TIBER-DE: Angriffssimulationen für mehr Cyber-Resilienz im Bankensektor
Funtap/bigstock.com
Der Finanzsektor ist für Cyber-Kriminelle eines der attraktivsten Angriffsziele überhaupt und wird mittlerweile so häufig von Hackern attackiert wie kein anderer. Dies liegt zum einen daran, dass Banken und deren Dienstleister zur kritischen Infrastruktur gehören und Angreifer hier maximale Gewinne erwarten, andererseits aber auch an den schwerfälligen, teilweise fragmentierten und veralteten IT-Infrastrukturen, die im Bankensystem leider keine Seltenheit sind und viele Angriffspunkte bieten. TIBER-DE soll genau hier ansetzen und helfen.
von Markus Robin, Geschäftsführer SEC Consult
Um die Cyber-Resilienz des deutschen Finanzmarktes nachhalten zu stärken, haben das Bundesministerium der Finanzen und die Deutsche Bundesbank im Sommer 2019 TIBER-DE verabschiedet – ein Rahmenwerk für Threat Intelligence-basiertes ethisches Red Teaming und deutscher Ableger des im Mai 2018 von der EZB veröffentlichten TIBER-EU-Frameworks. Finanzmarktakteuren bietet TIBER-DE die Möglichkeit, die eigene Cyber-Sicherheit umfassend auf den Prüfstand zu stellen. Der Vorteil TIBER-basierter Red Teaming-Aktivitäten liegt dabei ganz klar in der systematischen Angriffssimulation durch externe Dienstleister, die in die Rolle von Cyber-Kriminellen schlüpfen und einer streng definierten Vorgehensweise folgend nach Schwachstellen und Sicherheitslücken in kritischen Systemen Ausschau halten.
SEC Consult
Die Anwendung des Rahmenwerks und die Durchführung der darin beschriebenen Prozesse gehen mit strengen Vorschriften einher, die unbedingt eingehalten werden müssen.”
Die Entscheidung darüber, ob eine Sicherheitsüberprüfung gemäß TIBER-DE durchgeführt wird, obliegt dabei den Unternehmen und Organisationen selbst, doch eine Verpflichtung der Finanzmarktakteure von Seiten der Bundesbank in absehbarer Zeit ist bereits im Gespräch.
Die drei Phasen von TIBER-DE
Ziel eines jeden TIBER-DE-Tests ist es, ein umfassendes Bild der Sicherheitslage eines Unternehmens oder einer Organisation zu zeichnen, das wesentliche Erkenntnisse hinsichtlich der Stärken und Schwächen liefert. Der TIBER-DE-Prozess gliedert sich in drei aufeinanderfolgende verpflichtende Phasen:
- Vorbereitung: Bevor die eigentliche Sicherheitsüberprüfung beginnt, definieren die für den gesamten Prozess verantwortlichen Personen die Ziele des geplanten Tests sowie mögliche Herausforderungen und sprechen diese mit der zuständigen Behörde ab. Anschließend werden die externen Threat-Intelligence- sowie Red-Teaming-Anbieter nach strengen Kriterien (siehe unten) ausgewählt.
- Testing: In der zweiten Phase erstellt der Threat-Intelligence-Anbieter den Targeted Threat Intelligence-Report (TTI), der spezifische Bedrohungsszenarien definiert, auf dessen Basis das Red Team anschließend seine individuellen Testszenarien entwickelt und ausführt.
- Reporting: Das Red Team erstellt einen ausführlichen Bericht, der sowohl das Vorgehen während der Sicherheitsüberprüfung genauestens dokumentiert als auch sämtliche Testergebnisse offenlegt sowie Handlungsempfehlungen abgibt, inwieweit die getestete Organisation ihre Systeme oder Sicherheitsrichtlinien (technisch wie menschlich) optimieren kann.
Red Teaming: Das Herzstück von TIBER-DE
Das Herzstück des TIBER-DE-Prozesses ist die Sicherheitsüberprüfung durch ein externes Expertenteam, das sogenannte Red Team. Der Einsatz von Red-Team-Experten wird oft mit Penetration-Testing gleichgesetzt, geht jedoch weit über diesen klassischen Security-Test hinaus. Ein wesentlicher Unterschied ist dabei, dass Red Teaming neben technischen insbesondere auch menschliche und physische Sicherheitsfaktoren berücksichtigt, die bei herkömmlichen Pentests fehlen.
