Beiträge

TIBER-EU

TIBER-EU: Ein Framework für Red Team Penetra­ti­ons­tests zur Stärkung der Cyber­re­si­lienz

Mit TIBER-EU hat die Europäische Zentralbank ein Framework veröf­fent­licht, mit dem sich Unter­nehmen im Finanz­sektor besser gegen Cyber­an­griffe wappnen können, um wirtschaft­liche Schäden zu vermeiden. Die eigene Cyber­si­cherheit kann durch sogenannte „Red Team“-Penetrationstests überprüft werden. Im Vergleich zur einfachen Sicher­heits­analyse hat dies den Vorteil, dass externe Angreifer unter realen Bedin­gungen mit profes­sio­nellen Angriffs­me­thoden arbeiten. Dabei wird offen­gelegt, wie weit sie in die vorhandene Infra­struktur vordringen und in welchem Ausmaß die Organi­sation geschädigt werden könnte. Unsere SRC-Experten bereiten Ihr Unter­nehmen optimal und indivi­duell auf die Durch­führung eines TIBER-EU-Tests vor.

Im Detail: Was ist TIBER-EU?

TIBER-EU dient dazu, dass Organi­sa­tionen sog. Threat- bzw. Intel­li­gence-Led-Penetration-Tests durch­führen können. Diese Art des Penetra­ti­ons­tests soll die hochagilen Angriffs­me­thoden tatsäch­licher Angreifer imitieren. Dadurch können Organi­sa­tionen bessere Vorsorge‑, Sicher­heits- und Kontroll­maß­nahmen entwi­ckeln und schneller auf Bedroh­nungen reagieren. Die eigene Cyber­re­si­lienz wird so gestärkt. Der TIBER-EU Test gleicht dabei einer militä­risch angehauchten Übung. Angreifer (Red Teams) und die sich vertei­di­gende Organi­sation (Blue Teams) bekämpfen sich im Rahmen eines zuvor festge­legten Testscope. Das Red Team versucht, die kriti­schen Geschäfts­funk­tionen und Geschäfts­pro­zesse einer Organi­sation anzugreifen, Daten zu stehlen und den Live-Betrieb der Produk­tiv­systeme dieser Organi­sation zu stören. Dies umfasst sowohl Angriffe gegen infor­ma­ti­ons­tech­ni­schen Systeme, aber auch gezielte Angriffe gegen Mitar­beiter und Prozess­struk­turen.

Was ist in einem TIBER-EU-Test nicht erlaubt?

Im Rahmen der TIBER-EU-Tests sollen reali­tätsnahe Methoden verwendet werden. Aller­dings darf ein solcher Test, trotz seiner Nähe zur Realität, keines­falls über die Grenzen hinaus­schießen. Derzeit ist noch nicht völlig klar, welche Angriffs­me­thoden vom dem sich noch in der Entwicklung befin­denden TIBER-DE-Guide explizit verboten oder erlaubt werden. Orien­tiert man sich für einen ersten Eindruck am nieder­län­di­schen TIBER-NL- bzw. belgi­schen TIBER-BE-Guide, so verbieten diese z.B.:

  • die Zerstörung von Geräten,
  • unkon­trol­lierte Änderung von Daten und Programmen,
  • Gefährdung der Konti­nuität von kriti­schen Geschäfts­funk­tionen,
  • Erpres­sungs­ver­suche gegen Mitar­beiter,
  • Bedro­hungen gegen Mitar­beiter und
  • Bestechung von Mitar­beitern der Organi­sation sowie
  • die Veröf­fent­li­chung von (Teil-)Ergebnissen eines TIBER-EU-Tests.

Was schließlich im TIBER-DE-Guide stehen wird, bleibt abzuwarten. Grund­sätzlich kann jedoch davon ausge­gangen werden, dass Paral­lelen zu den oben aufge­führten Guides bestehen werden.

An wen richtet sich TIBER-EU?

