Pressemitteilung: Mit TIBER-DE setzt die Bundesbank das vom ESZB ausgearbeitete Rahmenwerk für bedrohungsgeleitete ethische Penetrationstests, kurz TIBER-EU, seit vergangenem Sommer auch für Deutschland um.
Fachmännische Unterstützung bei der Durchführung der unabhängigen, umfassenden Angriffssimulationen erhalten die deutschen Finanzmarktakteure dabei von den Sicherheits-Experten von SEC Consult. Mit spezialisierten Red Teaming-Projekten helfen sie Banken, Versicherungen, Fintechs und deren Dienstleistern bei der Überprüfung ihrer Systeme auf Schwachstellen und dem nachhaltigen Ausbau ihrer Cyber-Resilienz.
Banken im Fokus von Cyberangriffen
Als kritische Infrastruktur ist der Finanzdienstleistungssektor für Cyberkriminelle ein attraktives Angriffsziel. Die zunehmende Digitalisierung sowie hochentwickelte Angriffstechniken und Schadprogramme bringen die Cyberabwehr von Banken immer öfter an ihre Grenzen. Aus diesem Grund haben das Bundesministerium der Finanzen (BMF) und die Deutsche Bundesbank mit TIBER-DE ein Rahmenwerk ausgearbeitet, das die Widerstandsfähigkeit des gesamten deutschen Finanzsystems gegen Cyberangriffe stärken soll.
Umfangreiche Angriffssimulation
Dabei ist TIBER-DE ein deutscher Ableger des im Mai 2018 von der Europäische Zentralbank verabschiedeten Framework for Threat Intelligence-based Ethical Red Teaming (TIBER-EU). Das Rahmenwerk gründet auf vollumfänglichen Angriffssimulationen, d.h. systematischen Threat Intelligence-basierten Red Teaming-Tests, deren Ziel es ist, Schwachstellen und Sicherheitslücken in kritischen Systemen nach einer streng definierten Vorgehensweise aufzuspüren. Auf dem Prüfstand stehen dabei sämtliche Cyber-Abwehrmaßnahmen eines Unternehmens, aber auch die Effektivität der organisationsinternen IT-Sicherheits-Experten, den so genannten Blue Teams.
The independent cybersecurity consultant SEC Consult supports the financial services sector as a competent Red Teaming partner for the implementation of TIBER-DE tests and identifies and evaluates weaknesses in the cyber defense strategy within extensive Red Teaming projects.
SEC Consult’s experts mimic the behavior of real cybercriminals and use a variety of possible attack patterns and attack vectors – from collecting open source intelligence (OSINT) to social engineering, (spear-)phishing with customized malware, to physical infiltration and compromise of the organization. All missions are derived from risk analysis and threat intelligence and are therefore specifically tailored to the tested entity.
„Der Red Teaming-Ansatz, wie ihn das TIBER-DE-Framework vorsieht, geht über das klassische Pentesting hinaus. So berücksichtigt Red Teaming neben technischen insbesondere auch menschliche Sicherheits-Faktoren, die herkömmliche Penetrationstests eben nicht inkludieren“, erklärt Markus Robin, General Manager von SEC Consult. „Der Tester stellt also nicht nur Systeme innerhalb einer Umgebung auf den Prüfstand, sondern auch die Menschen und die Prozesse des Unternehmens. Hierdurch ergibt sich ein umfassendes Bild der aktuellen Sicherheitslage, das es Unternehmen ermöglicht, sich optimal auf Angriffe vorzubereiten. Das Red Teaming-Kompetenzzentrum von SEC Consult besteht aus einem internationalen Experten-Team, das alle sinnvollen Angriffsszenarien innerhalb des von TIBER-DE festgelegten Rahmens strukturiert und intelligent umsetzt.“
Sicherheitsüberprüfungen verpflichtend für kritische Infrastruktur
Bisher können Banken und Versicherungen noch selbst entscheiden, ob sie ihre Systeme mit Red Teaming auf die Probe stellen oder nicht, doch eine Verpflichtung der Finanzmarktakteure von Seiten der Bundesbank in absehbarer Zeit steht bereits im Raum. „Unabhängig davon, ob die Schwachstellen-Überprüfung gemäß TIBER-DE zukünftig obligatorisch sein wird, sollten Banken allein schon aus Eigeninteresse regelmäßig TIBER-Tests durchführen, um ihre Cyber-Abwehr zu stärken und das deutsche Finanzsystem nachhaltig und flächendeckend sicherer zu machen“, ergänzt Robin.