Im Mittelpunkt der RT-Aktivitäten stehen szenariogesteuerte Missionen, die auf einem speziell für die zu testende Organisation entwickelten Threat Intelligence-Report basieren und eine detaillierte Beurteilung abgeben, wie effizient die Organisation Bedrohungen erkennt und abwehrt.”
Auf Basis der von den Threat-Intelligence-Teams entworfenen Bedrohungsszenarien imitieren die Teams das Vorgehen realer Cyber-Krimineller und nutzen eine Vielzahl unterschiedlichster Angriffsmuster und -vektoren – von der Sammlung von Open-Source-Intelligenz (OSINT) über Social Engineering mit maßgeschneiderter Malware bis hin zum physischen Infiltrieren des Unternehmens. Auf dem Prüfstand stehen letztlich also nicht nur die unternehmensweiten technischen Abwehrmaßnahmen, sondern auch die Effektivität der organisationsinternen IT-Sicherheits-Experten, die auch Blue Teams genannt werden.
Die Mitglieder des Red Teams: Was zählt sind Erfahrung und Angriffs-Knowhow
Autor Markus Robin, SEC Consult
Markus Robin ist General Manager der SEC Consult (Website). Der studierte Informatiker startete seine Karriere als Research-Ingenieur in der Software-Entwicklung im Hochtechnologie-Forschungszentrum der Alcatel-Elin in Wien. Im Anschluss wechselte er zur Ernst & Young Unternehmensberatung (später Capgemini). Als Vice President war Robin verantwortlich für die Themenbereiche IT-Security, IT-Strategie, Projektsanierung und Systemintegration für die Finanzdienstleistungsbranche in Österreich und den umliegenden Reformstaaten. 2005 wechselte er zur SEC Consult als General Manager, seit 2019 hat er als Geschäftsführer die Verantwortung für den deutschen Markt übernommen.Für die Durchführung eines qualifizierten anerkannten Red-Team-Tests gemäß den Vorgaben von TIBER-DE bedarf es einer Gruppe unabhängiger hochqualifizierter Sicherheitsexperten mit ausgewiesenem Angriffswissen. Die Größe und Zusammensetzung des Teams variiert dabei je nach Größe der zu testenden Einheit und hängt zudem von den für die Durchführung erforderlichen Fachkenntnissen ab. Generell besteht es jedoch immer aus mehreren Personen, die ein breites Spektrum an Fähigkeiten in unterschiedlichen Bereichen – von Penetrationstests, über Threat Intelligence, Risikomanagement, Exploit-Design bis zu physischer Penetration und Social Engineering – abdecken. RT-Anbieter sollten die Qualifikationen und Zertifizierungen ihrer Mitarbeiter problemlos nachweisen können.
Markus Robin ist General Manager der SEC Consult (Website). Der studierte Informatiker startete seine Karriere als Research-Ingenieur in der Software-Entwicklung im Hochtechnologie-Forschungszentrum der Alcatel-Elin in Wien. Im Anschluss wechselte er zur Ernst & Young Unternehmensberatung (später Capgemini). Als Vice President war Robin verantwortlich für die Themenbereiche IT-Security, IT-Strategie, Projektsanierung und Systemintegration für die Finanzdienstleistungsbranche in Österreich und den umliegenden Reformstaaten. 2005 wechselte er zur SEC Consult als General Manager, seit 2019 hat er als Geschäftsführer die Verantwortung für den deutschen Markt übernommen.Geleitet und beaufsichtigt werden die Aktivitäten von einem Red-Team-Manager, der die Verantwortung für das End-to-End-Management der Sicherheitsprüfung trägt. Im Falle von TIBER-DE fordern die zuständigen Behörden vom Red-Team-Manager mindestens fünf Jahre Erfahrung im leitenden Red-Team-Testing, davon nachweislich drei Jahre im Finanzdienstleistungssektor. Für die anderen Gruppenmitglieder wird eine mindestens zweijährige Erfahrung im Red Teaming vorausgesetzt, um die Qualität der Sicherheitsüberprüfung sicherzustellen.
Welche Anforderungen muss ein RT-Anbieter erfüllen, um TIBER-DE-Tests durchführen zu können?
