Einleitung

Die zunehmende Digitalisierung im Finanzsektor und die Gefahr von Cyberangriffen auf Banken, Versicherungen und Finanzmarktinfrastrukturen rücken die Widerstandsfähigkeit der Unternehmen als auch ihrer wichtigsten Dienstleister gegen interne wie externe Attacken immer stärker in den Fokus.

Die Europäische Zentralbank (EZB) hat im Mai 2018 daher das sektor- und unternehmens-unabhängige Rahmenwerk TIBER EU (TIBER: Threat Intelligence-based Ethical Red Teaming) veröffentlicht. Die Ziele sind, eine angemessene Cyber-Resilienz (siehe Infokasten) der Unternehmen als wesentlichen Faktor für ein funktionsfähiges, stabiles und integres Finanzsystem zu fördern und die Vergleichbarkeit wie auch gegenseitige Anerkennung der Ergebnisse solcher Penetrationstests im europäischen Rahmen zu ermöglichen.

TIBER-Tests stellen ein geeignetes Instrument dar, die Cyber-Resilienz von Unternehmen mit einem hohen Reifegrad der Informationssicherheit weiter zu erhöhen. Bei solch einem Test werden simulierte Angriffe von externen, sogenannten ethischen Hackern auf ein Unternehmen durchgeführt. Ziel ist, die Präventions-, Detektions- und Reaktionsfähigkeiten des Unternehmens gegen Cyberangriffe auf ihre Wirksamkeit hin zu prüfen, indem vorab erhobene Informationen über die Bedrohungssituation des Unternehmens genutzt und Instrumente professioneller Angreifer verwendet werden. Dabei stehen explizit für die Leistungserbringung kritische Prozesse des Unternehmens im Fokus. Im Gegensatz zu klassischen Penetrationstests zielen TIBER-Tests nicht alleine auf technische Schwachstellen ab, sondern beziehen auch den Faktor Mensch in die Angriffsszenarien ein.

Implementierungen in anderen Ländern

Das TIBER-EU-Rahmenwerk ist bisher in Belgien, Dänemark, Irland und in den Niederlanden umgesetzt worden.² Das niederländische Rahmenwerk TIBER-NL³ war die erste nationale Implementierung und diente in vielerlei Hinsicht als Inspiration für andere nationale Programme.⁴ Weitere Länder haben eine Implementierung angekündigt beziehungsweise arbeiten an konkreten Schritten zur Umsetzung.

Die ersten Erfahrungen mit TIBER-Tests aus den Niederlanden zeigen, dass TIBER ein erfolgsversprechendes Konzept für die Durchführung von bedrohungsgeleiteten Penetrationstests ist. Anfangs beschränkte sich die Zielgruppe auf Finanzinstitutionen und deren kritische Infrastruktur, wurde aber inzwischen auf Versicherungsunternehmen und Pensionsfonds ausgeweitet. Sogar ein erstes Pilotprojekt im Energiesektor gab es in den Niederlanden bereits.⁵

Eine weitere positive Entwicklung in den Niederlanden ist die Entstehung von TIBER-Netzwerken, über die sich Unternehmen verknüpfen, die an einem TIBER-Test teilgenommen haben. Diese Netzwerke tragen dazu bei, notwendiges Vertrauen und die Kooperation in der Industrie auf dem Gebiet der TIBER-Tests aufzubauen. Ziel der deutschen Umsetzung ist es, auch in dieser Hinsicht von den Erfahrungen in anderen Ländern zu lernen.

Die Deutsche Bundesbank und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) entwickeln TIBER-DE basierend auf dem Rahmenwerk TIBER-EU, den Erfahrungen anderer Länder bei der nationalen Implementierung und unter Berücksichtigung des „Joint Advice on the costs and benefits of a coherent cyber resilience testing framework for significant market participants and infrastructures within the EU financial sector“.^{6 7} Die Veröffentlichung ist für das Jahr 2020 geplant.

Nationales Rahmenwerk TIBER-DE

TIBER-DE-Tests sollen Banken, Versicherungen, Finanzmarktinfrastrukturen und ihren wichtigsten Dienstleistern – auf freiwilliger Basis – offenstehen. Von den bedeutendsten Unternehmen des Finanzsektors wird jedoch erwartet, dass sie von diesem innovativen Instrument Gebrauch machen, um ihren Beitrag für die Cyber-Resilienz des gesamten Sektors zu leisten.

Bei der Implementierung des europäischen Rahmenwerks in Deutschland (siehe Abbildung 1) wird das Kompetenzteam der nationalen Umsetzung von TIBER-DE-Tests, das sogenannte TIBER Cyber Team (TCT, siehe Infokasten), bei der Deutschen Bundesbank im aufsichtsfernen Bereich Zahlungsverkehr und Abwicklungssysteme – und damit außerhalb der Bankenaufsicht – angesiedelt.⁸ Da TIBER-DE grundsätzlich als freiwilliges Instrument konzipiert wurde, hat die Bundesbank eine klare organisatorische Trennung von TIBER-DE und der Bankenaufsicht im eigenen Hause vorgenommen. Dadurch wird sichergestellt, dass Informationen nur über die hierfür vorgesehenen Wege an die Aufsicht gelangen.

