Dies liegt zum einen daran, dass Banken und deren Dienstleister zur kritischen Infrastruktur gehören und Angreifer hier maximale Gewinne erwarten, andererseits aber auch an den schwerfälligen, teilweise fragmentierten und veralteten IT-Infrastrukturen, die im Bankensystem leider keine Seltenheit sind und viele Angriffspunkte bieten.
Um die Cyber-Resilienz des deutschen Finanzmarktes nachhalten zu stärken, haben das Bundesministerium der Finanzen und die Deutsche Bundesbank im Sommer 2019 TIBER-DE verabschiedet – ein Rahmenwerk für Threat Intelligence-basiertes ethisches Red Teaming und deutscher Ableger des im Mai 2018 von der EZB veröffentlichten TIBER-EU-Frameworks. Finanzmarktakteuren bietet TIBER-DE die Möglichkeit, die eigene Cybersicherheit umfassend auf den Prüfstand zu stellen.
Fachmännische Unterstützung bei der Durchführung der unabhängigen, umfassenden Angriffssimulationen erhalten Banken, Versicherungen, Fintechs und deren Dienstleistern dabei von den Sicherheits-Experten von SEC Consult. In dem sie in die Rolle von Cyberkriminellen schlüpfen und einer streng definierten Vorgehensweise folgend nach Schwachstellen und Sicherheitslücken in kritischen Systemen Ausschau halten, helfen sie den Finanzakteuren bei der Überprüfung ihrer Systeme auf Schwachstellen und dem nachhaltigen Ausbau ihrer Cyber-Resilienz.
Die drei Phasen von TIBER-DE
Ziel eines jeden TIBER-DE-Tests ist es, ein umfassendes Bild der Sicherheitslage eines Unternehmens oder einer Organisation zu zeichnen, das wesentliche Erkenntnisse hinsichtlich der Stärken und Schwächen liefert. Der TIBER-DE-Prozess gliedert sich in drei aufeinanderfolgende verpflichtende Phasen:
Phase 1: Vorbereitung
Bevor die eigentliche Sicherheitsüberprüfung durch Sicherheitsanbieter wie SEC Consult beginnt, definieren die für den gesamten Prozess verantwortlichen Personen die Ziele des geplanten Tests sowie mögliche Herausforderungen und sprechen diese mit der zuständigen Behörde ab. Anschließend werden die externen Threat-Intelligence- sowie Red-Teaming-Anbieter nach strengen Kriterien (siehe unten) ausgewählt. Da die Anwendung des Rahmenwerks und die Durchführung der darin beschriebenen Prozesse mit strengen Vorschriften einhergehen, die unbedingt eingehalten werden müssen, ist es unerlässlich zertifizierte, erfahrene Anbieter wie die SEC Consult und ihre Partner ins Boot zu holen.
Phase 2: Testing
In der zweiten Phase erstellt der Threat-Intelligence-Anbieter den Targeted Threat Intelligence-Report (TTI), der spezifische Bedrohungsszenarien definiert, auf dessen Basis das Red Team (hier kommen die Experten von SEC Consult ins Boot) seine individuellen Testszenarien entwickelt und ausführt.
Phase 3: Reporting
Das Red Team erstellt einen ausführlichen Bericht, der sowohl das Vorgehen während der Sicherheitsüberprüfung genauestens dokumentiert als auch sämtliche Testergebnisse offenlegt sowie Handlungsempfehlungen abgibt, inwieweit die getestete Organisation ihre Systeme oder Sicherheitsrichtlinien (technisch wie menschlich) optimieren kann.
Red Teaming: Das Herzstück von TIBER-DE
Das Herzstück des TIBER-DE-Prozesses ist die Sicherheitsüberprüfung durch ein externes Expertenteam, das so genannte Red Team. Als unabhängiger, externer Cybersecurity-Berater steht SEC Consult dem Finanzdienstleistungssektor hier als kompetenter Red Teaming-Partner für die Durchführung von TIBER-DE-Tests zur Seite und identifiziert und bewertet Schwachstellen in der Cyber-Defense-Strategie seiner Akteure. Im Mittelpunkt der RT-Aktivitäten stehen dabei szenariogesteuerte Missionen, die auf einem speziell für die zu testende Organisation entwickelten Threat Intelligence-Report basieren und eine detaillierte Beurteilung abgeben, wie effizient die Organisation Bedrohungen erkennt und abwehrt.
Auf Basis der von den Threat Intelligence-Teams entworfenen Bedrohungsszenarien imitieren die Experten von SEC Consult das Vorgehen realer Cyberkrimineller und nutzen eine Vielzahl unterschiedlichster Angriffsmuster und -vektoren – von der Sammlung von Open-Source-Intelligenz (OSINT) über Social Engineering mit maßgeschneiderter Malware bis hin zum physischen Infiltrieren des Unternehmens. Auf dem Prüfstand stehen letztlich also nicht nur die unternehmensweiten technischen Abwehrmaßnahmen, sondern auch die Effektivität der organisationsinternen IT-Sicherheits-Experten, die auch Blue Teams genannt werden.
Obwohl der Einsatz von Red-Team-Experten oft mit Penetration-Testing gleichgesetzt, wird doch deutlich, dass er weit über diesen klassischen Security-Test hinaus geht. Ein wesentlicher Unterschied ist dabei, dass Red Teaming neben technischen insbesondere auch menschliche und physische Sicherheitsfaktoren berücksichtig, die bei herkömmlichen Pentests fehlen.
Im nächsten Blogbeitrag erfahren Sie noch mehr über die Vorteile von Red Teaming Tests und welche Anforderungen ein Red Teaming-Anbieter erfüllen muss, um TIBER-DE-Tests durchführen zu können.