Um sicherzustellen, dass der Red-Teaming-Test die Ergebnisse liefert, die er verspricht, und letztlich auch von den entsprechenden Behörden anerkannt wird, stellt das TIBER-DE-Framework an die RT-Anbieter hohe Anforderungen. Neben einer einwandfreien Reputation und einem (wie oben beschrieben) nachweisbar erfahrenen Testing-Team zählen hierzu:
1. Exzellentes Risikomanagement
Der Red-Team-Anbieter muss in der Lage sein sicherzustellen, dass er die zu testende Einheit im Rahmen seiner Aktivitäten nicht in Gefahr bringt oder Risiken erzeugt. Dies betrifft Prozesse genauso wie den Datenschutz. Es ist davon auszugehen, dass das Red Team im Laufe seiner Arbeit auf sensible, vertrauliche und geschäftskritische Daten stößt, die das zu überprüfende Unternehmen, dessen Kunden oder Drittanbieter betreffen können. Dessen muss sich das Team nicht nur absolut bewusst sein, vielmehr muss es auch entsprechende Sicherheitsmaßnahmen und Richtlinien einführen, um Situationen wie diesen gerecht zu werden.
Bei der Auswahl eines RT-Anbieters muss das Unternehmen deshalb darauf achten, dass dieser über ein robustes Information Security Management System (ISMS) mit einem maßgeschneiderten Sicherheitskontrollrahmen und einer angemessenen Zertifizierung auf Grundlage anerkannter internationaler Standards verfügt.”
Das ISMS sollte verständliche Prozesse definieren, die wirksam umgesetzt und kontinuierlich überwacht werden. Belastbare Nachweise über seine einschlägigen internen Informationssicherheitsrichtlinien, welche die Belastbarkeit seiner Methoden bezeugen, kann der Anbieter idealerweise jederzeit vorlegen.
2. Innovative Methodik
Um eine detaillierte und belastbare Bedrohungsbeurteilung abgeben zu können, bedarf es robuster innovativer Methoden. Der RT-Anbieter sollte Tests auf höchstem Niveau, d.h. fortschrittlichste Techniken sowie Beharrlichkeit demonstrieren. Nur so kann er hochentwickelte Cyber-Angriffe (auf nationalstaatlichem Niveau) imitieren und das Verteidigungsniveau der zu testenden Einheit herausfordern. Der Anbieter muss seine Methoden jederzeit offenlegen und anhand dieser die Innovation und Zuverlässigkeit erläutern können.
3. Kollaboration mit den anderen Teams
Darüber hinaus muss ein RT-Anbieter in der Lage sein und proaktiv die Bereitschaft zeigen, mit sämtlichen anderen an der Sicherheitsüberprüfung beteiligten Teams zusammenzuarbeiten. Dazu zählt neben dem zu testenden Unternehmen und dem Blue Team vor allem der Threat-Intelligence-Anbieter.
Um die vom TI-Team gezeichneten Bedrohungsszenarien in einen zusammenhängenden und nachvollziehbaren Testplan umzuwandeln, ist eine Überprüfung und Kommentierung der TI-Ergebnisse vonnöten.”
Dies ist ohne gegenseitige Transparenz und eine enge und flexible Zusammenarbeit jedoch unmöglich. Ob sowohl TI- als auch RT-Services von einem Anbieter erbracht werden oder zwei verschiedene Dienstleister beauftragt werden, bleibt den Auftraggebern dabei selbst überlassen.
4. Absolute Vertraulichkeit
Vertraulichkeit ist bei der Auswahl eines Red-Team-Anbieters ein absolutes K.O.-Kriterium. Dies gilt für Sicherheitsüberprüfungen im Rahmen von TIBER-DE-Tests ganz besonders. So muss der RT-Anbieter zusichern können, die im Rahmen der während seiner Aktivitäten erworbenen vertraulichen Informationen nicht für Dienstleistungen, die für andere Parteien erbracht werden, weiterzuverwenden.
Dabei muss er nachweisen können, wie er eine unbeabsichtigte Offenlegung verhindert, und noch vor Durchführung der Tests zusammen mit dem Auftraggeber Vorgehensweisen protokollieren, wie und wann die sensiblen Informationen nach Abschluss des Projektes rechtskonform vernichtet werden.”
Die flächendeckende Umsetzung von Threat-Intelligence-basierten Sicherheitstests gemäß dem TIBER-DE-Rahmenwerk bedeutet für die deutsche Finanzlandschaft große Chancen, da sie eine unvergleichliche Transparenz über die Cyber-Sicherheit der Finanzmarktakteure gewährleistet. Sicherheitslücken und Angriffspunkte werden dank realitätsnaher Hackerszenarien sichtbar, was einen effektiven Ausbau der Abwehrstrategien möglich macht. Als Folge hiervon können Banken Cyber-Angriffe nicht nur besser verhindern und schneller abwehren, sondern Prozesse und Systeme von vorneherein effizienter ausrichten.Markus Robin, SEC Consult
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/109392
Schreiben Sie einen Kommentar