Schlagwortarchiv für: tiber

Opera­tional Resilience – Anfor­de­rungen an die Cyber-Wider­stands­fä­higkeit von Instituten

Aktuelle Schwer­punkt­themen: Opera­tional Resilience und Cybersicherheit

Angriffe auf das Finanz­system können schwer­wie­gende Folgen haben – nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit. Auch Experten der Bundesbank, Sicher­heits­experten der BaFin und der EZB nennen Cyber-Angriffe bzw. die fehlende Wider­stands­fä­higkeit gegen ebensolche als größte Gefahr, die sich aus der zuneh­menden Digita­li­sierung im Finanz­sektors ergibt. Nicht zuletzt aus diesem Grund werden verstärkt gesetz­liche und regula­to­rische Rahmen­be­din­gungen geschaffen, um im gesamten Finanz­sektor europaweit einheit­liche Standrads zu schaffen und die „Opera­tional Resilience“ zu erhöhen.

Sowohl für die EZB als auch für die BaFin stand das Jahr 2020  unter dem Schwer­punkt „Opera­tional Resilience“ und „Cyber­si­cherheit“. Zudem wurde auf europäi­scher Ebene das TIBER-EU-Programm ins Leben gerufen, das die Bundesbank als TIBER-DE im September 2020 umgesetzt hat. Daneben veröf­fent­lichte die EU im Oktober 2020 im Rahmen des Digital Finance Package mit DORA (Digital Opera­tional Resilience Act) ihre Anfor­de­rungen an Betriebs­sta­bi­lität und Cybersicherheit.

Für die Verant­wort­lichen stellt sich die Frage, wie diese verschie­denen Aktivi­täten zusam­men­spielen und – noch viel relevanter – wie effizient diese zur Zieler­rei­chung beitragen.

Novel­lierung MaRisk und BAIT – Operative IT-Sicherheit

Auf natio­naler Ebene veröf­fent­lichte die BaFin im Oktober letzten Jahres mit der  Novel­lierung von MaRisk und BAIT ihre Ansätze zur Adres­sierung von opera­tiven IT-Risiken. Die Bedeutung des Themas wird ersichtlich in der Erwei­terung der BAIT-Anfor­de­rungen im Rahmen eines neuen Kapitels. Die Umsetzung der dort formu­lierten konkreten Anfor­de­rungen stellen kleinere und mittlere Institute wahrscheinlich vor große Heraus­for­de­rungen, da sie auf den Betrieb eines Security Infor­mation and Event Management Systems (SIEM), der Einrichtung und den Betrieb eines Security Opera­tions Centers (SOC) sowie regel­mäßige interne Abwei­chungs­ana­lysen, Schwach­stel­len­scans, Penetra­ti­ons­tests und die Simulation von Angriffen („Red Teaming“) abzielen. Praktisch erfordert dies den Aufbau einer profes­sio­nellen Cyber-Security-Abteilung sowie unabhän­giger interner Infor­ma­ti­ons­si­cher­heits­struk­turen. Dies wird die betrof­fenen Institute schon allein aufgrund des erfor­der­lichen Know-hows und der begrenzten Ressourcen auf dem Arbeits­markt vor große Heraus­for­de­rungen stellen. Als weiterer Schwer­punkt wird das Notfall­ma­nagement – ebenfalls in einem eigenen neuen Kapitel in den BAIT – adressiert.

Das TIBER-Programm von EZB und Bundesbank

Bereits im Jahr 2018 haben die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetra­ti­ons­tests, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Es wird hier ein „Goldstandard“ der Penetra­ti­ons­tests angestrebt. Die deutliche Zurück­haltung bei der Teilnahme an TIBER-DE lässt sich zum einen durch den aufwän­digen Projekt­umfang, die nicht unwesent­lichen Risiken und zuletzt auch durch die „Freiwil­ligkeit“ der Teilnahme erklären. Natürlich sind gerade im Jahr 2020 auch aufgrund der Covid-Pandemie viele interne Kräfte ander­weitig gebunden. Es stellt sich die Frage, ob die Institute das Risiko eines Cyber-Angriffs subjektiv genauso kritisch wahrnehmen.

