Im Zuge der Corona-Pandemie ist der Schutz der Gesundheit vor dem Virus zu einer wichtigen Aufgabe für Wirtschaft und Gesellschaft geworden. Eine ähnliche Form an Gefährdungsbewusstsein und Prävention muss auch für die Cyber-Sicherheit gelten.
Cyber-Resilienz ist ein wichtiges Thema für die Finanzbranche.
Partner des Bank Blogs
Die Corona-Krise hat der Digitalisierung einen kräftigen Schub verliehen. Das Kundenverhalten hat sich in vielen Bereichen gewandelt, die Kommunikation ist virtueller geworden und die Arbeitswelt insgesamt hat sich in kurzer Zeit stark verändert. Damit ist aber auch die Bedeutung der IT-Sicherheit weiter gestiegen.
Cyber-Kriminelle kreieren gezielt digitale Viren und andere Schädlinge, um Computersysteme zu infizieren. Um sich vor ihnen zu schützen, sind Cyber-Hygiene und eine geeignete Sicherheitsvorkehrung unerlässlich. Doch egal wie viele Vorsichtsmaßnahmen getroffen werden – am Ende bleibt ein Risiko, eine Unsicherheit und schließlich die Frage: Sind die Maßnahmen ausreichend?
Bei COVID-19 prüft ein Antikörper-Test gezielt, ob das Immunsystem in der Lage ist, eine Infektion zu verhindern. Für die Cyber-Widerstandsfähigkeit bietet die Bundesbank mit TIBER-DE dem deutschen Finanzmarkt einen passenden Test zur praktischen Überprüfung des IT-Immunsystems.
Cyber-Widerstandsfähigkeit in der Pandemie – wichtiger denn je
IT-Sicherheit und Cyber-Widerstandsfähigkeit sind keine neuen Herausforderungen. Allerdings hat die Corona-Pandemie dazu geführt, dass weltweit zahlreiche Menschen aus dem Homeoffice heraus arbeiten. Der Einsatz mobiler Technologie, schnell etablierte digitale Prozesse und die neue, ungewohnte Art des Zusammenarbeitens haben den Angreifern eine günstige Gelegenheit geboten.
So wurden im Frühjahr beispielsweise Phishing-Angriffe schnell auf Inhalte mit Covid-19-Bezug angepasst, z.B. mit E-Mails über vermeintlich revolutionäre Heilmethoden oder erfolgreich entwickelte Impfstoffe. Zeitgleich wurden bei manchen Unternehmen Schutzmechanismen gegen Cyberangriffe zugunsten einer funktionierenden Homeoffice-Infrastruktur geringer priorisiert, wie der Bericht zur Lage der IT-Sicherheit in Deutschland 2020 zeigt.
Die Pandemie führt uns vor Augen, wie wichtig es ist, sich schnell, dauerhaft und präventiv mit dem Thema Cyber-Widerstandsfähigkeit auseinanderzusetzen. Eine schnelle Reaktion auf Angriffe ist gut, möglichst gar keine Angriffe zuzulassen ist besser.
Bedrohungsinformationen nutzen, zielgerichtet testen
Die niederländische Zentralbank hat bereits 2016 ein Projekt gestartet, mit dem überprüft werden kann, ob Sicherheitsvorkehrungen ausreichen, um Cyber-Angriffen standzuhalten. Ziel war es, ein Rahmenwerk anzubieten, mit dem die eigene Cyber-Widerstandsfähigkeit realitätsnah getestet werden kann. Dieses Rahmenwerk wurde TIBER getauft. TIBER, das steht für Threat Intelligence Based Ethical Red Teaming, zu Deutsch: Bedrohungsorientiertes, ethisches Hacking.
Individuelle Ermittlung relevanter Risiken
Mit Hilfe einer Bedrohungsanalyse sollen besonders relevante Risiken für einen TIBER-Testkandidaten identifiziert werden. Dazu wird das Risiko, zum Angriffsziel zu werden, aus zwei Perspektiven beleuchtet:
- Zum einen werden mögliche Schwachstellen und attraktive Angriffsziele offengelegt,
- zum anderen die Motivation möglicher Angreifer und die verwendeten Angriffsmethoden analysiert.
Für einen TIBER-Test werden diese Informationen gesammelt und daraus Szenarien erarbeitet, die genau zum Testkandidaten passen. Die verwendeten Szenarien sind niemals generisch, sondern werden für jeden Test neugestaltet; sie sind maßgeschneidert.
Diese Szenarien werden dann von einem sogenannten Red Team getestet. Der Begriff Red Teaming hat seine Bedeutung aus dem Militär übernommen. Ein externes, angreifendes Team versucht in einem Test Schwachstellen zu identifizieren. In einem TIBER-Test nutzt dieses Red Team die Informationen der Bedrohungsanalyse, um besonders schnell und effizient agieren zu können. Dadurch haben die Ergebnisse des Tests für die Kandidaten nicht nur einen theoretischen Wert, sondern direkte, praktische Implikationen.
