Die IT-Sicherheit im Finanzsektor zu erhöhen und gleichzeitig das IT-Risikomanagement der wichtigsten Akteure zu schärfen, ist eines der Fokusziele der BaFin. Regulierte Unternehmen sind daher durch Vorgaben der Finanzaufsicht wie beispielsweise BAIT oder KAIT verpflichtet, spezifische Anforderungen an die IT umzusetzen. Um die Widerstandsfähigkeit im Markt zudem präventiv zu erhöhen, erließ die Europäische Zentralbank im Mai 2018 ein Framework für Test in Form simulierter Cyberangriffe: TIBER-EU (Threat Intelligence-based Ethical Red Teaming).
Das Bundesministerium der Finanzen und die Deutsche Bundesbank haben dieses Rahmenwerk auf den deutschen Finanzmarkt übertragen und im letzten Jahr das Implementierungsdokument „TIBER-DE“ veröffentlicht. Stark angelehnt an das TIBER-EU-Framework enthält TIBER-DE Mindeststandards und Best Practices für diese Art von Compliance Test.
Nachfolgend finden Sie Antworten auf die vier häufigsten Fragen, die Unternehmen uns im Zusammenhang mit dem Framework gestellt haben:
An welche Unternehmen richtet sich TIBER-DE?
Das Rahmenwerk richtet sich hauptsächlich an Unternehmen, die eine entscheidende Rolle für die Stabilität im deutschen Finanzsektor einnehmen: Banken, Versicherer, Finanzmarktinfrastrukturen und für den Finanzsektor kritische IT-Dienstleister. Es wurde absichtlich auf eine starre Definition der Zielgruppe verzichtet, um Einzelfallbewertungen zu ermöglichen.
Die Teilnahme am Test nach TIBER-DE wird allerdings nur Unternehmen empfohlen, die bereits Maßnahmen zum Schutz gegen Cyberangriffe implementiert haben und somit über einen gewissen Reifegrad der Cyberwiderstandsfähigkeit verfügen.
Ist die Durchführung eines TIBER-DE-Tests verpflichtend?
TIBER-DE ist keine finanzaufsichtlich angeordnete Maßnahme und demnach für Unternehmen freiwillig. Der Test zielt auf den selbstständigen Wunsch nach einer kritischen Auseinandersetzung mit der eigenen Widerstandsfähigkeit der Systeme ab. Damit fördert er das Bewusstsein für Cyber-Sicherheit und hilft Unternehmen dabei, konkrete Schwachstellen zu identifizieren und damit Sicherheitslücken für gezielte Cyber Angriffe rechtzeitig schließen zu können. Je mehr Unternehmen diesen Compliance Test absolvieren, desto mehr stärkt dies die Stabilität des deutschen Finanzsektors. Aus diesem Grund spricht das Team der Deutschen Bundesbank trotz des Prinzips der Freiwilligkeit gegebenenfalls auch relevante Institute proaktiv auf die Möglichkeit eines Tests an.
Welche Akteure sind am TIBER-DE-Test beteiligt?
TIBER-DE orientiert sich bei der Organisationsstruktur stark an dem europäischen Rahmenwerk. Um Unternehmen bestmöglich bei der Umsetzung zu begleiten, wurde ein nationales Kompetenzzentrum, das TIBER Cyber Team, eingerichtet, das als fachlicher Ansprechpartner und Berater dient.
Finanzaufsicht: Die Finanzaufsicht ist kein aktiver Ansprechpartner während des TIBER-DE-Tests. Sie wird lediglich über die Durchführung informiert und erhält nach Beendigung des Tests den entsprechenden Abschlussbericht des Unternehmens zur Sichtung.
TIBER Cyber Team (TCT): Das TCT ist bei der Deutschen Bundesbank angesiedelt und dient als Ansprechpartner für interessierte und teilnehmende Unternehmen sowie andere Behörden und Dienstleister, die in den Testprozess involviert sind. Jedem Unternehmen werden zwei TIBER-Test Manager zugewiesen, welche das jeweilige Unternehmen während des kompletten Verlaufs des TIBER-DE-Tests begleiten. Alle Testpläne und -maßnahmen werden vom TCT überwacht, um Konformität mit den Vorgaben von TIBER-DE sicherzustellen.
