BANKINGNEWS: Wie entstand das deutsche Rahmenwerk TIBER-DE (Threat Intelligence-based Ethical Red Teaming)?
Burkhard Balz: 2019 haben die Deutsche Bundesbank und das Bundesfinanzministerium entschieden, TIBER-DE einzuführen. TIBER-DE ist die deutsche Umsetzung von TIBER-EU, einem Rahmenwerk, das die Zentralbanken im Eurosystem erarbeitet und 2018 veröffentlicht haben. Die Bundesbank hat sich dabei intensiv an der Entwicklung beteiligt.
Erläutern Sie uns kurz das Ziel von TIBER.
TIBER ist dafür konzipiert, Cyberangriffe auf große Institute im Finanzsektor zu simulieren. Das Rahmenwerk gibt standardisierte Prozesse vor, mit denen Unternehmen Angriffe auf Computersysteme, Prozesse und Abwehrmechanismen in Form von Red-Teaming-Übungen beauftragen können. Angriffe sogenannter ethischer Hacker sollen Sicherheitslücken identifizieren, die echte Hacker ausnutzen könnten. Es sorgt für eine hohe Testqualität und ermöglicht die Durchführung und Anerkennung auch über Ländergrenzen hinweg, was gerade für multinationale Unternehmen wichtig ist. Das Kompetenzzentrum für TIBER-Tests in Deutschland ist bei der Bundesbank angesiedelt und begleitet die Unternehmen bei der Durchführung. Indem wir einzelnen Instituten helfen, widerstandsfähiger gegen Cyberangriffe zu werden, verbessern wir auch die Stabilität des gesamten Finanzsystems.
Wie verläuft ein TIBER-DE-Test in der Praxis?
Insgesamt kann ein TIBER-Test neun bis zwölf Monate dauern. Für die vorgelagerte Analyse der konkreten Bedrohungslage und die eigentliche Durchführung werden externe Dienstleister beauftragt. Das macht das sich dem TIBER-Test unterziehende Unternehmen selbst. Konkret werden dann die relevanten kriminellen Akteure, deren Fähigkeiten sowie Interessen dokumentiert und der IT-Infrastruktur des Unternehmens gegenübergestellt. Die so entwickelten Angriffsszenarien bilden gewissermaßen das Herzstück des TIBER-Tests. Sie werden über einen Zeitraum von etwa zwölf Wochen durchgespielt. Bis auf eine Gruppe eingeweihter Personen weiß niemand im Unternehmen von der Durchführung. Somit soll der Test möglichst realistisch verlaufen. Nach Abschluss der Angriffsaktivitäten wird dieser dann offengelegt. Um Verbesserungen zu erarbeiten, werden die gewonnenen Erkenntnisse gemeinsam mit dem Unternehmen ausgewertet.
Worin liegen die häufigsten Schwachstellen?
Hier ist es schwer, Vergleiche zu ziehen. Bereits durchgeführte Tests unterscheiden sich in vielerlei Hinsicht voneinander. Dies kann an der speziellen Bedrohungslage, der konkreten Infrastruktur oder den Verteidigungsmaßnahmen des Unternehmens liegen, aber auch durch Unterschiede in den relevanten Angriffstechniken beziehungsweise den Vorgehensweisen der beauftragten Dienstleister bedingt sein. Darüber hinaus werden sehr unternehmensspezifische Schwachstellenkonstellationen identifiziert und behoben.
In welchen Intervallen sollten TIBER-DE-Tests idealerweise durchgeführt werden?
Cybersicherheit ist ein bewegliches Ziel. Ihre Verbesserung ist also keine einmalige Angelegenheit, sondern sollte kontinuierlich fortgeführt werden. Deshalb sieht das TIBER-DE-Rahmenwerk vor, dass Tests alle drei Jahre wiederholt werden.
Derzeit sind TIBER-DE-Tests ein freiwilliges Angebot. Sollten die Tests verpflichtend werden, um die allgemeine Sicherheit zu erhöhen?
