de en
Nexia Ebner Stolz

Branchen

TIBER-EU - Rahmenwerk zur Erhöhung der Cybersicherheit im Finanzsektor

Das Cyber-Risikomanagement der Banken wird in regelmäßigen Abständen von der Bankenauf-sicht der Europäischen Zentralbank (EZB) geprüft. Cyber-Sicherheit ist jedoch keine Angelegenheit des Einzelnen, sondern betrifft den Finanzsektor sowohl auf nationaler als auch auf internationaler Ebene.

Aus die­sem Grund hat die EZB im Mai 2018 das erste zen­trale gemein­same euro­päi­sche Rah­men­werk zur Prü­fung der Wider­stands­fähig­keit von Unter­neh­men und Behör­den aus dem Finanz­sek­tor gegen­über Cyber­at­ta­cken ver­ab­schie­det - „Threat Intel­li­gence-based Ethi­cal Red Tea­ming“, kurz „TIBER-EU“.

TIBER-EU geht durch ste­tig wach­sende Sicher­heit­s­an­for­de­run­gen mit „Red Tea­ming“ über klas­si­sche Pene­t­ra­ti­ons­prü­fun­gen hin­aus. Die Umset­zung in natio­na­les Recht steht noch aus. Ähn­li­che Rah­men­werke gibt es bei­spiels­weise bereits in Großbri­tan­nien. Aller­dings ermög­licht TIBER es, meh­re­ren Behör­den über Lan­des­g­ren­zen hin­weg an einer Cyber-Übung zusam­men­zu­ar­bei­ten. Zen­trale Ziele von TIBER sind ins­be­son­dere:

  1. Aus­bau der Cyber-Res­i­li­ence
  2. Stan­dar­di­sier­tes Red Tea­ming inn­er­halb der EU mit der Mög­lich­keit zur Anpas­sung an natio­nale Gege­ben­hei­ten
  3. Defini­tion einer Vor­ge­hens­weise zur Eta­b­lie­rung, Imp­le­men­tie­rung und Mana­ge­ment von Red Tea­ming
  4. Ermög­li­chung eines Aus­tau­sches zwi­schen Behör­den
  5. Erstel­lung eines gemein­sa­men Pro­to­kolls.

Red Team Assess­ments sind voll­um­fäng­li­che Angriffs­si­mu­la­tio­nen, indi­vi­du­ell ange­passt auf die jewei­lige Insti­tu­tion. Durch das Ope­rie­ren aus einer feind­li­chen Per­spek­tive (Hacking) wer­den Schwach­s­tel­len von kri­ti­schen Funk­tio­nen und Sys­te­men (Men­schen, Tech­no­lo­gie und Pro­zesse) unter rea­lis­ti­schen Bedin­gun­gen geprüft und ansch­lie­ßend aus­ge­wer­tet.

Stan­dar­di­sierte Fle­xi­bi­li­tät

Mit der Ein­füh­rung eines sol­chen stan­dar­di­sier­ten Rah­men­werks sol­len die Präv­en­ti­ons-, Detek­ti­ons- sowie die Reak­ti­ons­fähig­kei­ten einer Behörde oder eines Finan­z­in­sti­tuts fest­ge­s­tellt wer­den. Aus­ge­hend von den Prü­fung­s­er­geb­nis­sen zu den vor­han­de­nen Sicher­heits­maß­nah­men las­sen sich Maß­nah­men für even­tu­ell iden­ti­fi­zierte Schwach­s­tel­len ablei­ten. Die Umset­zung führt lang­fris­tig zu einer Erhöh­ung der inner­be­trieb­li­chen und somit auch der natio­na­len sowie euro­päi­schen Cyber-Sicher­heit. Durch die Stan­dar­di­sie­rung von TIBER-EU ist ein hohes Maß an Sicher­heit und Ver­g­leich­bar­keit gewähr­leis­tet. Trotz­dem ist das Prü­fungs­ver­fah­ren so fle­xi­bel, dass es zug­leich die indi­vi­du­el­len IT-Schwach­s­tel­len einer Insti­tu­tion berück­sich­ti­gen kann. Die­ses Zusam­men­spiel aus Stan­dar­di­sie­rung und Fle­xi­bi­li­tät auf natio­na­ler wie inter­na­tio­na­ler Ebene macht TIBER-EU inter­es­sant.

Vor­aus­set­zun­gen

Nach dem TIBER-EU Rah­men­werk ist auf natio­na­ler Ebene eine zustän­dige Behörde zu benen­nen, wel­che die gesetz­li­chen Bestim­mun­gen über­wacht und ent­sp­re­chende Gover­nance-Struk­tu­ren schafft.