„Ethisches Hacking“ als Bestandteil von TIBER
Für die Simulation der Techniken, Taktiken und Prozeduren echter Angreifer hat sich der Begriff „ethisches Hacking“ etabliert. Ethisch ist ein TIBER-Test deshalb, weil es gilt, nicht nur die rechtlichen Vorgaben einzuhalten, sondern auch in ethischen Graubereichen einer klar definierten Linie zu folgen.
Ein Beispiel: Für einen Mitarbeiter des Testkandidaten darf es während eines TIBER-Tests keine persönlichen, arbeitsrechtlichen Folgen haben, wenn Methoden des Social Engineering ausgerechnet bei ihm zum Erfolg geführt haben. Zu Social-Engineering-Angriffen zählen zum Beispiel Betrugs- und Manipulationsversuche, die unter Vorspiegelung falscher Tatsachen und unter Ausnutzung von menschlichen Reaktionen wie Angst oder Hilfsbereitschaft Opfer dazu verleiten, sich selbstschädigend zu verhalten; beispielsweise durch den Klick auf einen Link, der ein Schadprogramm installiert.
TIBER prüft über kontrollierte und gezielte Angriffe von außen
Zusammenfassend lässt sich die grundlegende Idee von TIBER wie folgt beschreiben: TIBER will die Widerstandsfähigkeit eines IT-Systems durch kontrollierte und gezielte Angriffe von außen überprüfen. Penetrationstests und Schwachstellenscans gehören zum Status quo. Diese Werkzeuge sind gut und wichtig, aber Sie reichen nicht mehr aus.
Angreifer nutzen zunehmend nicht nur technische Schwachstellen aus, sondern auch menschliche und organisatorische Defizite. Dieser Zugang ist meist einfacher. Aber leider werden menschliche und organisatorische Aspekte der IT-Sicherheit bei Tests immer noch zu oft außen vorgelassen.
TIBER – eine Erfolgsgeschichte der europäischen Zusammenarbeit
Die Bundesbank hat sich an der Entwicklung einer europäischen Lösung beteiligt. Seit 2018 gibt es das europäische Rahmenwerk TIBER-EU als ausgezeichnetes Beispiel für europäische Zusammenarbeit.
Viele deutsche Finanzinstitute sind auf dem europäischen Markt aktiv. Viele internationale Banken, Versicherer und Anbieter von Finanzmarktinfrastrukturen sind auf dem deutschen Markt tätig. Die Idee von TIBER ist es, paneuropäische Tests so gut wie möglich zu unterstützen. Hierfür arbeiten die verschiedenen Kompetenzzentren aus den Ländern des Europäischen Systems der Zentralbanken eng zusammen. Die Bundesbank hat im Jahre 2019 gemeinsam mit dem Bundesministerium der Finanzen das europäische Rahmenwerk mit TIBER-DE in Deutschland umgesetzt und ein nationales Kompetenzzentrum, das TIBER Cyber Team, gegründet.
Die enge europäische Zusammenarbeit hat für Testkandidaten große Vorteile. TIBER-Tests können etwa gleichzeitig in verschiedenen Ländern durchgeführt werden. Das spart Kosten und Ressourcen. Außerdem werden TIBER-DE-Tests von Anfang bis Ende vom TIBER Cyber Team der Bundesbank begleitet.
Erfahrungen aus den zahlreichen Tests in ganz Europa können so vom TIBER Cyber Team genutzt werden, um Hilfestellungen etwa bei der Szenarien-Auswahl oder zur effizienten Testdurchführung zu geben. Außerdem ist dadurch eine gegenseitige Anerkennung durchgeführter TIBER-Tests in ganz Europa garantiert.
Cybersicherheit auf höchstem Niveau testen
TIBER wurde zwar als sektorunabhängiges Rahmenwerk konzipiert, der Fokus liegt heute aber auf dem Finanzsystem, denn dieses ist in besonderer Weise Cyber-Risiken ausgesetzt.
Dies hat mindestens drei Gründe:
- Das Finanzsystem ist für die Gesellschaft und die Realwirtschaft von essenzieller Bedeutung.
- Das Finanzsystem nutzt in nicht unerheblichem Maß Informationstechnologien.
- Das Finanzsystem ist hochgradig vernetzt.
Es ist daher keineswegs übertrieben, von einer ernsthaften Gefahr für unsere Gesellschaft zu sprechen, sollte die zentrale Infrastruktur für Zahlungs- und Kapitalflüsse für längere Zeit außer Gefecht gesetzt sein.
Cyber-Resilienz sichert Vertrauen in die Finanzstabilität
Zum Mandat der Bundesbank gehört es, jederzeit für die Stabilität der Zahlungs- und Verrechnungssysteme zu sorgen und die Finanzstabilität in Deutschland zu sichern. Dies umfasst seit vielen Jahren auch das Thema Cyber-Widerstandsfähigkeit. In dieser Rolle beobachtet die Bundesbank die Risiken für die Finanzstabilität, die durch die zunehmende Digitalisierung der Finanzindustrie, die immer stärkere Vernetzung der Marktteilnehmer untereinander, aber auch – in einigen Fällen – die immer stärker werdende Konzentration auf einzelne Dienstleister entstehen.