Lenkungsausschuss: Der Lenkungsausschuss setzt sich aus Vertretern der BaFin und Deutschen Bundesbank zusammen. Gemeinsam steuern sie das TCT und beobachten Änderungen im TIBER-EU-Rahmenwerk, sowie die allgemeine Bedrohungslage im Marktumfeld.
White Team: Eingesetzt durch den Unternehmensvorstand handelt es sich beim White Team um ein kleines über den Test informiertes Team im durchführenden Unternehmen, welches die Schnittstelle zum TIBER Cyber Team und zu den engagierten Red Team- und Threat Intelligence-Dienstleistern bildet.
Red Team und Threat-Intelligence Team: Bei diesen Teams handelt es sich um externe Dienstleister. Das Red Team ist verantwortlich für den eigentlichen Red-Team-Angriff auf das Unternehmen. Das Threat Intelligence Team analysiert im Auftrag des Unternehmens die Bedrohungslage und unterstützt und berät das Unternehmen bei der Definition der Testanforderungen. Auf Basis von vom TIBER Cyber Team bereitgestellten Informationen, wie einem Bericht zur nationalen Bedrohungslage, erstellt dieses Team einen Bericht zu unternehmensspezifischen Bedrohungen inklusive aktueller Angriffsvektoren und -szenarien.
Beide Teams können durch unterschiedliche oder denselben Dienstleister gestellt werden. In ersterem Fall müssen beide Teams ihre Bereitschaft zu intensiver Zusammenarbeit mit dem jeweils anderen Team versichern und demonstrieren. In letzterem Fall muss sichergestellt werden, dass beide Teams durch unterschiedliche Mitarbeiter des Dienstleisters besetzt werden.
Blue Team: Als Blue Team werden die Mitarbeiter im Unternehmen bezeichnet, die nicht über den Test informiert sind. Sie verteidigen mit den ihnen zur Verfügung stehenden Instrumenten und vermittelten Maßnahmen das Unternehmen gegen den Angriff.
Wie wird beim TIBER-DE-Test vorgegangen?
Alle Kernvorgaben sowie optionale Elemente für das Testprozedere wurden aus dem europäischen Rahmenwerk TIBER-EU übernommen. Dieses sieht eine in drei Phasen gegliederte Vorgehensweise vor.
Vorbereitungsphase: In der Vorbereitungsphase werden die verschiedenen Akteure für den Test ausgewählt und eine erste Koordination zwischen dem White Team des Unternehmens und dem TIBER-Test Manager des TCT findet statt. Gleichzeitig sollten im durchführenden Unternehmen Maßnahmen zum Risikomanagement einschließlich notwendiger Kontrollen und Prozesse etabliert werden, um eine sichere und kontrollierte Durchführung des TIBER-DE-Tests zu ermöglichen. Als Basis für die nächste Phase wird der Testumfang festgelegt, der alle kritischen Funktionen des Unternehmens enthalten muss. Dieser wird in einer Umfangspezifikation festgehalten und wird final vom Unternehmensvorstand und dem TCT abgesegnet.
Testphase: In dieser Phase wird durch das Threat Intelligence-Team ein Bericht zur unternehmensspezifischen Bedrohungslage erstellt. Dieser setzt auf den Bericht zur nationalen Bedrohungslage auf und enthält zudem weitere für das Unternehmen identifizierte Bedrohungen, Schwachstellen und Angriffsszenarien. Der Bericht wird vom Red Team weiterentwickelt und konkrete Angriffsszenarien für den Test werden ausformuliert. Dieser sogenannte „Testplan“ bildet die Grundlage für den dann durch das Red Team durchgeführten Test.
Abschlussphase: Nach dem Test halten das Red Team und das Blue Team ihre jeweiligen Ergebnisse in Berichten fest und rekapitulieren in einem sogenannten „Purple Team Workshop“ alle Testschritte nochmals gemeinsam. Alle Ergebnisse fließen in einen abschließenden Bericht ein, der einen Plan zur Behebung identifizierter Schwachstellen, konkrete Maßnahmen und eine entsprechende Zeitplanung enthält. Der Abschlussbericht wird vom TCT untersucht, bevor eine TIBER-Attestierung für das Unternehmen ausgesprochen wird.
Haben Sie weitere Fragen oder wünschen Sie sich Unterstützung? Sprechen Sie uns gerne an.
