Seit Jahren beraten wir Unternehmen im Finanzwesen in Fragen der Informationssicherheit. Neue regulatorische Anforderungen und technologische Trends in diesem Bereich beobachten wir daher mit Spannung.
Im Mai 2018 hat die Europäische Zentralbank mit dem Framework for Threat Intelligence-based Ethical Red Teaming, kurz TIBER-EU, einen Rahmen geschaffen, womit nationale Behörden und Unternehmen im Finanzwesen ihre Widerstandskraft gegen Cyberangriffe testen können.
TIBER-EU nutzt Red Teaming als Präventionsmaßnahme. Was verbirgt sich dahinter?
Beim Red Teaming wird ein realer Angriff simuliert. Das sogenannte „Red Team“ imitiert dabei organisierte Angreifergruppen und versucht, digitale, menschliche oder physische Schwachstellen im Unternehmen aufzuzeigen. Prozesse, Menschen und Systeme werden also einem Stresstest unterzogen, um die Frage zu beantworten: Wie sicher sind wir im Ernstfall? Ergebnisse dieses Probelaufs liefern wertvolle Erkenntnisse zur Umsetzung von Verbesserungsmaßnahmen. Red Teaming dient damit dem Ziel, die Abwehr eines Unternehmens auf lange Sicht nachhaltig zu stärken.
Welches Vorgehen sieht das TIBER-Framework nun vor?
Das Framework besteht aus verschiedenen Phasen:
- Generic Threat Landscape Phase: Optional kann zu Beginn des Prozesses eine Risikoanalyse bekannter und zukünftiger Bedrohungen und Schwachstellen im Finanzwesen erstellt werden.
- Preparation Phase: Danach startet das Unternehmen mit der Definition der Zielsetzung für den Test, welche von dem Vorstand und der entsprechenden Aufsichtsbehörde bestätigt werden muss. Im Rahmen dieser Phase werden Dienstleister für die Erhebung von Bedrohungsanalysen (Threat Intelligence) und die Durchführung des Red Teamings beauftragt.
- Testing Phase: Nun beginnt die eigentliche Testphase. Es wird eine Threat Intelligence-Analyse durchgeführt, deren Ergebnis spezifische Schwachstellen und Bedrohungsszenarien beschreibt. Auf Basis dieses Berichts identifiziert das Red Team ganz konkrete Szenarien und beginnt mit dem Test.
- Closure Phase: In der Abschlussphase werden die Ergebnisse des Red Teams gemeinsam mit der Institution und der Aufsichtsbehörde unter die Lupe genommen, um angemessene Verbesserungsmaßnahmen abzuleiten.
Wie ist der aktuelle Stand in Deutschland?
Die Mitgliedsstaaten der Europäischen Union nutzen das TIBER-EU-Rahmenwerk, um ein für den nationalen Finanzmarkt passendes Framework auszuarbeiten. Die Niederlande, Dänemark und Belgien haben bereits entsprechende nationale Rahmenwerke erarbeitet. In Deutschland entwickeln die Deutsche Bundesbank und BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), unterstützt durch das BSI, gerade einen Implementierungsvorschlag, genannt TIBER-DE. Es ist noch zu definieren, ob die Durchführung für alle betroffenen Unternehmen und Behörden obligatorisch ist oder freiwillig durchgeführt werden soll. Ein genauer Zeitplan wurde bislang nicht veröffentlicht.
