Beiträge

TIBER-DE

TIBER-DE | Stärkung der Cyber­wi­der­stands­fä­higkeit des Finanzsystems?

Digita­li­sierung des Finanz­sektors | Chancen & Cyber­ri­siken | TIBER-DE

Die zuneh­mende Digita­li­sierung des Finanz­sektors sorgt nicht nur für neue Möglich­keiten, sondern bringt auch erhöhte Cyber­ri­siken mit sich. Insbe­sondere können Angriffe auf das Finanz­system schwer­wie­gende Folgen nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit haben. Bereits im Jahr 2018 haben daher die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetrationstests.

Im Sommer 2019 beschlossen die Deutsche Bundesbank und das Bundes­mi­nis­terium der Finanzen (BMF) mit TIBER-DE die nationale Umsetzung dieses Rahmen­werkes, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Diese Umsetzung ist nunmehr erfolgt.

An wen richtet sich TIBER-DE?

TIBER-DE richtet sich insbe­sondere an kritische Unter­nehmen des Finanz­sektors, wie z.B. große Banken und Versi­cherer sowie deren IT-Dienst­leister und Zahlungs­dienst­leister. Die Deutsche Bundesbank stellt in ihrer TIBER-Imple­men­tierung heraus, dass die Durch­führung von TIBER-DE Tests dazu dient, „ein Netzwerk der natio­nalen, zur Zielgruppe gehörenden Unter­nehmen zu etablieren, um gemeinsam und mithilfe der Durch­führung von TIBER-DE-Tests die Cyber­wi­der­stands­fä­higkeit des Finanz­sektors nachhaltig und auf koope­ra­tiver Basis zu verbessern“.

Was passiert in einem Test?

In einem TIBER-DE Test überprüfen beauf­tragte Hacker („Red Team“) basierend auf Infor­ma­tionen eines Threat Intel­li­gence Providers („Spion“) die Cyber­wi­der­stands­fä­higkeit eines Unter­nehmens. Primäres Ziel hierbei ist die Identi­fi­kation von Sicher­heits­lücken in den Produk­tiv­sys­temen („critical functions“) im Rahmen eines möglichst realen Angriffs­sze­narios. Der TIBER-DE Test besteht aus drei Phasen, welche hier verkürzt darge­stellt werden:

  • In der Vorbe­rei­tungs­phase erfolgt die Initi­ierung, der Kick-Off, die Bestimmung des Testum­fangs und die Beschaffung. Insbe­sondere werden hier die entspre­chenden Verträge mit allen Betei­ligten geschlossen, der Testumfang festgelegt und die Finanz­auf­sicht über den beabsich­tigten TIBER-DE Test informiert.
  • In der Testphase werden Infor­ma­tionen zur Bedro­hungslage gesammelt und der Red Team Penetra­ti­onstest auf der Grundlage des zuvor festge­legten Testum­fangs durchgeführt.
  • Schließlich umfasst die Abschluss­phase die Erstellung der Testbe­richte, ein Replay und Feedback, einen Behebungsplan für gefundene Schwach­stellen sowie einen Abschluss­be­richt und die Attes­tierung inklusive Ergebnisweitergabe.

Risiken des Tests

Der TIBER-DE Test zielt auf die Produk­tiv­systeme mit den „critical functions“ eines Instituts, um deren Cyber­wi­der­stands­fä­higkeit realis­tisch bewerten zu können. Damit einher gehen jedoch auch Risiken, z.B. bezüglich der Vertrau­lichkeit, Integrität oder Verfüg­barkeit der Daten bzw. Systeme. In jedem Falle muss das Institut vor der Durch­führung eines Tests eine detail­lierte Risiko­analyse durch­führen und angemessene Maßnahmen zur Risiko­mi­ni­mierung treffen.

Darüber hinaus werden die Unter­nehmen vor organi­sa­to­rische, technische und daten­schutz­be­dingte Heraus­for­de­rungen gestellt. Kritische Geschäfts­pro­zesse müssen identi­fi­ziert werden, Abwehr­maß­nahmen müssen etabliert und dokumen­tiert. Zudem müssen TIBER-DE Tests mit den verschie­denen betrof­fenen Stake­holdern, z. B. Dienst­leistern, koordi­niert werden. Darüber hinaus muss eine Geheim­hal­tungs­pflicht auf allen Seiten einge­halten werden.