Die Annahme des Rah­men­werks durch die zustän­di­gen Behör­den ist frei­wil­lig. Somit kann es sein, dass die EZB-Ban­ken­auf­sicht TIBER-EU-basie­rende Prü­fun­gen durch­füh­ren wird, die natio­nale Finanz­auf­sicht (BaFin) hin­ge­gen andere Ansätze ver­folgt. Wün­schens­wert wäre ein ein­heit­li­cher Stan­dard. Dies umzu­set­zen, obliegt den zustän­di­gen Behör­den der jewei­li­gen Staa­ten. In Deut­sch­land wird ein Imp­le­men­tie­rungs­vor­schlag durch eine Arbeits­gruppe aus Deut­scher Bun­des­bank und der BaFin unter Bera­tung des Bun­de­sam­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) erar­bei­tet.

Die zustän­di­gen Behör­den müs­sen eine geeig­nete TIBER-Imp­le­men­tie­rung pla­nen sowie umset­zen. Dies dient dazu, dass Ban­ken, die nicht nur in einem, son­dern in meh­re­ren Län­dern aktiv sind, nicht keine dop­pelte Prü­fung, son­dern eine gemein­same, län­der­über­g­rei­fende TIBER-Prü­fung durch­füh­ren müs­sen bzw. eine Auf­sicht die (erfolg­rei­che) Prü­fung der ande­ren Auf­sicht aner­kennt (wie bereits in den Nie­der­lan­den und Bel­gien gesche­hen). wer­den die Rah­men­be­din­gun­gen für Ban­ken fest­ge­legt, Res­sour­cen geschont und die kri­ti­schen/sen­si­b­len Infor­ma­tio­nen, die bei dem Test offen­ge­legt wer­den kön­nen, nicht unnö­tig rep­li­ziert und somit einem grö­ße­ren Per­so­nen­kreis offen­ge­legt.

In den Nie­der­lan­den und Bel­gien ist die Imp­le­men­tie­rung bereits erfolgt. Ist bei­spiels­weise eine Bank in bei­den Län­dern ver­t­re­ten, beste­hen zwei Mög­lich­kei­ten: Ent­we­der führt man eine gemein­same, inter­na­tio­nale Sicher­heits­prü­fung durch oder man erkennt den TIBER-Test der jeweils ande­ren Auf­sicht an. Da es sich um ein stan­dar­di­sier­tes Regel­werk han­delt, sind die Vor­ga­ben und Umset­zun­gen grenz­über­sch­rei­tend durch TIBER vor­de­fi­niert. Da durch die Stan­dar­di­sie­rung nur ein ein­zi­ger Test not­wen­dig ist, könnte eine ver­bun­dene Prü­fung für beide Län­der erfol­gen, was finan­zi­ell res­sour­cen­spa­ren­des Han­deln gewähr­leis­tet.

Sofern die Rah­men­be­din­gun­gen fest­ge­setzt sind, benö­t­igt man kom­pe­tente Red-Team-Ang­rei­fer. TIBER-EU-Prü­fun­gen müs­sen von unab­hän­gi­gen, exter­nen Prü­fern durch­ge­führt wer­den. Dies gilt sowohl für die Berei­che Threat Intel­li­gence als auch für das Red Tea­ming.

Hin­weis

(Cyber) Threat sind Infor­ma­tio­nen über Bedro­hun­gen für die Infor­ma­ti­ons­si­cher­heit, die in einem spe­zi­fi­schen Kon­text gesetzt sind und dabei unter­stüt­zen, zukünf­tige Situa­tio­nen vor­her­zu­sa­gen oder Ent­schei­dun­gen zu tref­fen.

Siehe dazu auch unser Inter­view in die­ser Aus­gabe mit einem Red Tea­mer („Ver­bes­se­rung der IT-Secu­rity durch einen Run­dum-Check“)

TIBER-EU-Prü­fung­s­pro­zess

Der TIBER-EU-Prü­fung­s­pro­zess stellt sich fol­gen­der­ma­ßen dar:

TIBER-EU-Prüfungsprozess

Er besteht aus drei obli­ga­to­ri­schen Pha­sen und einer optio­na­len Phase.

