Die Finanzbranche war oft schon Vorreiter in den Bereichen Compliance, IT-Governance und Informationssicherheit. So auch jetzt wieder: Das EU-weite Framework TIBER wird zuerst in der Finanzbranche umgesetzt. In Deutschland ist hier die Bundesbank federführend. Doch was ist TIBER und was bedeutet seine Einführung konkret für Sie und Ihre Organisation?

TIBER reguliert Ethical Hacking

TIBER steht für Threat Intelligence-based Ethical Red Teaming. Red Teaming ist ein Begriff aus der Cybersicherheit und bezeichnet gewissermaßen eine Weiterentwicklung der bekannten Penetration Tests (Pentests). Die Unterschiede: Bei einem Pentest werden Schwachstellen systematisch identifiziert – vor allem bekannte Schwachstellen, die in der Organisation nicht ordnungsgemäß geschlossen wurden, etwa durch versäumte Updates. Beim Red Teaming dagegen nehmen die (meist extern beauftragten) IT-Sicherheitsexperten möglichst realistisch die Position realer Angreifer ein: Sie versuchen auch Zero-Day-Exploits und menschliche Schwachstellen im Sinne des Social Engineering Angriffes zu nutzen, und vor allem ist die Identifikation solcher Schwachstellen noch nicht das Ende des Red Teaming. Vielmehr wird erforscht, wie weit die gefundenen Schwachstellen ausgenutzt werden können – ob es beispielsweise möglich wäre, einen Advanced Persistent Threat (APT) zu implementieren.

Pentesting und noch mehr das Red Teaming werden von Organisationen oft mit Argwohn betrachtet: Man bezahlt jemanden dafür, dass er in das eigene System einbricht. Das fühlt sich für Entscheider oft unangenehm und sogar destruktiv an. Und nicht ganz unberechtigt: Wenn nicht bereits ein sehr vertrauensvolles Verhältnis zu einem IT-Sicherheitsdienstleister besteht, ist es schwierig, unter vielen in Frage kommenden „Auftragshackern“ den richtigen auszuwählen – einen, der die gewonnenen, hochsensiblen Einblicke in das System später nicht fahrlässig behandelt oder sogar illegal nutzt.

TIBER für kritische Infrastrukturen der Finanzbranche

Trotzdem sind Pentests und Red Teaming im Kontext der Cybersicherheit unverzichtbar. Sie sollen dabei keinesfalls ein Informationssicherheitsmanagementsystem (ISMS) ersetzen, wie es beispielsweise nach ISO/IEC 27001 zertifiziert werden kann – vielmehr stellen sie fest, ob das ISMS auch wirksam und mit den richtigen Schwerpunkten implementiert wurde.

Aus diesem Grund hat die Europäische Zentralbank (EZB) im Mai 2018 das erste ge­mein­same eu­ropäische Framework für das Red Teaming herausgegeben: Th­reat In­tel­li­gence-ba­sed Ethi­cal Red Teaming für die EU oder kurz TIBER-EU. Dieses wird in Deutschland als TIBER-DE von der Bundesbank umgesetzt, wie diese gemeinsam mit dem Bundesministerium für Finanzen im August 2019 beschlossen hat.

Die wichtigste Zielgruppe von TIBER-DE sind zum jetzigen Zeitpunkt Finanz- und Versicherungsdienstleister, die zu den Kritischen Infrastrukturen (KRITIS) zählen. Das sind aktuell zu etwa einem Viertel Unternehmen und Organisationen aus der Versicherungswirtschaft und zu drei Vierteln aus der Finanzbranche. Bereits seit 2020 können solche Organisationen freiwillig an Tests nach TIBER-DE teilnehmen. Das TIBER-DE-Umsetzungsdokument wurde 2021 mit den ersten Erfahrungen aus diesen Tests aktualisiert, die auf anonymer Basis und freiwillig von den Teilnehmenden geteilt wurden. Eine weitere Aktualisierung auf die derzeitige Version 3.0 wurde im Dezember 2022 veröffentlicht. Und auch in Zukunft wird die TIBER-Umsetzung mit den hinzugewonnenen Erfahrungen mitwachsen. Wichtig zu wissen: Ein TIBER-DE-Test gilt niemals als bestanden oder nicht bestanden. Stattdessen ist jeder Test erfolgreich, der dazu führt, dass die getestete Organisation ein realistischeres Bild über ihre Resilienz gegenüber Cyber-Attacken erhält.

Wer führt TIBER-DE durch?

Im Umsetzungsdokument der Bundesbank für TIBER-DE werden Rollen und Vorgehensweise standardisiert und damit verlässlich und zwischen Organisationen vergleichbar gemacht. Bei jedem TIBER-DE-Test ist das TIBER Cyber Team (TCT) begleitend dabei, das bei der Bundesbank angesiedelt ist. Andere EU-Mitgliedsstaaten haben eigene TCT, die bei grenzübergreifenden Tests auch kooperieren. Den nationalen TCT übergeordnet ist das TIBER Knowledge Center (TKC), das EU-weit TIBER weiterentwickelt und die TCT unterstützt.

