Der Schutz vor Cyberangriffen hat für Unternehmen der Finanzbranche allergrößte Bedeutung. Dabei ist die grundlegende Idee, die Widerstandsfähigkeit eines IT-Systems durch kontrollierte und gezielte Angriffe zu überprüfen, nicht neu. So werden etwa beim klassischen Penetrationstest ausgewählte Systeme eines Unternehmens systematisch auf ihre Anfälligkeit hinsichtlich bekannter technischer Schwachstellen untersucht.
Aber viele Hacker gehen weit über die Überwindung technischer Schutzmechanismen hinaus und nutzen zusätzlich organisatorische und menschliche Schwachstellen. Eine typische Vorgehensweise ist hier zum Beispiel der Versuch, auf das Gelände eines Unternehmens zu gelangen, um dort auf Netzwerkdosen, Präsentationsrechner oder Arbeitscomputer zuzugreifen.
Das kann durch den Diebstahl einer Zugangskarte, das Aufspüren unbewachter Eingänge (Tiefgarage, offene Fenster, Hintertür) oder das Hineinschlüpfen hinter einer zugangsberechtigten Person (Tailgating) erfolgen. Auch der Versand von Phishing-Mails oder das Platzieren eines scheinbar verlorenen, mit Schadsoftware infizierten USB-Sticks sind beliebte „Techniken“. Hacker beschränken sich dabei nicht auf ausgewählte Systeme, sondern attackieren gezielt das schwächste Glied, um in die IT-Infrastruktur eines Unternehmens einzudringen.
Ausnutzen menschlicher Schwachstellen
Zur Simulation solcher Angriffe auf Technik, Organisation und Mitarbeiter eines Unternehmens haben sich Begriffe wie „Ethisches Hacking“ oder „Red Teaming“ etabliert. „Red Teaming“ ist der Militärsprache entlehnt und beschreibt den Versuch eines Angreifers, unter kontrollierten Bedingungen die Systeme eines Unternehmens zu kompromittieren.
Dabei ist es wichtig, nicht nur die rechtlichen Vorgaben wie das Verbot der Zerstörung von Komponenten oder der Erpressung von Mitarbeitern einzuhalten, sondern auch in ethischen Grauzonen einer klaren Linie zu folgen, etwa bei der Ausnutzung von menschlichen Schwachstellen (Social Engineering). So darf es für einen Mitarbeiter keine arbeitsrechtlichen oder persönlichen Konsequenzen haben, wenn er zum Beispiel bei einem fingierten Anruf durch einen vermeintlichen IT-Support das Passwort verrät.
Red-Team-Übungen werden in vielfältiger Weise durchgeführt und sind oft von unterschiedlicher Qualität. Da sie aber ein effizientes und sehr realitätsnahes Werkzeug sind, haben sich die Zentralbanken der EU-Mitgliedstaaten entschlossen, solche Übungen durch ein gemeinsames Rahmenwerk zu harmonisieren.
Dieses als TIBER-EU (Threat Intelligence-based Ethical Red Teaming) bezeichnete Rahmenwerk bietet nicht nur einen einheitlichen, hohen Standard und die EU-weite Anerkennung von Red-Team-Übungen, sondern ermöglicht auch länderübergreifende, paneuropäische Tests. Ein solches Rahmenwerk kann jedoch nicht jedes Detail eines TIBER-Tests festlegen. Um länderspezifischen Besonderheiten Rechnung zu tragen, ist eine nationale Ausgestaltung notwendig.
Regelmäßige TIBER-Tests sind wichtig
Seit Einführung des TIBER-EU-Rahmenwerks im Jahr 2018 haben die Niederlande, Belgien, Dänemark, Schweden und Irland bereits nationale Umsetzungen beschlossen, viele weitere Staaten arbeiten daran. Das bei der Europäischen Zentralbank angesiedelte „TIBER Knowledge Centre“ koordiniert und unterstützt diese Bemühungen umfassend. Seit 2019 befindet sich das Rahmenwerk als TIBER-DE auch in Deutschland in der Umsetzung und sieht, wie in den meisten anderen europäischen Ländern, die TIBER-Tests auf freiwilliger Basis vor.
