TIBER-DE | Stärkung der Cyberwiderstandsfähigkeit des Finanzsystems?
Digitalisierung des Finanzsektors | Chancen & Cyberrisiken | TIBER-DE
Die zunehmende Digitalisierung des Finanzsektors sorgt nicht nur für neue Möglichkeiten, sondern bringt auch erhöhte Cyberrisiken mit sich. Insbesondere können Angriffe auf das Finanzsystem schwerwiegende Folgen nicht nur für das betroffene Unternehmen, sondern auch für die gesamte Öffentlichkeit haben. Bereits im Jahr 2018 haben daher die Notenbanken des Europäischen Systems der Zentralbanken das Programm TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedrohungsgeleiteten Penetrationstests.
Im Sommer 2019 beschlossen die Deutsche Bundesbank und das Bundesministerium der Finanzen (BMF) mit TIBER-DE die nationale Umsetzung dieses Rahmenwerkes, mit dem die Finanzunternehmen die eigene Widerstandsfähigkeit gegen Cyberattacken auf den Prüfstand stellen können. Diese Umsetzung ist nunmehr erfolgt.
An wen richtet sich TIBER-DE?
TIBER-DE richtet sich insbesondere an kritische Unternehmen des Finanzsektors, wie z.B. große Banken und Versicherer sowie deren IT-Dienstleister und Zahlungsdienstleister. Die Deutsche Bundesbank stellt in ihrer TIBER-Implementierung heraus, dass die Durchführung von TIBER-DE Tests dazu dient, „ein Netzwerk der nationalen, zur Zielgruppe gehörenden Unternehmen zu etablieren, um gemeinsam und mithilfe der Durchführung von TIBER-DE-Tests die Cyberwiderstandsfähigkeit des Finanzsektors nachhaltig und auf kooperativer Basis zu verbessern“.
Was passiert in einem Test?
In einem TIBER-DE Test überprüfen beauftragte Hacker („Red Team“) basierend auf Informationen eines Threat Intelligence Providers („Spion“) die Cyberwiderstandsfähigkeit eines Unternehmens. Primäres Ziel hierbei ist die Identifikation von Sicherheitslücken in den Produktivsystemen („critical functions“) im Rahmen eines möglichst realen Angriffsszenarios. Der TIBER-DE Test besteht aus drei Phasen, welche hier verkürzt dargestellt werden:
- In der Vorbereitungsphase erfolgt die Initiierung, der Kick-Off, die Bestimmung des Testumfangs und die Beschaffung. Insbesondere werden hier die entsprechenden Verträge mit allen Beteiligten geschlossen, der Testumfang festgelegt und die Finanzaufsicht über den beabsichtigten TIBER-DE Test informiert.
- In der Testphase werden Informationen zur Bedrohungslage gesammelt und der Red Team Penetrationstest auf der Grundlage des zuvor festgelegten Testumfangs durchgeführt.
- Schließlich umfasst die Abschlussphase die Erstellung der Testberichte, ein Replay und Feedback, einen Behebungsplan für gefundene Schwachstellen sowie einen Abschlussbericht und die Attestierung inklusive Ergebnisweitergabe.
Risiken des Tests
Der TIBER-DE Test zielt auf die Produktivsysteme mit den „critical functions“ eines Instituts, um deren Cyberwiderstandsfähigkeit realistisch bewerten zu können. Damit einher gehen jedoch auch Risiken, z.B. bezüglich der Vertraulichkeit, Integrität oder Verfügbarkeit der Daten bzw. Systeme. In jedem Falle muss das Institut vor der Durchführung eines Tests eine detaillierte Risikoanalyse durchführen und angemessene Maßnahmen zur Risikominimierung treffen.
Darüber hinaus werden die Unternehmen vor organisatorische, technische und datenschutzbedingte Herausforderungen gestellt. Kritische Geschäftsprozesse müssen identifiziert werden, Abwehrmaßnahmen müssen etabliert und dokumentiert. Zudem müssen TIBER-DE Tests mit den verschiedenen betroffenen Stakeholdern, z. B. Dienstleistern, koordiniert werden. Darüber hinaus muss eine Geheimhaltungspflicht auf allen Seiten eingehalten werden.
Derzeit beruht die Teilnahme an diesen Tests auf freiwilliger Basis. Zusammen mit den nicht unbeachtlichen Risiken scheint dies der Grund für die Zurückhaltung bei der Bereitschaft zur Durchführung eines TIBER-DE Tests zu sein.
Gemeinsam zum erfolgreichen TIBER-DE Test
Die Experten von SRC können gemeinsam mit Ihnen einen TIBER-Test vorbereiten. Dazu gehört das unternehmensweite Scoping der zu testenden kritischen Geschäftsprozesse und Unterstützung bei der Etablierung von konformen Meldewegen und ‑Prozessen zur Steuerung und Durchführung von TIBER-Tests. Damit sind die internen Vorbereitungen getroffen, um einen TIBER-konformen Penetrationstest über einen Dienstleister durchführen zu lassen. Mit der Erfahrung aus unzähligen Penetrationstests, Banken-Compliance- und Informationssicherheitsmanagement-Projekten unterstützen wir Sie gerne durch den gesamten Verfahrensablauf eines TIBER-Tests.