Die Rolle des TCT: Es steht den Durchführenden mit Fachwissen zur Seite, kontrolliert die Einhaltung der Rahmenbedingungen nach TIBER-Umsetzungsdokument und bestätigt schließlich offiziell, dass der TIBER-DE-Test konform mit den Rahmenbedingungen durchgeführt wurde. Jeder Organisation wird während ihres TIBER-DE-Tests ein TIBER Test Manager (TTM) zugewiesen, der innerhalb des TCT für diesen konkreten Test zuständig ist.

Gegenpart des TTM ist innerhalb der Organisation der White Team Lead (WTL). Das White Team besteht aus internen Mitarbeitenden der Organisation, die sich dem TIBER-DE-Test unterzieht, und ist für die Planung und Durchführung zuständig. Wichtig: Die Mitglieder des White Team sind die einzigen Personen in der Organisation, die von der Durchführung des TIBER-DE-Tests wissen. Diese und andere Hinweise sind in der TIBER-EU White Team Guidance der EZB näher ausgeführt.

Alle Mitarbeitenden der Organisation, die nicht Teil des White Team sind, sind per definitionem Teil des Blue Team. Sie dürfen keine Kenntnis von der Durchführung des TIBER-DE haben, denn auch über einen realen Angriff wird die Organisation ja nicht im Vorfeld informiert.

Externe Rollen beim TIBER-DE sind der Red Team Provider (RTP) und der Intelligence Threat Provider (ITP). Der ITP sammelt vom White Team Informationen über mögliche Schwachstellen und reicht diese an den RTP weiter, der schließlich für die praktische Durchführung des Red Teaming zuständig ist.

Phasen eines TIBER-DE-Tests

Der TIBER-DE-Test besteht aus drei Phasen: Vorbereitung, Test und Abschluss. In der Vorbereitungsphase wird die Durchführung des TIBER-DE-Tests gemeinsam vom Unternehmen und dem TCT formell beschlossen. Das White Team wird festgelegt und über den Ablauf informiert. Ebenfalls informiert werden muss die Finanzaufsicht – dies erfolgt durch das TCT. Das White Team bereitet einen Projektplan vor und der Umfang des Tests wird in einer Umfangsspezifikation festgelegt. Alle kritischen Funktionen des Unternehmens müssen vom Testumfang abgedeckt sein, und die Finanzaufsicht muss die Umfangsspezifikation genehmigen.

Ebenfalls ein wichtiger Baustein der Vorbereitung: die Beschaffung. Vertrauenswürdige Anbieter für RTP und ITP müssen ausgewählt werden. Beide Teams können von einem Dienstleister gestellt werden, müssen aber aus separaten Personenkreisen bestehen.

Zum Start der Testphase wird zunächst vom ITP ein Bericht zur Bedrohungslage zusammengestellt. Informationen zur nationalen Bedrohungslage dienen als Grundlage und werden durch die Informationen zur unternehmensspezifische Bedrohungslage ergänzt, die seitens des White Team bereitgestellt werden. Auf dieser Grundlage erstellt der RTP einen Testplan und führt anhand dessen spezifischer Angriffsszenarien den Test durch.

In der Abschlussphase erstellt der RTP den Testbericht, in dem sowohl das Vorgehen beim Test als auch dessen Ergebnisse dargelegt werden. Nun wird auch das Blue Team über den stattgehabten Test informiert (Blue Team Briefing) und erstellt einen eigenen Test über die unternommenen Gegenmaßnahmen. RTP und Blue Team besprechen daraufhin in einem Replay-Workshop gemeinsam den Verlauf und erörtern alternative Szenarien (Purple Teaming). Abschließend erstellt das Unternehmen einen Maßnahmen-/Behebungsplan und einen Abschlussbericht und wird zudem vom TIBER-DE-Lenkungsausschuss zu einem finalen Evaluationsworkshop eingeladen. Das TCT attestiert die rahmenwerkskonforme Durchführung und leitet den Abschlussbericht an die Finanzaufsicht weiter.

TIBER-DE mit Outpost24

Unternehmen, die sich zu der Teilnahme an TIBER-DE entscheiden, erhalten damit also einerseits Zugriff auf einen enormen Wissens- und Erfahrungsspeicher zur Informationssicherheit in der Finanzbranche, andererseits auch Einblicke in die eigene Resilienz und individuelle Schwachstellen, die so auf keine andere Weise zu erlangen sind.

Outpost24 steht dabei als erfahrener Partner zur Verfügung, sowohl im Bereich RTP als auch ITP. Wenn Sie an weiteren Informationen zu TIBER-DE interessiert sind, kontaktieren Sie uns zur Vereinbarung eines unverbindlichen Beratungsgesprächs.