softwareständen, Protokollen und Schnittstellen, die Industrieumgebungen heute prägen, erwies sich als echte Herausforderung.

"We were well aware of the difficulties that awaited us," confirms Sturm. „Die meisten dieser Hürden haben sich dann auch in der einen oder anderen Form eingestellt. Trotzdem hat der Rollout von Tenable OT Security nicht nur unser Security-Standing verbessert, sondern auch sehr relevante Einsparungen ermöglicht, weil wir unser gesamtes Exposure-Management-Programm in einer zeitgemäßen und konsolidierten Plattform zusammenführen konnten.“

An der ISO 27001 angelehntes ISMS stellt die Weichen für NIS-2 und TISAX

Bei der Bewertung und Priorisierung der identifizierten IT-, Cloud- und OT-Schwachstellen setzte Continental vom ersten Tag an auf einen konsequent risikobasierten Ansatz, der sich eng an den Vorgaben der ISO 27001 orientiert. Statt die Schwachstellen lediglich nach der CVSS-Bewertung zu taggen, verwendet das Team dabei die von Tenable bereitgestellten, wesentlich aussagekräftigeren Vulnerability Priority Ratings (VPR), die neben der Schwere der Schwachstellen auch die Exploit-Wahrscheinlichkeit berücksichtigen. Anschließend werden die VPR-Bewertungen zudem noch einmal mit Blick auf ihr Risikopotenzial validiert, erklärt Sturm. „Wenn man auf zwei Notebooks die gleiche Schwachstelle hat, eines aber dem CEO und das andere einem Praktikanten gehört, ist die Kritikalität im ersten Fall natürlich ungleich höher. Diese individuelle Nachjustierung erfordert zwar einiges an Aufwand, ermöglicht es uns aber, den Business-Impact der Schwachstellen mit zu berücksichtigen – und unsere Energie so immer auf die gefährlichsten Brandherde zu fokussieren.“

Executive-Haftung ist kein Thema mehr

Die risikobasierte Herangehensweise trägt dabei nicht nur zur Effizienz der Prozesse und zum Schutz kritischer Systeme bei, sondern ist auch mit Blick auf die Compliance von entscheidender Bedeutung: Sowohl der eingangs angesprochene TISAX-Standard als auch die NIS-2-Richtlinie nehmen die Verantwortlichen der Unternehmen in die Pflicht, ein systematisches Risikomanagement zu betreiben und sehen bei Verstößen sogar vor, die Geschäftsführungen persönlich in Haftung zu nehmen. "There can be no compromises when it comes to complying with legal requirements and relevant industry standards. Compliance ist für uns daher ein ganz zentrales Thema, und Tenable One hilft uns dabei, die komplexen Vorschriften und Standards zu erfüllen. By implementing this holistic, risk-based platform, we have set the course for seamless monitoring, implementation, and documentation of all relevant requirements", Sturm emphasizes.

Ausstrahleffekte auf die Patch-Kultur des Unternehmens

Um das Potenzial der Exposure Management-Plattform optimal auszuschöpfen, leitet Sturms Team die Informationen zu den Cloud-Schwachstellen inklusive konkreter Handlungsempfehlungen automatisch auch an die Asset- und die Patch-Manager im Unternehmen weiter. Diese entscheiden dann selbst, wie mit den jeweiligen Risiken umzugehen ist – sprich: ob die Schwachstellen geschlossen oder die Risiken akzeptiert werden. Den engen Austausch zwischen den Teams bewertet Sturm dabei als großes Plus. „Die klare Kommunikation von Schwachstellen und Business-Impacts hat auf jeden Fall zu einer ganz neuen, viel sensibleren Patch-Kultur geführt. Wenn die zuständigen Kollegen auf einen Blick sehen, welche Gefahr von einer Schwachstelle ausgeht, und konkrete Hinweise zu deren Behebung erhalten, wird diese in aller Regel auch zeitnah geschlossen.“

Robuste Datenbasis für fundierte Entscheidungen

Parallel dazu werden die Roh-Daten von Tenable One außerdem per API automatisiert an das Reporting-Team von Continental übergeben, das die riesigen Datenmengen anschließend auf dezentrale Datenbanken verteilt und für die Executives aufbereitet. Auf diese Weise bleiben die Stakeholder und Entscheider im Unternehmen jederzeit über den Status Quo und die Erfolge im Vulnerability Management auf dem Laufenden und können bei ihren Entscheidungen auf eine robuste Datenbasis zugreifen. "The extensive automation of processes is another major benefit for the team, and frees up the employees to focus on the jobs they were originally hired for – even if we are far from unlocking the full potential," says Sturm.

Die im Dezember 2024 vom Continental Vorstand bekanntgegebene Abspaltung des Unternehmensbereichs Automotive – bei der auch die gemeinsame IT-Infrastruktur der Units Automotive, Tires, ContiTech und Vibration Control künftig in vier dedizierte Umgebungen überführt werden soll – eröffnet dem Vulnerability Management Team eine Vielzahl spannender neuer Optionen, da die erfolgreich implementierte Tenable One Plattform nun auch in zwei weiteren Geschäftsbereichen – ContiTech und Tires – ausgerollt werden kann.