Beiträge

TIBER-EU

TIBER-EU: Ein Framework für Red Team Penetra­ti­ons­tests zur Stärkung der Cyber­re­si­lienz

Mit TIBER-EU hat die Europäische Zentralbank ein Framework veröf­fent­licht, mit dem sich Unter­nehmen im Finanz­sektor besser gegen Cyber­an­griffe wappnen können, um wirtschaft­liche Schäden zu vermeiden. Die eigene Cyber­si­cherheit kann durch sogenannte „Red Team“-Penetrationstests überprüft werden. Im Vergleich zur einfachen Sicher­heits­analyse hat dies den Vorteil, dass externe Angreifer unter realen Bedin­gungen mit profes­sio­nellen Angriffs­me­thoden arbeiten. Dabei wird offen­gelegt, wie weit sie in die vorhandene Infra­struktur vordringen und in welchem Ausmaß die Organi­sation geschädigt werden könnte. Unsere SRC-Experten bereiten Ihr Unter­nehmen optimal und indivi­duell auf die Durch­führung eines TIBER-EU-Tests vor.

Im Detail: Was ist TIBER-EU?

TIBER-EU dient dazu, dass Organi­sa­tionen sog. Threat- bzw. Intel­li­gence-Led-Penetration-Tests durch­führen können. Diese Art des Penetra­ti­ons­tests soll die hochagilen Angriffs­me­thoden tatsäch­licher Angreifer imitieren. Dadurch können Organi­sa­tionen bessere Vorsorge‑, Sicher­heits- und Kontroll­maß­nahmen entwi­ckeln und schneller auf Bedroh­nungen reagieren. Die eigene Cyber­re­si­lienz wird so gestärkt. Der TIBER-EU Test gleicht dabei einer militä­risch angehauchten Übung. Angreifer (Red Teams) und die sich vertei­di­gende Organi­sation (Blue Teams) bekämpfen sich im Rahmen eines zuvor festge­legten Testscope. Das Red Team versucht, die kriti­schen Geschäfts­funk­tionen und Geschäfts­pro­zesse einer Organi­sation anzugreifen, Daten zu stehlen und den Live-Betrieb der Produk­tiv­systeme dieser Organi­sation zu stören. Dies umfasst sowohl Angriffe gegen infor­ma­ti­ons­tech­ni­schen Systeme, aber auch gezielte Angriffe gegen Mitar­beiter und Prozess­struk­turen.

Was ist in einem TIBER-EU-Test nicht erlaubt?

Im Rahmen der TIBER-EU-Tests sollen reali­tätsnahe Methoden verwendet werden. Aller­dings darf ein solcher Test, trotz seiner Nähe zur Realität, keines­falls über die Grenzen hinaus­schießen. Derzeit ist noch nicht völlig klar, welche Angriffs­me­thoden vom dem sich noch in der Entwicklung befin­denden TIBER-DE-Guide explizit verboten oder erlaubt werden. Orien­tiert man sich für einen ersten Eindruck am nieder­län­di­schen TIBER-NL- bzw. belgi­schen TIBER-BE-Guide, so verbieten diese z.B.:

  • die Zerstörung von Geräten,
  • unkon­trol­lierte Änderung von Daten und Programmen,
  • Gefährdung der Konti­nuität von kriti­schen Geschäfts­funk­tionen,
  • Erpres­sungs­ver­suche gegen Mitar­beiter,
  • Bedro­hungen gegen Mitar­beiter und
  • Bestechung von Mitar­beitern der Organi­sation sowie
  • die Veröf­fent­li­chung von (Teil-)Ergebnissen eines TIBER-EU-Tests.

Was schließlich im TIBER-DE-Guide stehen wird, bleibt abzuwarten. Grund­sätzlich kann jedoch davon ausge­gangen werden, dass Paral­lelen zu den oben aufge­führten Guides bestehen werden.

An wen richtet sich TIBER-EU?