Derzeit beruht die Teilnahme an diesen Tests auf freiwil­liger Basis. Zusammen mit den nicht unbeacht­lichen Risiken scheint dies der Grund für die Zurück­haltung bei der Bereit­schaft zur Durch­führung eines TIBER-DE Tests zu sein.

Gemeinsam zum erfolg­reichen TIBER-DE Test

Die Experten von SRC können gemeinsam mit Ihnen einen TIBER-Test vorbe­reiten. Dazu gehört das unter­neh­mens­weite Scoping der zu testenden kriti­schen Geschäfts­pro­zesse und Unter­stützung bei der Etablierung von konformen Melde­wegen und ‑Prozessen zur Steuerung und Durch­führung von TIBER-Tests. Damit sind die internen Vorbe­rei­tungen getroffen, um einen TIBER-konformen Penetra­ti­onstest über einen Dienst­leister durch­führen zu lassen. Mit der Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten unter­stützen wir Sie gerne durch den gesamten Verfah­rens­ablauf eines TIBER-Tests.

IT Sicherheit in Krankenhäusern

Wie sicher ist die IT in unseren Krankenhäusern?

Digita­li­sierung stellt Kranken­häuser in puncto IT-Sicherheit vor Herausforderungen

Cloud Computing, vernetzte Kommu­ni­kation, virtu­elles Teamwork – Die Digita­li­sierung bietet für das Krankenhaus und andere Gesund­heits­ein­rich­tungen enorme Poten­ziale zur Optimierung. Die Auswir­kungen für die Renta­bi­lität der medizi­ni­schen Einrich­tungen und für die Versorgung der Patienten sind nachhaltig positiv. Wäre da nicht das Thema IT-Sicherheit. Wie gut geschützt sind die Netzwerke im Gesund­heits­wesen? Können sensible Daten bei der Übertragung oder im Zuge von Kolla­bo­ration verloren gehen? Oder schlimmer noch: abgefangen werden? Kann die IT Sicherheit in Kranken­häusern mit dem Tempo der Digita­li­sierung Schritt halten?

Schutz sensibler Patien­ten­in­for­ma­tionen ist geboten

Sinniert man über die sensi­belsten Daten einer Gesell­schaft, dann gehören Patien­ten­in­for­ma­tionen mit Sicherheit dazu. Das Schutz­be­dürfnis ist folglich besonders hoch. Das hat mittler­weile auch der Gesetz­geber erkannt und dazu eine eindeutige Geset­zeslage geschaffen. Spätestens damit wird die IT-Sicherheit im Gesund­heits­wesen zu einem Spielfeld der Haftungs­ri­siken und Schaden­er­satz­an­sprüche. Daher ist IT-Sicherheit in Kranken­häusern oberstes Gebot. Dass absolute Sicherheit kaum zu erzielen ist, mussten einige Kranken­häuser bereits schmerzlich feststellen. Insbe­sondere die Attacke mit der Ransomware „Wannacry“ im Jahr 2017 beein­träch­tigte die Krankenhaus-IT weltweit enorm. Unter­su­chungen mussten verschoben werden, Opera­tionen abgesagt werden und auch der finan­zielle Schaden war immens.

Die elektro­nische Patien­tenakte, Teleme­dizin und sekto­ren­über­grei­fende Infor­ma­ti­ons­lo­gistik machen es überaus anspruchsvoll Daten sicher zu verwalten. IT-Sicherheit ist aber nicht mehr nur eine technische Frage. Sie betrifft auch die Sensi­bi­li­sierung der Mitar­beiter, den verschärften Daten­schutz und die wachsenden Anfor­de­rungen des Gesetz­gebers. Beispiele sind die Medizin­pro­duk­te­ver­ordnung (MDR) und die Prüfungen nach § 8a des BSI-Gesetzes.

SRC Experte Dr. Deniz Ulucay im Fachge­spräch mit dem KU Gesund­heits­ma­nagement Magazin

Im Interview mit Birgit Sander, Redak­teurin des Magazins KU Gesund­heits­ma­nagement, gibt Dr. Deniz Ulucay, SRC-Experte für IT-Sicherheit im Gesund­heits­wesen, detail­lierte Einblicke in poten­zielle Gefähr­dungs­sze­narien und adäquate Abwehr­stra­tegien. Der Titel des Beitrags fragt: „Wie sicher ist die IT in unseren Kranken­häusern?“. Dieser kann hier abgerufen werden.