Digital Opera­tional Resilience Act (DORA) der EU

Die Veröf­fent­li­chung des Digital Finance Package enthält mit dem EU regulatory framework on digital opera­tional resilience  einen umfas­senden Legis­la­tiv­vor­schlag zur europa­weiten Prävention und Reduktion von Cyber-Risiken. Bisher existieren nationale Regelungen für die Betriebs­sta­bi­lität, die aller­dings dem grenz­über­schrei­tenden und globalen Einsatz von IT-Systemen nicht gerecht werden und daher auch wenig wirksam sind. Zudem birgt diese Fragmen­tierung auch die Gefahr der Inkon­sis­tenzen und ist zudem mit zusätz­lichen hohen Aufwänden für europaweit agierende Institute verbunden.

Hier ist es also sehr wünschenswert, mit DORA einheit­liche Regelungen, insbe­sondere zum Risiko­ma­nagement, Testen, Ausla­gerung Notfall- und Incident-Management, anzustreben. Neben der Verbes­serung und Optimierung der Wider­stands­fä­higkeit der einge­setzten IT-Systemen wird hier sicherlich auch ein signi­fikant vermin­derter Verwal­tungs­aufwand auf Seiten der Institute zu beobachten sein.

Gemeinsam die Cyber-Wider­stands­fä­higkeit erhöhen

Gerne tauschen sich die SRC-Experten mit Ihnen zu den Neuerungen sowie deren Auswir­kungen auf gesetz­licher und regula­to­ri­scher Ebene aus. Gemeinsam analy­sieren wir Ihren Handlungs­bedarf und unter­stützen Sie bei der Umsetzung. Wir bewerten die Novel­lierung MaRisk und BAIT für Ihr Institut, unter­stützen bei der Vorbe­reitung, Durch­führung und Analyse von TIBER-Tests und analy­sieren die geplanten Anfor­de­rungen aus DORA. Dabei können Sie auf unserer Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten zurückgreifen.

TIBER-DE

TIBER-DE | Stärkung der Cyber­wi­der­stands­fä­higkeit des Finanzsystems?

Digita­li­sierung des Finanz­sektors | Chancen & Cyber­ri­siken | TIBER-DE

Die zuneh­mende Digita­li­sierung des Finanz­sektors sorgt nicht nur für neue Möglich­keiten, sondern bringt auch erhöhte Cyber­ri­siken mit sich. Insbe­sondere können Angriffe auf das Finanz­system schwer­wie­gende Folgen nicht nur für das betroffene Unter­nehmen, sondern auch für die gesamte Öffent­lichkeit haben. Bereits im Jahr 2018 haben daher die Noten­banken des Europäi­schen Systems der Zentral­banken das Programm TIBER-EU (Threat Intel­li­gence-based Ethical Red Teaming) ins Leben gerufen. TIBER-EU dient als Rahmenwerk zu bedro­hungs­ge­lei­teten Penetrationstests.

Im Sommer 2019 beschlossen die Deutsche Bundesbank und das Bundes­mi­nis­terium der Finanzen (BMF) mit TIBER-DE die nationale Umsetzung dieses Rahmen­werkes, mit dem die Finanz­un­ter­nehmen die eigene Wider­stands­fä­higkeit gegen Cyber­at­tacken auf den Prüfstand stellen können. Diese Umsetzung ist nunmehr erfolgt.

An wen richtet sich TIBER-DE?

TIBER-DE richtet sich insbe­sondere an kritische Unter­nehmen des Finanz­sektors, wie z.B. große Banken und Versi­cherer sowie deren IT-Dienst­leister und Zahlungs­dienst­leister. Die Deutsche Bundesbank stellt in ihrer TIBER-Imple­men­tierung heraus, dass die Durch­führung von TIBER-DE Tests dazu dient, „ein Netzwerk der natio­nalen, zur Zielgruppe gehörenden Unter­nehmen zu etablieren, um gemeinsam und mithilfe der Durch­führung von TIBER-DE-Tests die Cyber­wi­der­stands­fä­higkeit des Finanz­sektors nachhaltig und auf koope­ra­tiver Basis zu verbessern“.