Primär richtet sich TIBER-EU an Finanz­markt­in­fra­struk­turen, Organi­sa­tionen und Insti­tu­tionen, die innerhalb von Finanz­markt­in­fra­struk­turen tätig sind. Das sind z.B. Banken, Versi­che­rungen, Zahlungs­dienst­leister, Clearing­häuser, Zentral­ver­wahrer, Kredit­ra­ting­agen­turen, Börsen oder Zahlungs­in­stitute. Lagern diese Organi­sa­tionen kritische Geschäfts­funk­tionen an IT-Dienst­leister aus, so richtet sich TIBER-EU auch an diese. Sekundär könnten im Rahmen von Harmo­ni­sie­rungs­maß­nahmen auch weitere Branchen, wie z.B. Strom­netz­be­treiber oder Telekom­mu­ni­ka­ti­ons­an­bieter, zur Durch­führung von TIBER-EU-Tests verpflichtet werden.

Sind Sie bereit für einen TIBER-Test?

Zur erfolg­reichen Umsetzung eines TIBER-Tests müssen Organi­sa­tionen die erfor­der­lichen techni­schen, organi­sa­to­ri­schen und daten­schutz­be­dingten Maßnahmen ordnungs­gemäß beachten, umsetzen und beherr­schen.

Vor dem Hinter­grund ihrer umfang­reichen Finanzmarkt‑, IT-Sicher­heits- und Compliance-Expertise bieten unsere SRC-Experten Ihnen optimale und indivi­duelle Beratungs­dienst­leis­tungen an. Mit der Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­pro­jekten begleiten wir Sie gerne durch den gesamten Verfah­rens­ablauf eines TIBER-Tests. Weitere Infor­ma­tionen können Sie hier finden.

BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ – 19. September 2019

In Koope­ration mit der SRC Security Research & Consulting GmbH richtet die Bank-Verlag GmbH ein BarCamp zum Thema „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ aus. Die Veran­staltung findet am 19. September 2019 in den Räumen des Bank-Verlags in Köln statt.

Mit den „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (kurz BAIT) hat die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht (BaFin) auch die neue Funktion des Infor­ma­ti­ons­si­cher­heits­be­auf­tragten definiert. Dieser steuert den Infor­ma­ti­ons­si­cher­heits­prozess und berichtet direkt an die Geschäfts­leitung. Wie diese Theorie in der Praxis aussieht, wird am 19. September im BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ näher beleuchtet.

Das BarCamp-Prinzip

Ein BarCamp ist eine offene Tagung mit praxis­nahen Workshops. Die Workshops dienen dem inhal­tichen Austausch und der Diskussion unter den Teilneh­menden. Dabei werden die Inhalte und der Ablauf von den Teilneh­menden zu Beginn selbst entwi­ckelt und im weiteren Verlauf gestaltet. Feste Redner oder vorde­fi­nierte Abläufe sind in einem BarCamp nicht zu finden. Statt­dessen setzt dieses Prinzip auf den (moderierten) Erfah­rungs­aus­tausch.

BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“

Das BarCamp „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kreditinstituten“gibt Infor­ma­ti­ons­si­cher­heits­be­auf­tragten sowie allen Verant­wort­lichen im Infor­ma­tions- und IT-Sicher­heits­ma­nagement von Kredit­in­sti­tuten die Gelegenheit, sich zu Themen wie z.B. BAIT-Prüfungen, Dienst­leis­ter­steuerung oder Risiko­ma­nagement auszu­tau­schen. Darüber hinaus können Kontakte geknüpft und Fachkunde ausgebaut werden. Die Pausen können für indivi­duelle Gespräche genutzt werden. Am Ende der Veran­staltung sorgt ein  „Get-together“ für einen vertie­fenden Austausch unter den Teilneh­menden.

Referenten der SRC

Gleich vier Experten aus verschie­denen Bereichen der SRC werden ihr Wissen und ihre Expertise im Rahmen des Barcamps mit den Teilneh­menden teilen.

Sandro Amendola, stell­ver­tre­tender Prüfstel­len­leiter bei der SRC, verant­wortet das Thema „IT-Compliance in der Kredit­wirt­schaft“. Darüber hinaus entwi­ckelt er, unter anderem im Auftrag der Deutschen Kredit­wirt­schaft, Sicher­heits­kon­zepte und Sicher­heits­an­for­de­rungen für Zahlungs­ver­kehrs­ver­fahren.

Jochen Schumacher ist bei SRC für den Bereich Kommu­ni­kation verant­wortlich. Er konzen­triert sich auf das Produkt­ma­nagement, die technische und redak­tio­nelle Betreuung des Webauf­tritts sowie die Planung, Durch­führung und Moderation von Veran­stal­tungen.

