Mit TIBER-DE setzt die Bundesbank das vom ESZB ausgearbeitete Rahmenwerk für bedrohungsgeleitete ethische Penetrationstests, kurz TIBER-EU, seit vergangenem Sommer auch für Deutschland um. Fachmännische Unterstützung bei der Durchführung der unabhängigen, umfassenden Angriffssimulationen erhalten die deutschen Finanzmarktakteure dabei von den Sicherheits-Experten von SEC Consult. Mit spezialisierten Red Teaming-Projekten helfen sie Banken, Versicherungen, Fintechs und deren Dienstleistern bei der Überprüfung ihrer Systeme auf Schwachstellen und dem nachhaltigen Ausbau ihrer Cyber-Resilienz.
Als kritische Infrastruktur ist der Finanzdienstleistungssektor für Cyberkriminelle ein attraktives Angriffsziel. Die zunehmende Digitalisierung sowie hochentwickelte Angriffstechniken und Schadprogramme bringen die Cyberabwehr von Banken immer öfter an ihre Grenzen. Aus diesem Grund haben das Bundesministerium der Finanzen (BMF) und die Deutsche Bundesbank mit TIBER-DE ein Rahmenwerk ausgearbeitet, das die Widerstandsfähigkeit des gesamten deutschen Finanzsystems gegen Cyberangriffe stärken soll. Dabei ist TIBER-DE ein deutscher Ableger des im Mai 2018 von der Europäische Zentralbank verabschiedeten Framework for Threat Intelligence-based Ethical Red Teaming (TIBER-EU). Das Rahmenwerk gründet auf vollumfänglichen Angriffssimulationen, d.h. systematischen Threat Intelligence-basierten Red Teaming-Tests, deren Ziel es ist, Schwachstellen und Sicherheitslücken in kritischen Systemen nach einer streng definierten Vorgehensweise aufzuspüren. Auf dem Prüfstand stehen dabei sämtliche Cyber-Abwehrmaßnahmen eines Unternehmens, aber auch die Effektivität der organisationsinternen IT-Sicherheits-Experten, den so genannten Blue Teams.
Realitätsnahe Angriffssimulation mit Hilfe von Red Teaming
Als unabhängiger, externer Cybersecurity-Berater steht SEC Consult dem Finanzdienstleistungssektor als kompetenter Red Teaming-Partner für die Durchführung von TIBER-DE-Tests zur Seite und identifiziert und bewertet im Rahmen umfangreicher Red Teaming-Projekte Schwachstellen in der Cyber-Defense-Strategie von Banken. Dafür imitieren die Spezialisten das Verhalten realer Cyberkrimineller und nutzen eine Vielzahl möglicher Angriffsmuster und Angriffsvektoren – von der Sammlung von Open-Source-Intelligenz (OSINT) über Social Engineering über (Spear-)Phishing mit maßgeschneiderter Malware bis hin zum physischen Infiltrieren des Unternehmens und anschließender Kompromittierung. Die verschiedenen Missionen, die das Red Team dabei verfolgt, werden aus Risikoanalysen und Threat Intelligence abgeleitet und sind deshalb speziell auf das zu testende Unternehmen zugeschnitten.
Auch menschliche Faktoren im Fokus
„Der Red Teaming-Ansatz, wie ihn das TIBER-DE-Framework vorsieht, geht über das klassische Pentesting hinaus. So berücksichtigt Red Teaming neben technischen insbesondere auch menschliche Sicherheits-Faktoren, die herkömmliche Penetrationstests eben nicht inkludieren“, erklärt Markus Robin, General Manager von SEC Consult. „Der Tester stellt also nicht nur Systeme innerhalb einer Umgebung auf den Prüfstand, sondern auch die Menschen und die Prozesse des Unternehmens. Hierdurch ergibt sich ein umfassendes Bild der aktuellen Sicherheitslage, das es Unternehmen ermöglicht, sich optimal auf Angriffe vorzubereiten. Das Red Teaming-Kompetenzzentrum von SEC Consult besteht aus einem internationalen Experten-Team, das alle sinnvollen Angriffsszenarien innerhalb des von TIBER-DE festgelegten Rahmens strukturiert und intelligent umsetzt.“
Bisher können Banken und Versicherungen noch selbst entscheiden, ob sie ihre Systeme mit Red Teaming auf die Probe stellen oder nicht, doch eine Verpflichtung der Finanzmarktakteure von Seiten der Bundesbank in absehbarer Zeit steht bereits im Raum. „Unabhängig davon, ob die Schwachstellen-Überprüfung gemäß TIBER-DE zukünftig obligatorisch sein wird, sollten Banken allein schon aus Eigeninteresse regelmäßig TIBER-Tests durchführen, um ihre Cyber-Abwehr zu stärken und das deutsche Finanzsystem nachhaltig und flächendeckend sicherer zu machen“, ergänzt Robin.