Die Gene­ric Threat Land­s­cape (GTL) Phase ist als optio­nal anzu­se­hen. Sie bein­hal­tet eine gene­ri­sche Bewer­tung der Bedro­hungs­land­schaft des natio­na­len Finanz­sek­tors und die Ana­lyse von allen wich­ti­gen Akteu­ren und deren spe­zi­fi­schen TTPs (Tech­ni­ques, Tactics and Pro­ce­du­res). Auf die­sen Infor­ma­tio­nen – auch Threat Intel­li­gence genannt – basiert ansch­lie­ßend die Ent­wick­lung von Angriffss­ze­na­rien. Diese Thread Intel­li­gence kann bspw. mit Hilfe ein­ge­kauf­ter Pro­dukte oder auch den Report über den Sicher­heits­zu­stand der betriebs­in­ter­nen IT auf­ge­setzt wer­den. Die GTL muss regel­mä­ßig über­ar­bei­tet wer­den, da hier eine Auf­nahme der aktu­el­len Bedro­hungs­land­schaft ers­tellt wird, wel­che jedoch abhän­gig von den sich ste­tig ändern­den Cyber­ri­si­ken ist. Durch die Vali­die­rung der aktu­el­len Bedro­hungs­land­schaft wer­den auch meist die Haupt­an­griffs­ziele der Read Teams defi­niert (und somit meist auch der Scope ein­ge­schränkt).

Ansch­lie­ßend folgt die Pre­pa­ra­tion Phase, wel­che den eigent­li­chen ope­ra­ti­ven Start der TIBER-EU-Prü­fung dar­s­tellt. In die­ser Phase wer­den die Ziele fest­ge­legt, die Teams auf­ge­s­tellt und die Zustim­mung von rele­van­ten Auf­sichts­be­hör­den und dem Vor­stand der zu prü­fen­den Insti­tu­tion ein­ge­holt. Zuletzt wer­den die exter­nen Threat Intel­li­gence und Red Team-Dienst­leis­ter mit der Imp­le­men­tie­rung der Prü­fungs­leis­tun­gen beauf­tragt. Diese Phase ist verpf­lich­tend.

Die Tes­ting Phase bein­hal­tet die Threat Intel­li­gence Ana­lyse und den Red Team-Test. Der Threat Intel­li­gence-Dienst­leis­ter ers­tellt einen Bericht, der die spe­zi­fi­schen Bedro­hungss­ze­na­rien für die ansch­lie­ßen­den Red Team-Tests umfasst. Von dem Tar­get Threat Intel­li­gence Report (TTI) lei­tet sich das Red Team Angriffss­ze­na­rien ab. Ansch­lie­ßend beginnt die Durch­füh­rung der Cyber­an­griffe bei lau­fen­dem Betrieb.

In der vier­ten Phase (Clo­sure Phase) wer­den die Ergeb­nisse der Prü­fung­s­er­geb­nisse zusam­men­ge­tra­gen und dar­ge­s­tellt sowie ent­sp­re­chende Maß­nah­men abge­lei­tet, die die Cyber-Sicher­heit zukünf­tig ver­bes­sern. Ggf. ent­hält der Report kon­k­rete Emp­feh­lun­gen zu tech­no­lo­gi­schen Kon­troll­maß­nah­men, Regu­la­rien und Ver­fah­ren. Absch­lie­ßend wird in Zusam­men­ar­beit der geprüf­ten Insti­tu­tion mit der zustän­di­gen Auf­sichts­be­hörde ein indi­vi­du­el­ler Maß­nah­men­plan ers­tellt.

Unab­hän­gig­keit und Vor­teile TIBER-Prü­fun­gen sowie Tipps

TIBER-EU-Prü­fun­gen müs­sen von unab­hän­gi­gen exter­nen Prü­fern durch­ge­führt wer­den. Dies gilt sowohl für die Berei­che Threat Intel­li­gence als auch für das Red Tea­ming.

Da wäh­rend der Test-Phase Beein­träch­ti­gun­gen im Ser­vi­ce­be­trieb auf­tau­chen kön­nen, soll­ten die Red-Team-Angriffe ver­mehrt in Ser­vice-Rand­zei­ten gelegt wer­den. Auch die Bereit­stel­lung von gleich­wer­ti­gen Sys­te­m­um­ge­bun­gen sollte gewähr­leis­tet sein oder die Ein­pla­nung von Stand-by-Wie­der­her­stel­lungs­me­cha­nis­men mit­be­dacht wer­den.

Aus­blick

Da die Har­mo­ni­sie­rung der ban­k­auf­sicht­li­chen IT-Secu­rity-Checks auf euro­päi­scher Ebene mit­tel­fris­tig ein zen­tra­les Anlie­gen aller Auf­sichts­be­hör­den sowie der Markt­teil­neh­mer ist, ist davon aus­zu­ge­hen, dass noch in die­sem Jahr ein ers­ter Imp­le­men­tie­rungs­vor­schlag sei­tens der BaFin Bun­des­bank erschei­nen wird.

nach oben