Dennoch ist es wichtig, dass sich große Kreditinstitute, Versicherer, Finanzmarktinfrastrukturen und kritische Dienstleister der Branche in regelmäßigen Abständen einem TIBER-Test unterziehen. Denn so lässt sich die eigene Widerstandsfähigkeit gegen Cyberangriffe nachhaltig verbessern und eine Gefährdung der Stabilität des deutschen und europäischen Finanzsystems vermeiden.
Ein TIBER-Test dauert rund sechs Monate und findet unter realistischen Bedingungen statt. Das bedeutet, dass die kontrollierten Angriffe auf die Produktivsysteme erfolgen und der operativen Cyberabwehr des Unternehmens nicht im Vorfeld bekannt sind. Mit der Sammlung von Informationen über ausnutzbare Schwachstellen, der Entwicklung möglicher Vorgehensweisen und der Durchführung der eigentlichen Angriffe werden externe Fachleute beauftragt.
Ein unternehmensinternes und von der operativen Cybersicherheit losgelöstes Team kontrolliert dabei jeden Schritt, um ungewollte Schäden an den Systemen zu vermeiden. Das nationale Kompetenzzentrum bei der Deutschen Bundesbank – das TIBER Cyber Team (TCT) – begleitet den Prozess, berät bei komplexen Fragen und bescheinigt am Ende die erfolgreiche Durchführung des Tests.
Alle Akteure einbeziehen
Die hohe Qualität eines TIBER-Tests wird jedoch nicht nur dadurch erreicht, dass der Test auf den Produktivsystemen und unter Rückgriff auf unabhängige, externe Dienstleister erfolgt, sondern auch durch das Einbeziehen aller kritischen Akteure, Prozesse und Technologien des Unternehmens sowie der Einbindung des Unternehmensvorstands. Um den Nutzen des Tests zu maximieren, werden in anschließenden Workshops alle konkreten Handlungsschritte der Angreifer, Verteidiger und mögliche andere Vorgehensweisen diskutiert.
Zudem wird ein Forum ins Leben gerufen, in dem sich getestete Unternehmen über Erfahrungen, Bedrohungsinformationen und Best Practices austauschen können. Durch den intensiven Austausch zwischen dem Unternehmen, den externen Fachleuten und dem TCT soll die Auswahl möglichst passender Angriffsszenarien erfolgen.
So können echte Angreifer bestmöglich imitiert und gerade auch versteckte Schwachstellen erkannt werden. Die freiwillige Durchführung und eine vertrauensvolle, offene Zusammenarbeit bilden dabei die Grundlagen eines jeden erfolgreichen TIBER-Tests und ermöglichen Verbesserungen, die ohne diesen Dialog nur schwer möglich wären. Folgerichtig kann ein TIBER-Test nicht „bestanden“ werden, sondern dient dem Unternehmen vielmehr dazu, die eigene Widerstandsfähigkeit der Systeme kontinuierlich zu verbessern.
Red-Team-Übungen spielen im Hinblick auf die vielfältigen Herausforderungen bei der Abwehr zunehmend professionalisierter und zugeschnittener Angriffe eine wichtige Rolle. Die TIBER-Tests dienen hier als standardisierte Form des Ethischen Hackings im deutschen Finanzsektor. Denn nur durch die realitätsnahe Imitation der Denk- und Verhaltensmuster echter Angreifer können die Unternehmen die Qualität der eigenen Cyberabwehr realistisch einschätzen.
Tipp: Sie möchten mehr zum Thema Cybercrime? Dann lesen Sie hier den Leitartikel „Cybercrime: Wer gewinnt den Kampf?“ und schauen Sie auf unsere Infografik „Betrug ohne Grenzen“.