Die Steuerung von TIBER-DE erfolgt durch einen Lenkungsausschuss, dem BaFin und die Deutsche Bundesbank angehören. Dieser arbeitet derzeit intensiv an der konkreten Ausgestaltung des Rahmenwerks TIBER-DE. Zu seinen Aufgaben gehören weiterhin die Formulierung strategischer Ziele und die Weiterentwicklung von TIBER-DE. Eine Einbindung des Lenkungsausschusses in die einzelnen TIBER DE-Tests erfolgt aufgrund seiner strategischen Ausrichtung nicht.

Ausgangsbasis für die nationale Implementierung von TIBER-EU ist das TIBER-EU Framework⁹, das die Vorgehensweise der nationalen Adaption und Implementierung des Rahmenwerks sowie die einzelnen Phasen, Aktivitäten und zu erstellenden Dokumente eines TIBER Tests beschreibt.

Der Prozess eines TIBER-Tests besteht aus einer optionalen sowie drei obligatorischen Phasen (siehe Abbildung 1), die im Folgenden dargestellt werden:

Abbildung 1: Der TIBER-EU-Prozess

Generische Bedrohungslage

Mit der (optionalen) generischen Bedrohungslage (Generic Threat Landscape) wird ein Lagebild zu den Risiken und Bedrohungen für den gesamten (nationalen) Finanzsektor erstellt. Maßgebliche potenzielle Angreifer und ihre spezifischen Techniken, Taktiken und Vorgehensweisen werden dem Grundsatz nach analysiert. Die geeignete Vorgehensweise, eine generische Bedrohungslage für TIBER-DE zu erstellen, evaluieren die beteiligten Behörden im weiteren Verlauf der Implementierung.

Vorbereitungsphase

In der Vorbereitungsphase (Preparation Phase) beginnen die Planungen für den TIBER-Test, das Launch-Meeting mit Beteiligung des TIBER Cyber Teams und optional auch der BaFin findet statt, der Testumfang wird bestimmt und die externen Test-Dienstleister werden vom Unternehmen beauftragt.

Die Deutsche Bundesbank benennt den TIBER Test Manager (TTM) aus dem TIBER Cyber Team als zuständigen Ansprechpartner für das Unternehmen und das Unternehmen stellt wiederum das White Team (WT)¹⁰ auf.

Das White Team ist die für die Durchführung eines TIBER-DE-Tests verantwortliche Instanz im Unternehmen, wird von dessen Geschäftsleitung eingesetzt und bildet die Schnittstelle zum TIBER Test Manager. Innerhalb des Unternehmens darf lediglich das White Team über den geplanten Test informiert sein; insbesondere die mit der Abwehr von Cyberangriffen befassten Arbeitseinheiten (Blue Team) dürfen dabei nicht gewarnt werden, da ansonsten die Aussagekraft des Tests deutlich eingeschränkt würde. Das White Team legt in dieser Phase den Rahmen und die Zielsetzung des Tests fest, die von der Geschäftsleitung des Unternehmens freigegeben und dem TIBER Test Manager und der BaFin übermittelt werden. Im Fokus des Tests sollen die kritischen Systeme und Prozesse stehen.

In dieser Phase nimmt das White Team auch die Risikobewertung und die Etablierung der entsprechenden Risikomanagementkontrollen für den TIBER DE-Test vor. Ein aktives und robustes Risikomanagement ist ein wesentliches Element eines TIBER-DE-Tests und liegt in der Verantwortung des Unternehmens. Dies ist besonders wichtig, da bei solch einem Test die produktiven, kritischen Systeme des Unternehmens geprüft werden und daher ein Risiko von Störungen oder Ausfällen dieser Systeme besteht.

Abschließend beauftragt das Unternehmen die Dienstleister – Threat Intelligence Team (TIT) und Red Team (RT), die beiden zentralen Akteure eines TIBER Tests. Red Team und Threat Intelligence Team müssen im Sinne von TIBER-EU unabhängige und externe Dienstleister sein, welche die Anforderungen der im Rahmen von TIBER-EU veröffentlichten Services Procurement Guidelines¹¹ erfüllen. TIBER-EU sieht hierbei explizit den Einsatz von externen Red Teams vor, da diese unter Umständen alternative Vorgehensweisen, Werkzeuge oder Erkenntnisse bei der Testdurchführung einsetzen, die interne Tester womöglich übersähen oder missachteten. Interne Experten dürfen externe Tester in einem ausgewogenen Maß unterstützen.

Da die externen Dienstleister während des Tests sowohl fundierte Kenntnisse über die Cybersicherheit der Unternehmen erhalten, als auch auf deren Produktivsystemen testen, ist bei ihrer Auswahl große Sorgfalt geboten, um mögliche Risiken zu vermeiden.

