TIBER-DE: Mit dem Red Teaming-Test Schwachstellen in der Cyber-Defense-Strategie identifizieren

redteaming

Am 22. Juli 2020 veröffentlichte die Deutsche Bundesbank ihre Hinweise zur Implementierung von TIBER-DE. Das TIBER-DE Framework legt fest, wie Threat Intelligence basierte Red Teaming Tests durchgeführt werden müssen. Das Rahmenwerk richtet sich an große, in Deutschland aktive Banken und Versicherer sowie an in Deutschland aktive Finanzmarktinfrastrukturen und für den Finanzsektor kritische IT-Dienstleister.

Wolkenkratzer Skyline - SEC Consult

DIE MITGLIEDER DES RED TEAMS: WAS ZÄHLT SIND ERFAHRUNG UND ANGRIFFS-KNOWHOW

Als neutraler Cybersecurity-Berater mit einem internationalen Experten-Team, das auf jahrelange Erfahrung im Red Teaming zurückblicken kann, erfüllt das SEC Consult Red Team sämtliche Anforderungen von TIBER-DE und steht dem Finanzdienstleistungssektor als kompetenter Partner zur Verfügung. Das hochqualifizierte Team verfügt über ausgewiesenes Angriffswissen und deckt ein breites Spektrum an Fähigkeiten in den unterschiedlichsten Bereichen – von Penetrationstests, über Threat Intelligence, Risikomanagement, Exploit-Design, bis zu physischer Penetration und Social Engineering – ab, und ist daher in der Lage, alle definierten Angriffsszenarien gründlich, strukturiert, sicher und intelligent umzusetzen. Geleitet und beaufsichtigt werden die Aktivitäten dabei von einem Red Team-Manager, der die Verantwortung für das End-to-End-Management der Sicherheitsprüfung trägt und mindestens fünf Jahre Erfahrung im leitenden Red Team-Testing (davon drei Jahre im Finanzdienstleistungssektor) nachweisen kann.

 

Welche Anforderungen muss ein RT-Anbieter erfüllen, um TIBER-DE-Tests durchführen zu können?

Um sicherzustellen, dass der Red Teaming-Test die Ergebnisse liefert, die er verspricht, und letztlich auch von den entsprechenden Behörden anerkannt wird, stellt das TIBER-DE-Framework an die RT-Anbieter hohe Anforderungen. Neben einer einwandfreien Reputation und einem nachweisbar erfahrenen Testing-Team zählen hierzu:

  1. Exzellentes Risikomanagement

Der Red Team-Anbieter muss in der Lage sein, sicherzustellen, dass er die zu testende Einheit im Rahmen seiner Aktivitäten nicht in Gefahr bringt oder Risiken erzeugt. Dies betrifft Prozesse genauso wie den Datenschutz. Es ist davon auszugehen, dass das Red Team im Laufe seiner Arbeit auf sensible, vertrauliche und geschäftskritische Daten stößt, die das zu überprüfende Unternehmen, dessen Kunden oder Drittanbieter betreffen können. Dessen muss sich das Team nicht nur absolut bewusst sein, vielmehr muss es auch entsprechende Sicherheitsmaßnahmen und Richtlinien einführen, um Situationen wie diesen gerecht zu werden. SEC Consult verfügt daher über ein robustes Information Security Management System (ISMS) mit einem maßgeschneiderten Sicherheitskontrollrahmen und einer angemessenen Zertifizierung auf Grundlage anerkannter internationaler Standards, das verständliche Prozesse definiert, die wirksam umgesetzt und kontinuierlich überwacht werden.

  1. Innovative Methodik

Um eine detaillierte und belastbare Bedrohungsbeurteilung abgeben zu können, bedarf es robuster innovativer Methoden. Das RT-Team von SEC Consult bietet daher Sicherheitstests auf höchstem Niveau, d.h. auf Basis fortschrittlichster Techniken, kann hochentwickelte Cyberangriffe (auf nationalstaatlichem Niveau) imitieren und das Verteidigungsniveau der zu testenden Einheit so ideal herausfordern.

  1. Kollaboration mit den anderen Teams

Darüber hinaus muss ein RT-Anbieter in der Lage sein und proaktiv die Bereitschaft zeigen, mit sämtlichen anderen an der Sicherheitsüberprüfung beteiligten Teams zusammenzuarbeiten. Dazu zählt neben dem zu testenden Unternehmen und dem Blue Team vor allem der Threat Intelligence-Anbieter. Um die vom TI-Team gezeichneten Bedrohungsszenarien in einen zusammenhängenden und nachvollziehbaren Testplan umzuwandeln, ist eine Überprüfung und Kommentierung der TI-Ergebnisse vonnöten. Aus diesem Grund hat für die Experten von SEC Consult eine enge und transparente Zusammenarbeit mit dem Partner, der den TTI-Report erstellt, höchste Priorität.

  1. Absolute Vertraulichkeit

Vertraulichkeit ist bei der Auswahl eines Red Team-Anbieters ein absolutes K.O.-Kriterium. Dies gilt für Sicherheitsüberprüfungen im Rahmen von TIBER-DE-Tests ganz besonders. So muss der RT-Anbieter zusichern können, die während seiner Aktivitäten erworbenen vertraulichen Informationen nicht für Dienstleistungen, die für andere Parteien erbracht werden, weiterzuverwenden. Das Team von SEC Consult kann jederzeit nachweisen, wie eine unbeabsichtigte Offenlegung von Daten verhindert wird, und protokolliert noch vor Durchführung der Tests zusammen mit dem Auftraggeber Vorgehensweisen, wie und wann die sensiblen Informationen nach Abschluss des Projektes rechtskonform vernichtet werden.

 

Threat Intelligence-basierte Sicherheitstest als große Chance

Die flächendeckende Umsetzung von Threat Intelligence-basierten Sicherheitstests gemäß dem TIBER-DE-Rahmenwerk bedeutet für die deutsche Finanzlandschaft große Chancen, da sie eine unvergleichliche Transparenz über die Cybersicherheit der Finanzmarktakteure gewährleistet. Sicherheitslücken und Angriffspunkte werden dank realitätsnaher Hackerszenarien sichtbar, was einen effektiven Ausbau der Abwehrstrategien möglich macht. Als Folge hiervon können Banken Cyberangriffe nicht nur besser verhindern und schneller abwehren, sondern Prozesse und Systeme von vorneherein effizienter ausrichten.

Die Entscheidung darüber, ob eine Sicherheitsüberprüfung gemäß TIBER-DE durchgeführt wird, obliegt dabei bisher noch den Unternehmen und Organisationen selbst, doch eine Verpflichtung der Finanzmarktakteure von Seiten der Bundesbank in absehbarer Zeit ist bereits im Gespräch. Vorreiter und Vorbild für verpflichtende Sicherheitstests im Finanzumfeld ist das Vereinigte Königreich. Dort wurde schon im Jahr 2014 mit CBEST ein Rahmenwerk für Intelligence-geführtes Penetration Testing eingeführt. Dieses verpflichtet Finanz-Unternehmen einer bestimmten Größe dazu, einmal jährlich einen CBEST-Sicherheitstest in Zusammenarbeit mit einem zertifizierten Anbieter durchzuführen.