Florian Schumann ist Leiter der IT bei SRC. Darüber hinaus ist er Berater für Infor­ma­ti­ons­si­cherheit und quali­fi­zierter Prüfer gem. § 8 (a) BSIG für kritische Infra­struk­turen.

Dr. Deniz Ulucay ist bei SRC als Berater für Infor­ma­ti­ons­si­cherheit tätig. Seine Schwer­punkte liegen im Aufbau von ISMSen, insbe­sondere bei Betreibern von kriti­schen Infra­struk­turen. Außerdem ist er für die Erstellung sowie Umsetzung von Sicher­heits­kon­zepten verant­wortlich.

Anmeldung & Ablauf

Weitere Infor­ma­tionen zur Anmeldung und zum Ablauf des BarCamps zum Thema „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ können diesem Flyer entnommen werden und auf der Webseite des Bank-Verlags gefunden werden. Hier können Sie sich für die Veran­staltung direkt online anmelden und die für Sie wichtigen und inter­es­santen Themen einbringen und so Ablauf und Ergebnis des BarCamps „Infor­ma­ti­ons­si­cher­heits­ma­nagement in Kredit­in­sti­tuten“ mitbe­stimmen.

Für weitere Fragen steht Ihnen Frau van Kessel gerne zur Verfügung (Tel. 0221/5490–161, andrea.vankessel(at)bank-verlag.de).

Informationssicherheitsbeauftragte/r für Kreditinstitute

Zerti­fikats-Lehrgang „Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” – 6. bis 9. November 2018

Mit dem KWG und der MaRisk verpflichtet der Gesetz­geber Kredit­in­stitute zur Sicher­stellung von Integrität, Verfüg­barkeit, Authen­ti­zität und Vertrau­lichkeit der Daten in  ihren IT-Systeme und ‑Prozessen . Aber auch für den wirtschaft­lichen Erfolg eines Kredit­in­stituts ist eine sichere und effiziente IT unbedingt erfor­derlich. Die neuen „Bankauf­sicht­lichen Anfor­de­rungen an die IT“ (BAIT) formu­lieren konkrete Erwar­tungen. Unter anderem fordert die Bundes­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in Ihrer Richt­linie die neu einzu­rich­tende Funktion “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte”. Diese steuern den Infor­ma­ti­ons­si­cher­heits­prozess und berichten direkt an die Geschäfts­leitung.

In Koope­ration mit dem Bank-Verlag hat SRC bereits drei Zerti­fi­kats­lehr­gänge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragte (ISB) für Kredit­in­stitute” erfolg­reich durch­ge­führt. Nach der großen Resonanz und der anhal­tenden Nachfrage freuen wir uns, dass der Bank-Verlag einen weiteren Termin für diesen viertä­gigen Zerti­fi­kats­lehrgang möglich gemacht hat.

Vom 6. bis zum 9. November 2018 haben Sie erneut die Möglichkeit sich in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­tragten (ISB) für Kredit­in­stitute” fortbilden zu lassen.

Im Team mit Heinrich Lottmann (TARGOBANK AG & Co. KGaA) und Alexandros Manakos (HSBC Trinkaus & Burkhardt AG) referieren die SRC-Experten Sandro Amendola, Florian Schumann und Randolf Skerka und infor­mieren Sie in diesem Lehrgang umfassend über die Normen und Standards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB relevanten gesetzlichen/regulatorischen Anfor­de­rungen. Zudem wird auf die Themen IT-Risiken und ‑Notfall­vor­sorge sowie Business Conti­nuity Management einge­gangen.

Nach bestan­dener Abschluss­prüfung erhalten Sie das Zerti­fikat „Informationssicherheitsbeauftragte/r für Kredit­in­stitute“.

Optional haben Sie die Möglichkeit sich am 5. November 2018 in Köln das für den Lehrgang erfor­der­liche IT-Grund­la­gen­wissen in einem eintä­gigen Inten­siv­se­minar im Vorfeld der Veran­staltung anzueignen. Hier geht es um Grund­lagen, Begriffe, Verschlüs­se­lungs- und IT-Sicher­heits­tech­niken in der Infor­ma­ti­ons­technik.

Portfolio Einträge