Die Finanzkrise hat uns gelehrt, dass Finanzstabilität auf wechselseitigem Vertrauen fußt. Cyber-Risiken können dieses Vertrauen bedrohen. Wir sind immer nur so stark wie das schwächste Glied in einer Kette.
Wenn ein Marktteilnehmer Opfer einer Cyber-Attacke wird, kann dies einen Dominoeffekt zur Folge haben und die Finanzstabilität gefährden. Deshalb sind innovative Verfahren wie eine möglichst flächendeckende Implementierung von TIBER notwendig, um sich gegen solche Gefahren zu wappnen.
TIBER-DE setzt Standards für die Cyber-Abwehr
TIBER-DE richtet sich daher an alle wichtigen Unternehmen der Finanzbranche. Zur Zielgruppe gehören neben Banken und Versicherungen auch Finanzmarktinfrastrukturen und die wichtigsten Dienstleister dieser Finanzunternehmen.
Herkömmliche Red-Team-Übungen werden gegenwärtig noch in sehr unterschiedlicher Qualität angeboten. TIBER-DE stellt klare, etablierte und validierte Anforderungen an Dienstleister, Prozessabläufe und Meilensteine. Dadurch bietet das Konzept eine gute Gelegenheit, die eigene Cyber-Abwehr auf höchstem Niveau auf den Prüfstand zu stellen.
TIBER-DE-Tests zum Aufspüren von Schwachstellen
TIBER-DE-Tests finden immer auf Produktivsystemen statt, denn echte Angreifer attackieren keine Testsysteme. Das Red Team versucht ganz konkrete Ziele zu erreichen, welche von den Testkandidaten auf Basis der Bedrohungsanalyse definiert wurden. Beispiele können konkrete Informationen sein, die ausspioniert werden sollen oder Transaktionsdaten, die verändert werden sollen. Auch die Möglichkeit, ein System ganz abzuschalten, kann ein mögliches Test-Ziel darstellen. Natürlich werden Zahlungsströme im Test nicht tatsächlich verändert oder Systeme abgeschaltet. Das Red Team dokumentiert lediglich, dass es dazu in der Lage wäre. Die Erreichung der Ziele weist also lediglich die Möglichkeit solcher Handlungen nach.
TIBER-DE-Tests überprüfen somit nicht nur, ob erfolgreich in die Gebäude und Systeme eines Testkandidaten eingedrungen werden kann, sondern auch, ob sich das Red Team innerhalb des Netzwerks bewegen, besonders attraktive Angriffsziele erreichen und zu guter Letzt auch Daten verändern, verschlüsseln oder entwenden könnte.
Das Red Team wird daran gemessen, welche Ziele es erreichen konnte und ob es dabei auf Unterstützung durch den Testkandidaten angewiesen war. Echte Angreifer spähen die Opfer oft über Jahre aus. Im Gegensatz dazu hat das Red Team in einem TIBER-DE-Test nur wenige Wochen Zeit. Daher gibt es sinnvolle Möglichkeiten, dem Red Team kleine Hilfestellungen zu geben, z.B. Informationen über Sicherheitsmechanismen, aber auch die Bereitstellung einer Zutrittskarte zum Gebäude.
Am Ende eines TIBER-DE-Tests stehen eine Liste der Schwachstellen und ein Maßnahmenplan mit konkreten Zeitvorstellungen zur Implementierung.
Fazit: Proben Sie Ihre Cyber-Resilienz
TIBER, IT-Sicherheit und Cyber-Widerstandsfähigkeit nehmen wichtige Funktionen in Finanzinstituten ein, wenn es darum geht, die Resilienz gegen Cyber-Angriffe zu stärken. Die Bundesbank versteht TIBER-DE als Angebot an die Finanzindustrie. Systemrelevante Akteure sind besonders gefordert ihre Abwehrkräfte zu überprüfen und zu stärken.
Hier bauen wir auf das Prinzip einer freiwilligen Selbstverpflichtung, um die Cybersicherheit des deutschen Finanzsystems in einer konstruktiven Atmosphäre voranzubringen.
Wenn große Kreditinstitute, Versicherer, Finanzmarkt-infrastrukturen und deren kritische Dienstleister baldmöglichst und in regelmäßigen Abständen einen TIBER-DE-Test durchlaufen, verschaffen sie sich selbst Gewissheit darüber, ob und inwieweit sie in der Lage sind, einen Cyber-Angriff abzuwehren. Sie leisten damit einen wichtigen Beitrag für ihre eigene Cyber-Widerstandsfähigkeit und auch für die Stabilität des gesamten Finanzsystems.