Seit der Einführung 2019 haben wir gute Erfahrungen mit der freiwilligen Durchführung von TIBER-Tests gemacht. Dabei wird ein Test durchgängig von den Kollegen im nationalen Kompetenzzentrum betreut und die zuständige Finanzaufsicht an fest definierten Punkten während der Vor- sowie Nachbereitung eingebunden. Dieses Modell hat sich bewährt, da es die Kompetenzen der Aufsicht sinnvoll einbezieht. Gleichzeitig gibt es den Unternehmen Anreize für ein möglichst erkenntnisorientiertes Vorgehen. Es geht eben nicht nur darum, ob das Unternehmen regulatorische Vorgaben erfüllt, sondern auch um die Identifikation weiterer Verbesserungsmöglichkeiten. Dafür ist TIBER ein ausgezeichnetes Werkzeug. An der hohen Nachfrage sehen wir, dass der Markt das Angebot positiv aufgenommen hat. Dennoch sieht die Verordnung „Digital Operational Resilience Act“ (DORA), zu der die europäischen Gesetzgeber im Mai 2022 eine vorläufige Einigung gefunden haben, eine europaweite verpflichtende Durchführung gemäß dem TIBER-Rahmenwerk vor. Für große Unternehmen des Finanzsektors werden die Tests somit langfristig verpflichtend werden, ohne dabei jedoch die konkreten Vorteile von TIBER und die Eigenmotivation der Unternehmen abzuschwächen. Die Bundesbank wird auch unter den neuen Rahmenbedingungen mit ihrer Erfahrung und Expertise die gute Zusammenarbeit mit den getesteten Unternehmen und den Kollegen der Finanzaufsicht fortsetzen.
Um die Angriffssimulation realistisch zu gestalten, müssen ethische Hacker auf einen Erfahrungspool zugreifen können. Woher stammen die Daten?
Im Namen verbirgt sich bereits, dass TIBER-Tests immer bedrohungsgeleitet stattfinden. Als Basis dient die allgemeine Bedrohungsanalyse für den deutschen Finanzsektor, die jährlich durch die Bundesbank und einen externen Dienstleister erstellt wird. Die an der Durchführung beteiligten externen Spezialisten greifen auf internationale Standards zurück, etwa auf das MITRE ATT&CK-Rahmenwerk.
Wie groß ist die Gefahr, dass ein realer Angriff nach den TIBER-Tests falsch eingeschätzt wird?
TIBER-Tests bieten einen erheblichen Erkenntnisgewinn für die getesteten Unternehmen. Sie helfen, Cyberwiderstandsfähigkeit realistisch einzuschätzen und bisher unbemerkte Schwachstellen zu entdecken. So lassen sich Fehleinschätzungen durch die Unternehmen reduzieren. Aber eine absolute Sicherheit gibt es im Bereich der Cyberrisiken nicht.
Ein Ergebnis der TIBER-EU-Tests war, dass Mitarbeiter ein unzureichendes Verantwortungsbewusstsein hinsichtlich der Datensicherheit aufweisen. Was kann dagegen getan werden?
Ganz klar: Aufmerksame und sensibilisierte Beschäftigte können selbst ausgefeilte Angriffe frühzeitig abwehren, sofern es im Unternehmen wohldefinierte interne Sicherheitsregeln und -prozesse gibt. Das ist eine Frage der Unternehmenskultur und liegt damit auch in der Verantwortung des Managements. Neben dem Faktor Mensch spielen jedoch ebenso organisatorische und technische Schutzmaßnahmen eine wichtige Rolle bei der Abwehr von Angriffen. Somit ist eine enge Verzahnung der unterschiedlichen Mechanismen von großer Bedeutung.
Interview: Fiona Gleim
TIPP: Sie möchten mehr zum Thema Cybercrime lesen? Dann können Sie sich hier die Studie „Sicherheitsrisiko Kundendaten“ herunterladen oder lesen Sie hier, wie Banken sich effektiv vor Log4Shell und Co. schützen.