Primär richtet sich TIBER-EU an Finanz­markt­in­fra­struk­turen, Organi­sa­tionen und Insti­tu­tionen, die innerhalb von Finanz­markt­in­fra­struk­turen tätig sind. Das sind z.B. Banken, Versi­che­rungen, Zahlungs­dienst­leister, Clearing­häuser, Zentral­ver­wahrer, Kredit­ra­ting­agen­turen, Börsen oder Zahlungs­in­stitute. Lagern diese Organi­sa­tionen kritische Geschäfts­funk­tionen an IT-Dienst­leister aus, so richtet sich TIBER-EU auch an diese. Sekundär könnten im Rahmen von Harmo­ni­sie­rungs­maß­nahmen auch weitere Branchen, wie z.B. Strom­netz­be­treiber oder Telekom­mu­ni­ka­ti­ons­an­bieter, zur Durch­führung von TIBER-EU-Tests verpflichtet werden.

Sind Sie bereit für einen TIBER-Test?

Zur erfolg­reichen Umsetzung eines TIBER-Tests müssen Organi­sa­tionen die erfor­der­lichen techni­schen, organi­sa­to­ri­schen und daten­schutz­be­dingten Maßnahmen ordnungs­gemäß beachten, umsetzen und beherr­schen.

Vor dem Hinter­grund ihrer umfang­reichen Finanzmarkt‑, IT-Sicher­heits- und Compliance-Expertise bieten unsere SRC-Experten Ihnen optimale und indivi­duelle Beratungs­dienst­leis­tungen an. Mit der Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­pro­jekten begleiten wir Sie gerne durch den gesamten Verfah­rens­ablauf eines TIBER-Tests. Weitere Infor­ma­tionen können Sie hier finden.

NextGenPSD2

SRC GmbH richtet die NextGenPSD2-Konferenz 2017 in Berlin aus

Der NextGenPSD2-Standard der Berlin Group

Im Rahmen der sechs­wö­chigen öffent­lichen Markt­kon­sul­tation der Berlin Group zu ihrem NextGenPSD2-Standard für den Konto­zugang „Access to Accounts“ (XS2A), der es Dritt­an­bietern ermög­licht, im Rahmen der Bestim­mungen der überar­bei­teten EU-Richt­linie für Zahlungs­dienste (PSD2) auf Zahlungs­konten zuzugreifen, richtet die SRC GmbH ergänzend eine NextGenPSD2-Konferenz aus. Diese findet am 25. Oktober 2017 im Berliner Atrium der Deutschen Bank statt. Die Konferenz bietet ein ausführ­liches Programm, das zeigt, wie NextGenPSD2 eine Brücke in das Banken­system schlägt und die Komple­xität der überar­bei­teten Zahlungs­dienst­e­richt­linie (PSD2) sowie die Anfor­de­rungen an den Zugang zu Konten (XS2A) reduziert. Außerdem wird beleuchtet, wie Third Party Payment Service Providern (TPPs) die Bereit­stellung innova­tiver Lösungen für Kunden mithilfe moderner Appli­cation Programming Inter­faces (APIs) für den sicheren Zugriff auf Bankkonten ermög­licht wird.

Verän­derung des Zahlungs­ver­kehrs

Die Konferenz bietet erfah­renen Spezia­listen, Entwicklern, FinTechs, Banken, Verar­beitern und anderen in den PSD2-Standard invol­vierten Fachleuten eine hervor­ra­gende Gelegenheit, detail­liert zu erfahren, wie NextGenPSD2 in den kommenden Jahren den täglichen Zahlungs­verkehr verändern wird. Eine Vielzahl von Policy-Insidern, Experten und Inter­es­sen­ver­tretern wird über den Hinter­grund, die Ziele und Einzel­heiten des offenen und kolla­bo­ra­tiven NextGenPSD2 XS2A-API-Standard infor­mieren. Dementspre­chend bietet das Meeting eine großartige Gelegenheit für eine umfas­sende Erläu­terung des Themas und zur Klärung von offenen Fragen. Die Konferenz wird außerdem durch eine aufschluss­reiche Keynote-Opening-Speech der Europäi­schen Zentralbank geehrt und bietet mehrere Podiums­ge­spräche mit Banken, Aufsichts­be­hörden, FinTechs und Verbrau­cher­or­ga­ni­sa­tionen.

Networking in Microsoft Lounge und Digital Eatery

Ferner bietet die Konferenz auch außer­ge­wöhn­liche Networking-Möglich­keiten: Am Abend des 24. Oktober 2017 (ab 18:00 Uhr) öffnen die Microsoft Lounge und die Digital Eatery ihre Türen für die Teilnehmer und gewähren Zugang zu einem Get-Together-Event mit köstlicher Küche und erfri­schenden Getränken ohne zusätz­liche Kosten.