Testphase

Noch vor Beginn der eigentlichen Testphase (Testing Phase) erstellt das Threat Intelligence Team den sogenannten Targeted Threat Intelligence Report für das jeweilige Unternehmen. Dieser Bericht, der – soweit vorhanden – auf der generischen Bedrohungslage basiert, stellt wiederum die unternehmensspezifische Bedrohungslage dar. Er umfasst mögliche Angriffsszenarien und Schwachstellen sowie weitere nützliche Informationen über das Unternehmen. Der Bericht zur unternehmensspezifischen Bedrohungslage wird den relevanten Stellen im Unternehmen, dem TIBER Test Manager und dem Red Team zur Verfügung gestellt und mit ihnen diskutiert. In Anlehnung an das Vorgehen bei anderen nationalen Implementierungen werden für TIBER-DE noch weitere denkbare Maßnahmen zur Qualitätssicherung und Anreicherung des Berichts zur unternehmensspezifischen Bedrohungslage geprüft.

Das Red Team leitet aus diesem Bericht konkrete Angriffsszenarien ab und führt die Angriffe unter Berücksichtigung der festgelegten Zielsetzung auf kritische Systeme, organisatorische Strukturen und Prozesse des Unternehmens aus. Erzielt das Red Team keine Fortschritte bei seinen Angriffen, sieht das TIBER-EU-Rahmenwerk vor, dass das White Team das Red Team fachlich unterstützt. So soll eine Überprüfung möglichst aller Systeme, die für die Zielerreichung bedeutend sind, gewährleistet werden.

Das im Vorfeld des Tests vom Unternehmen speziell dafür eingerichtete Risikomanagement hat während des Tests darauf zu achten, dass die Maßnahmen und Überwachungsinstrumente zur Risikominimierung wirksam sind. Aus diesem Grund muss das Red Team das White Team eng in den Ablauf des Tests einbinden. Weiterhin ist der TIBER Test Manager regelmäßig – mindestens einmal wöchentlich – über den Testfortschritt zu informieren.

Abbildung 2: Akteure und Rollen bei TIBER-DE-Implementierung und TIBER-DE-Tests

Abschlussphase

In der Abschlussphase (Closure Phase) des TIBER-DE-Tests werden die Resultate analysiert, Folgemaßnahmen vereinbart und alle Ergebnisse an die im TIBER-DE-Rahmenwerk festgelegten Stellen kommuniziert.

Zu Beginn dieser letzten Phase eines TIBER-DE-Tests findet ein 360-Grad-Feedbacktreffen aller Beteiligter unter Einbindung des TIBER Test Managers statt. In diesem Gespräch werden die Testergebnisse analysiert. Weiterhin erstellt das Red Team einen Test Summary Report, der die Vorgehensweise und Ergebnisse darstellt. Falls notwendig, soll der Bericht auch detaillierte Informationen enthalten, wie sich Abwehrmechanismen (zum Beispiel in Bezug auf physische oder technische Sicherheitsvorkehrungen, Unternehmensrichtlinien und -abläufe, Sensibilisierung und Ausbildung der Mitarbeiter) künftig verbessern lassen können. Dieser Report wird dem TIBER Test Manager zur Verfügung gestellt.

Im Rahmen der strategischen Ausrichtung von TIBER-DE wird zurzeit über die Etablierung des optionalen Purple Teamings in der Abschlussphase eines Tests im Rahmen der Erstellung des nationalen Rahmenwerks diskutiert. Hierbei treten Blue Team und Red Team in einen Dialog, um über Angriffe, weitere Angriffsmöglichkeiten und Abwehrschritte, die das Unternehmen für diese Fälle vorsieht, zu diskutieren. Dieser Austausch kann wesentlich dazu beitragen, Lehren (Lessons Learned) aus dem TIBER DE Test zu ziehen.

Abschließend erstellt das Unternehmen einen Maßnahmenplan (Remediation Plan), um die im Test identifizierten Schwachstellen zu beheben.

Die Ergebnisse der TIBER-DE-Tests sind dabei sowohl für die technischen Experten der Unternehmen als auch für die Managementebene von hoher Bedeutung: Auf der einen Seite werden Schwachstellen im Bereich der Cybersicherheit aufgedeckt und können adäquat behoben werden. Auf der anderen Seite werden die Auswirkungen von Cyberangriffen anschaulich dargestellt und die konkreten Auswirkungen (zum Bespiel Abfluss sensibler Informationen, Änderungen von Daten) illustriert.

Fazit

TIBER-DE-Tests unterstützen Unternehmen dabei, ihre Cyber-Resilienz realitätsnah zu prüfen und die Auswirkungen möglicher Cyberangriffe darzustellen. Nach der deutschen Implementierung des TIBER-EU Rahmenwerks haben die Unternehmen die Möglichkeit, bedrohungsgeleitete ethische Penetrationstests zu absolvieren. Aufgrund der Anforderungen des Rahmenwerks ist eine hohe Qualität der Tests sichergestellt und ihre Anerkennung in mehreren Ländern möglich. Durch eine enge Zusammenarbeit zwischen den beteiligten Behörden und den Unternehmen soll in einem kooperativen Ansatz die Cyber-Resilienz im gesamten Finanzsektor erhöht werden, um den mit der Digitalisierung einhergehenden Gefahren angemessen zu begegnen.

Fußnoten: