de en
Nexia Ebner Stolz

Branchen

TIBER-EU - Rahmenwerk zur Erhöhung der Cybersicherheit im Finanzsektor

Das Cy­ber-Ri­si­ko­ma­nage­ment der Ban­ken wird in re­gelmäßigen Abständen von der Ban­ken­auf-sicht der Eu­ropäischen Zen­tral­bank (EZB) geprüft. Cy­ber-Si­cher­heit ist je­doch keine An­ge­le­gen­heit des Ein­zel­nen, son­dern be­trifft den Fi­nanz­sek­tor so­wohl auf na­tio­na­ler als auch auf in­ter­na­tio­na­ler Ebene.

Aus die­sem Grund hat die EZB im Mai 2018 das er­ste zen­trale ge­mein­same eu­ropäische Rah­men­werk zur Prüfung der Wi­der­standsfähig­keit von Un­ter­neh­men und Behörden aus dem Fi­nanz­sek­tor ge­genüber Cy­ber­at­ta­cken ver­ab­schie­det - „Th­reat In­tel­li­gence-ba­sed Ethi­cal Red Teaming“, kurz „TI­BER-EU“.

TI­BER-EU geht durch ste­tig wach­sende Si­cher­heits­an­for­de­run­gen mit „Red Teaming“ über klas­si­sche Pe­ne­tra­ti­onsprüfun­gen hin­aus. Die Um­set­zung in na­tio­na­les Recht steht noch aus. Ähn­li­che Rah­men­werke gibt es bei­spiels­weise be­reits in Großbri­tan­nien. Al­ler­dings ermöglicht TI­BER es, meh­re­ren Behörden über Lan­des­gren­zen hin­weg an ei­ner Cy­ber-Übung zu­sam­men­zu­ar­bei­ten. Zen­trale Ziele von TI­BER sind ins­be­son­dere:

  1. Aus­bau der Cy­ber-Re­si­li­ence
  2. Stan­dar­di­sier­tes Red Teaming in­ner­halb der EU mit der Möglich­keit zur An­pas­sung an na­tio­nale Ge­ge­ben­hei­ten
  3. De­fi­ni­tion ei­ner Vor­ge­hens­weise zur Eta­blie­rung, Im­ple­men­tie­rung und Ma­nage­ment von Red Teaming
  4. Ermögli­chung ei­nes Aus­tau­sches zwi­schen Behörden
  5. Er­stel­lung ei­nes ge­mein­sa­men Pro­to­kolls.

Red Team As­sess­ments sind voll­umfäng­li­che An­griffs­si­mu­la­tio­nen, in­di­vi­du­ell an­ge­passt auf die je­wei­lige In­sti­tu­tion. Durch das Ope­rie­ren aus ei­ner feind­li­chen Per­spek­tive (Hacking) wer­den Schwach­stel­len von kri­ti­schen Funk­tio­nen und Sys­te­men (Men­schen, Tech­no­lo­gie und Pro­zesse) un­ter rea­lis­ti­schen Be­din­gun­gen geprüft und an­schließend aus­ge­wer­tet.

Standardisierte Flexibilität

Mit der Einführung ei­nes sol­chen stan­dar­di­sier­ten Rah­men­werks sol­len die Präven­ti­ons-, De­tek­ti­ons- so­wie die Re­ak­ti­onsfähig­kei­ten ei­ner Behörde oder ei­nes Fi­nanz­in­sti­tuts fest­ge­stellt wer­den. Aus­ge­hend von den Prüfungs­er­geb­nis­sen zu den vor­han­de­nen Si­cher­heitsmaßnah­men las­sen sich Maßnah­men für even­tu­ell iden­ti­fi­zierte Schwach­stel­len ab­lei­ten. Die Um­set­zung führt lang­fris­tig zu ei­ner Erhöhung der in­ner­be­trieb­li­chen und so­mit auch der na­tio­na­len so­wie eu­ropäischen Cy­ber-Si­cher­heit. Durch die Stan­dar­di­sie­rung von TI­BER-EU ist ein ho­hes Maß an Si­cher­heit und Ver­gleich­bar­keit gewähr­leis­tet. Trotz­dem ist das Prüfungs­ver­fah­ren so fle­xi­bel, dass es zu­gleich die in­di­vi­du­el­len IT-Schwach­stel­len ei­ner In­sti­tu­tion berück­sich­ti­gen kann. Die­ses Zu­sam­men­spiel aus Stan­dar­di­sie­rung und Fle­xi­bi­lität auf na­tio­na­ler wie in­ter­na­tio­na­ler Ebene macht TI­BER-EU in­ter­es­sant.

Voraussetzungen

Nach dem TI­BER-EU Rah­men­werk ist auf na­tio­na­ler Ebene eine zuständige Behörde zu be­nen­nen, wel­che die ge­setz­li­chen Be­stim­mun­gen über­wacht und ent­spre­chende Go­ver­nance-Struk­tu­ren schafft.

Die An­nahme des Rah­men­werks durch die zuständi­gen Behörden ist frei­wil­lig. So­mit kann es sein, dass die EZB-Ban­ken­auf­sicht TI­BER-EU-ba­sie­rende Prüfun­gen durchführen wird, die na­tio­nale Fi­nanz­auf­sicht (Ba­Fin) hin­ge­gen an­dere Ansätze ver­folgt. Wünschens­wert wäre ein ein­heit­li­cher Stan­dard. Dies um­zu­set­zen, ob­liegt den zuständi­gen Behörden der je­wei­li­gen Staa­ten. In Deutsch­land wird ein Im­ple­men­tie­rungs­vor­schlag durch eine Ar­beits­gruppe aus Deut­scher Bun­des­bank und der Ba­Fin un­ter Be­ra­tung des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) er­ar­bei­tet.

Die zuständi­gen Behörden müssen eine ge­eig­nete TI­BER-Im­ple­men­tie­rung pla­nen so­wie um­set­zen. Dies dient dazu, dass Ban­ken, die nicht nur in einem, son­dern in meh­re­ren Ländern ak­tiv sind, nicht keine dop­pelte Prüfung, son­dern eine ge­mein­same, länderüberg­rei­fende TI­BER-Prüfung durchführen müssen bzw. eine Auf­sicht die (er­folg­rei­che) Prüfung der an­de­ren Auf­sicht an­er­kennt (wie be­reits in den Nie­der­lan­den und Bel­gien ge­sche­hen). wer­den die Rah­men­be­din­gun­gen für Ban­ken fest­ge­legt, Res­sour­cen ge­schont und die kri­ti­schen/sen­si­blen In­for­ma­tio­nen, die bei dem Test of­fen­ge­legt wer­den können, nicht unnötig re­pli­ziert und so­mit einem größeren Per­so­nen­kreis of­fen­ge­legt.

In den Nie­der­lan­den und Bel­gien ist die Im­ple­men­tie­rung be­reits er­folgt. Ist bei­spiels­weise eine Bank in bei­den Ländern ver­tre­ten, be­ste­hen zwei Möglich­kei­ten: Ent­we­der führt man eine ge­mein­same, in­ter­na­tio­nale Si­cher­heitsprüfung durch oder man er­kennt den TI­BER-Test der je­weils an­de­ren Auf­sicht an. Da es sich um ein stan­dar­di­sier­tes Re­gel­werk han­delt, sind die Vor­ga­ben und Um­set­zun­gen grenzüber­schrei­tend durch TI­BER vor­de­fi­niert. Da durch die Stan­dar­di­sie­rung nur ein ein­zi­ger Test not­wen­dig ist, könnte eine ver­bun­dene Prüfung für beide Länder er­fol­gen, was fi­nan­zi­ell res­sour­cen­spa­ren­des Han­deln gewähr­leis­tet.

So­fern die Rah­men­be­din­gun­gen fest­ge­setzt sind, benötigt man kom­pe­tente Red-Team-An­grei­fer. TI­BER-EU-Prüfun­gen müssen von un­abhängi­gen, ex­ter­nen Prüfern durch­geführt wer­den. Dies gilt so­wohl für die Be­rei­che Th­reat In­tel­li­gence als auch für das Red Teaming.

Hinweis

(Cy­ber) Th­reat sind In­for­ma­tio­nen über Be­dro­hun­gen für die In­for­ma­ti­ons­si­cher­heit, die in einem spe­zi­fi­schen Kon­text ge­setzt sind und da­bei un­terstützen, zukünf­tige Si­tua­tio­nen vor­her­zu­sa­gen oder Ent­schei­dun­gen zu tref­fen.

Siehe dazu auch un­ser In­ter­view in die­ser Aus­gabe mit einem Red Teamer („Ver­bes­se­rung der IT-Se­cu­rity durch einen Rundum-Check“)

TIBER-EU-Prüfungsprozess

Der TI­BER-EU-Prüfungs­pro­zess stellt sich fol­gen­dermaßen dar:

TIBER-EU-Prüfungsprozess

Er be­steht aus drei ob­li­ga­to­ri­schen Pha­sen und ei­ner op­tio­na­len Phase.

Die Ge­ne­ric Th­reat Land­scape (GTL) Phase ist als op­tio­nal an­zu­se­hen. Sie be­inhal­tet eine ge­ne­ri­sche Be­wer­tung der Be­dro­hungs­land­schaft des na­tio­na­len Fi­nanz­sek­tors und die Ana­lyse von al­len wich­ti­gen Ak­teu­ren und de­ren spe­zi­fi­schen TTPs (Tech­ni­ques, Tac­tics and Pro­ce­du­res). Auf die­sen In­for­ma­tio­nen – auch Th­reat In­tel­li­gence ge­nannt – ba­siert an­schließend die Ent­wick­lung von An­griffs­sze­na­rien. Diese Th­read In­tel­li­gence kann bspw. mit Hilfe ein­ge­kauf­ter Pro­dukte oder auch den Re­port über den Si­cher­heits­zu­stand der be­triebs­in­ter­nen IT auf­ge­setzt wer­den. Die GTL muss re­gelmäßig über­ar­bei­tet wer­den, da hier eine Auf­nahme der ak­tu­el­len Be­dro­hungs­land­schaft er­stellt wird, wel­che je­doch abhängig von den sich ste­tig ändern­den Cy­ber­ri­si­ken ist. Durch die Va­li­die­rung der ak­tu­el­len Be­dro­hungs­land­schaft wer­den auch meist die Haupt­an­griffs­ziele der Read Teams de­fi­niert (und so­mit meist auch der Scope ein­ge­schränkt).

An­schließend folgt die Pre­pa­ra­tion Phase, wel­che den ei­gent­li­chen ope­ra­ti­ven Start der TI­BER-EU-Prüfung dar­stellt. In die­ser Phase wer­den die Ziele fest­ge­legt, die Teams auf­ge­stellt und die Zu­stim­mung von re­le­van­ten Auf­sichts­behörden und dem Vor­stand der zu prüfen­den In­sti­tu­tion ein­ge­holt. Zu­letzt wer­den die ex­ter­nen Th­reat In­tel­li­gence und Red Team-Dienst­leis­ter mit der Im­ple­men­tie­rung der Prüfungs­leis­tun­gen be­auf­tragt. Diese Phase ist ver­pflich­tend.

Die Tes­ting Phase be­inhal­tet die Th­reat In­tel­li­gence Ana­lyse und den Red Team-Test. Der Th­reat In­tel­li­gence-Dienst­leis­ter er­stellt einen Be­richt, der die spe­zi­fi­schen Be­dro­hungs­sze­na­rien für die an­schließen­den Red Team-Tests um­fasst. Von dem Tar­get Th­reat In­tel­li­gence Re­port (TTI) lei­tet sich das Red Team An­griffs­sze­na­rien ab. An­schließend be­ginnt die Durchführung der Cy­ber­an­griffe bei lau­fen­dem Be­trieb.

In der vier­ten Phase (Clo­sure Phase) wer­den die Er­geb­nisse der Prüfungs­er­geb­nisse zu­sam­men­ge­tra­gen und dar­ge­stellt so­wie ent­spre­chende Maßnah­men ab­ge­lei­tet, die die Cy­ber-Si­cher­heit zukünf­tig ver­bes­sern. Ggf. enthält der Re­port kon­krete Emp­feh­lun­gen zu tech­no­lo­gi­schen Kon­trollmaßnah­men, Re­gu­la­rien und Ver­fah­ren. Ab­schließend wird in Zu­sam­men­ar­beit der geprüften In­sti­tu­tion mit der zuständi­gen Auf­sichts­behörde ein in­di­vi­du­el­ler Maßnah­men­plan er­stellt.

Unabhängigkeit und Vorteile TIBER-Prüfungen sowie Tipps

TI­BER-EU-Prüfun­gen müssen von un­abhängi­gen ex­ter­nen Prüfern durch­geführt wer­den. Dies gilt so­wohl für die Be­rei­che Th­reat In­tel­li­gence als auch für das Red Teaming.

Da während der Test-Phase Be­einträch­ti­gun­gen im Ser­vice­be­trieb auf­tau­chen können, soll­ten die Red-Team-An­griffe ver­mehrt in Ser­vice-Rand­zei­ten ge­legt wer­den. Auch die Be­reit­stel­lung von gleich­wer­ti­gen Sys­tem­um­ge­bun­gen sollte gewähr­leis­tet sein oder die Ein­pla­nung von Stand-by-Wie­der­her­stel­lungs­me­cha­nis­men mit­be­dacht wer­den.

Ausblick

Da die Har­mo­ni­sie­rung der bank­auf­sicht­li­chen IT-Se­cu­rity-Checks auf eu­ropäischer Ebene mit­tel­fris­tig ein zen­tra­les An­lie­gen al­ler Auf­sichts­behörden so­wie der Markt­teil­neh­mer ist, ist da­von aus­zu­ge­hen, dass noch in die­sem Jahr ein ers­ter Im­ple­men­tie­rungs­vor­schlag sei­tens der Ba­Fin Bun­des­bank er­schei­nen wird.

nach oben