Was passiert in einem Test?

In einem TIBER-DE Test überprüfen beauf­tragte Hacker („Red Team“) basierend auf Infor­ma­tionen eines Threat Intel­li­gence Providers („Spion“) die Cyber­wi­der­stands­fä­higkeit eines Unter­nehmens. Primäres Ziel hierbei ist die Identi­fi­kation von Sicher­heits­lücken in den Produk­tiv­sys­temen („critical functions“) im Rahmen eines möglichst realen Angriffs­sze­narios. Der TIBER-DE Test besteht aus drei Phasen, welche hier verkürzt darge­stellt werden:

  • In der Vorbe­rei­tungs­phase erfolgt die Initi­ierung, der Kick-Off, die Bestimmung des Testum­fangs und die Beschaffung. Insbe­sondere werden hier die entspre­chenden Verträge mit allen Betei­ligten geschlossen, der Testumfang festgelegt und die Finanz­auf­sicht über den beabsich­tigten TIBER-DE Test informiert.
  • In der Testphase werden Infor­ma­tionen zur Bedro­hungslage gesammelt und der Red Team Penetra­ti­onstest auf der Grundlage des zuvor festge­legten Testum­fangs durchgeführt.
  • Schließlich umfasst die Abschluss­phase die Erstellung der Testbe­richte, ein Replay und Feedback, einen Behebungsplan für gefundene Schwach­stellen sowie einen Abschluss­be­richt und die Attes­tierung inklusive Ergebnisweitergabe.

Risiken des Tests

Der TIBER-DE Test zielt auf die Produk­tiv­systeme mit den „critical functions“ eines Instituts, um deren Cyber­wi­der­stands­fä­higkeit realis­tisch bewerten zu können. Damit einher gehen jedoch auch Risiken, z.B. bezüglich der Vertrau­lichkeit, Integrität oder Verfüg­barkeit der Daten bzw. Systeme. In jedem Falle muss das Institut vor der Durch­führung eines Tests eine detail­lierte Risiko­analyse durch­führen und angemessene Maßnahmen zur Risiko­mi­ni­mierung treffen.

Darüber hinaus werden die Unter­nehmen vor organi­sa­to­rische, technische und daten­schutz­be­dingte Heraus­for­de­rungen gestellt. Kritische Geschäfts­pro­zesse müssen identi­fi­ziert werden, Abwehr­maß­nahmen müssen etabliert und dokumen­tiert. Zudem müssen TIBER-DE Tests mit den verschie­denen betrof­fenen Stake­holdern, z. B. Dienst­leistern, koordi­niert werden. Darüber hinaus muss eine Geheim­hal­tungs­pflicht auf allen Seiten einge­halten werden.

Derzeit beruht die Teilnahme an diesen Tests auf freiwil­liger Basis. Zusammen mit den nicht unbeacht­lichen Risiken scheint dies der Grund für die Zurück­haltung bei der Bereit­schaft zur Durch­führung eines TIBER-DE Tests zu sein.

Gemeinsam zum erfolg­reichen TIBER-DE Test

Die Experten von SRC können gemeinsam mit Ihnen einen TIBER-Test vorbe­reiten. Dazu gehört das unter­neh­mens­weite Scoping der zu testenden kriti­schen Geschäfts­pro­zesse und Unter­stützung bei der Etablierung von konformen Melde­wegen und ‑Prozessen zur Steuerung und Durch­führung von TIBER-Tests. Damit sind die internen Vorbe­rei­tungen getroffen, um einen TIBER-konformen Penetra­ti­onstest über einen Dienst­leister durch­führen zu lassen. Mit der Erfahrung aus unzäh­ligen Penetra­ti­ons­tests, Banken-Compliance- und Infor­ma­ti­ons­si­cher­heits­ma­nagement-Projekten unter­stützen wir Sie gerne durch den gesamten Verfah­rens­ablauf eines TIBER-Tests.

Schlagwortarchiv für: tiber