Fast jeder Internetuser wurde schon einmal mit Cyberkriminalität konfrontiert. Da Banken zu den kritischen Infrastrukturen gehören, kurz KRITIS, und daher über sensible Daten wie Namen, Kontoverbindungen oder Passwörter ihrer Kunden verfügen, sind sie besonders attraktiv für Hacker und deren Cyberattacken. Diese versuchen aus aller Welt die IT-Systeme der Institute zu überlisten, um an Daten zu gelangen, die für sie bares Geld bedeuten können. Die Zahl der Cyberattacken nimmt im Zuge der Digitalisierung kontinuierlich zu. Laut dem Branchenverband Bitkom ist in Deutschland innerhalb der letzten zwei Jahre eine Schadenshöhe von 100 Milliarden Euro entstanden. Emotet gilt dabei als die weltweit gefährlichste Schadsoftware, die in der Lage ist, beispielsweise E-Mails auszuspähen.
Da professionelle Hacker heutzutage zum Teil sogar mit Geheimdiensten mithalten können, entstehen stetig neue Bedrohungen. Das Finanzwesen hat sich aber in den letzten Jahren durchaus als resistent gegenüber Cyberattacken erwiesen, was darauf zurückzuführen ist, dass gerade in diesem Sektor sehr viel investiert wird. Vor allem in neue Technik zur Abwehr, aber auch durch gezielte Schulungen der Mitarbeiter. Letztlich birgt die menschliche Komponente aber immer noch das höchste Risiko und somit enormes Potenzial für Angriffe, aufgrund von Unwissen oder leichtfertigem Umgang, weshalb gerade dort Hacker versuchen, Schlupflöcher zu identifizieren.
Initiative der Europäischen Zentralbank
Banken sind gezwungen, ihre Abwehrsysteme immerzu nachzurüsten und auf die sogenannte Cyberresilienz, also die Widerstandsfähigkeit gegenüber Cyberattacken, zu überprüfen. Für die Analyse, wo Implementierungsfehler oder menschliche Schwächen liegen, gibt es verschiedene Penetrationstests, die bekannte Schwachstellen unter die Lupe nehmen. Die klassischen Tests beschränken sich dabei auf die technologische Ebene des IT-Systems. Es gibt aber auch die Möglichkeit, mittels TIBER-Tests (Threat Intelligence-based Ethical Red-Teaming) einen realitätsnahen Cyberangriff zu simulieren, um eine Bedrohungsanalyse unter kontrollierten Bedingungen durchzuführen. Dieses Verfahren bezieht neben der technischen Komponente auch menschliche Faktoren mit ein.
Basierend auf diesem Ansatz hat die EZB eine europäische Rahmenvorgabe namens TIBER-EU entwickelt, um die Cyberresilienz europäischer Banken zu stärken sowie Prozesse in diesem Bereich zu harmonisieren. Länder wie Belgien oder die Niederlande und deren Erfahrungen mit TIBER-EU sollen nun als Inspiration für eine nationale Implementierung von TIBER-DE dienen. Ein Lenkungsausschuss der Deutschen Bundesbank und der BaFin will noch im Jahr 2020 das Rahmenwerk auf den Weg bringen.
Das TIBER Cyber Team (TCT), ein nationales Kompetenzteam, welches zur Bundesbank gehört, stellt die Kommunikationsschnittstelle nach außen dar, begleitet die Unternehmen während des gesamten Testverlaufs und überprüft die Einhaltung der Rahmenbedingungen. Die Anwendung der Tests soll auf freiwilliger Basis erfolgen, somit stellen diese kein bankenaufsichtliches Instrument dar.
Der TIBER-DE-Test ist in drei Phasen untergliedert und dauert in der Regel mehrere Monate an, auch eine weitere optionale Phase kann in das Testverfahren eingebunden werden. Die Analyse der allgemeinen Bedrohungslage stellt hierbei die optionale Testphase dar, die die potenziellen Bedrohungen für das Finanzwesen in einem Lagebild zusammenfasst. Ausgehend hiervon wird die erste der drei Haupttestphasen eingeleitet, die Vorbereitungsphase, in welcher die gesamte Planung und Beauftragung in- wie extern vorgenommen wird. Die Geschäftsleitung des Unternehmens wählt eine intern verantwortliche Instanz für die Durchführung des Tests aus, das sogenannte White Team. Sonst darf niemand auf interner Ebene informiert werden, um eine realitätsnahe Umgebung für simulierte Attacken zu generieren und somit die kritischen Funktionen des Unternehmens überprüfen zu können. Entsprechend ausgeschlossen von diesem Wissen wird das Blue Team, welches hausintern für die IT-Sicherheit zuständig ist.
Überprüfung der Strukturen durch ethische Hacker
Das White Team definiert die Ziele sowie Rahmenbedingungen des Tests in Absprache mit der Geschäftsleitung und dem TIBER Test Manager (TTM), der aus dem TCT als Ansprechpartner für das Unternehmen bestellt wird. Die BaFin wird ebenfalls informiert. Da das Testverfahren eigens produzierte Risiken oder Systemausfälle nach sich ziehen kann, nimmt das White Team eine Risikobewertung vor und etabliert Risikomanagementkontrollen. Zudem werden externe Dienstleister beauftragt, das Unternehmen im Rahmen des TIBER-Tests unter kontrollierten Bedingungen anzugreifen. Diese beiden Teams werden Red Team sowie Threat Intelligence Team (TIT) genannt.
Das TIT leitet die eigentliche Testphase mit der Informationsbeschaffung für das Red Team ein. Falls das Unternehmen die optionale Phase umgesetzt und somit ein Lagebild generiert hat, kann das TIT dieses in den eigenen Bericht mit aufnehmen. Nach der Instruktion durch das TIT entwickelt das Red Team Angriffsstrategien und Szenarien. Diese zielen, wie bereits erwähnt, auf die kritischen Funktionen sowie Prozesse und organisatorischen Strukturen des Unternehmens ab. Unter Aufsicht des Risikomanagements und somit im engen Austausch mit dem White Team führt das Red Team regelmäßig Attacken auf das IT-System des Unternehmens durch. Die Testfortschritte werden dabei im wöchentlichen Zyklus dem TTM übermittelt.
In der letzten Phase des TIBER-Tests werden die Erkenntnisse aus den Angriffen des Red Teams analysiert und in einem Report zusammengefasst. Bei einem gemeinsamen Feedbacktreffen, an welchem alle Beteiligten des TIBER-Tests teilnehmen, werden das Vorgehen des Red Teams und die Ergebnisse der Angriffe präsentiert. Außerdem werden Maßnahmen festgelegt, die das Unternehmen zugunsten einer gesteigerten Cyberresilienz umsetzen soll. Die BaFin und Bundesbank diskutieren aktuell auch noch über den Einsatz eines Purple Teams, das den Austausch zwischen Red Team und Blue Team fördern soll.
Das TIBER-DE-Testverfahren stellt ein geeignetes Instrument dar, um allgemein die IT-Sicherheit zu stärken. Das zeigen auch erste Erfahrungen mit TIBER-NL aus den Niederlanden. Ursprünglich sollten TIBER-Tests nur im Finanzwesen durchgeführt werden, allerdings wurde das Projekt mittlerweile ausgeweitet und beispielsweise in Versicherungsunternehmen erfolgreich angewandt. Zudem sind verschiedene TIBER-Netzwerke entstanden, in welchen sich Unternehmen, die bereits Erfahrungen mit TIBER-Tests gesammelt haben, austauschen können. Daran wollen Bundesbank und BaFin mit TIBER-DE anknüpfen.
