EZB schafft Rahmen für IT-Sicherheitschecks

Mit TIBER-EU hat die EZB das erste Rahmenwerk geschaffen, um mittels kontrollierter Hacking-Attacken die Widerstandsfähigkeit von Akteuren im Finanzsektor zu testen. Es soll einen europäisch abgestimmten Ansatz ermöglichen.

In den vergangenen zwei Jahren ist etwa die Hälfte der deutschen Unternehmen Ziel von Cyberkriminellen geworden. In der Konsequenz stiegen die Sicherheitsanforderungen, die Unternehmen an sich selbst und ihre Geschäftspartner stellen, massiv an. Eine einheitliche Evaluierung der IT-Sicherheit gab es jedoch bisher nicht.

Und mehr noch: Einem Großteil der Unternehmen ist ihr konkretes Risikoprofil in Bezug auf Cyberattacken unbekannt, es existiert in der Fläche kein Notfall-Management-Konzept und kein professionelles Cyber Risk Management. Zwar schätzen 98 Prozent klassische IT-Risiken als relevantes Thema ein, doch die Kenntnisse über effektive Präventionsmaßnahmen, aktive Risikomanagementmethoden oder Risikodeckungen durch Cyber-Policen sind schwach.

Das sind Ergebnisse einer aktuellen Cyber-Studie von Willis Towers Watson, die auch durch Zahlen aus dem Lagebericht IT-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) untermauert werden. Als größte Herausforderung sehen viele Beteiligten die Risikoidentifizierung, -einschätzung bzw. -erfassung sowie die quantitative Bewertung von Schadensszenarien. Laut BSI ist die Gefährdungslage weiterhin auf hohem Niveau angespannt. Die bekannten Einfallstore für Cyber-Angriffe bleiben unverändert kritisch bestehen. Häufig weisen Soft- und Hardwareprodukte Qualitätsmängel auf, denn sie enthalten Schwachstellen, die es Angreifern erlauben, Informationen abfließen zu lassen oder die Kontrolle über die Systeme zu erlangen. Detektierte Sicherheitslücken werden zu langsam und unvollständig gemeldet, Hersteller stellen Updates verspätet zur Verfügung und Anwender setzen entsprechende Empfehlungen und Updates nicht unmittelbar oder nur unvollständig um.

Schwachstellen offenlegen und Verbesserungsmaßnahmen aufzeigen

Das Cyber-Risikomanagement und die Informationssicherheitssysteme der Banken sind daher auch Prüfungsschwerpunkte der Bankenaufsicht. Mit dem European Framework for Threat Intelligence-based Ethical Red Teaming (TIBER-EU) hat die Europäische Zentralbank (EZB) zuletzt ein Rahmenwerk geschaffen, auf dessen Grundlage durch kontrollierte Cyberattacken die Widerstandsfähigkeit der Finanzmarktteilnehmer und des Finanzmarktes getestet werden soll. Dabei werden die Taktiken, Techniken und Vorgehensweisen echter Hacker und Cyberangriffe nachgeahmt. Zum Einsatz sollen zudem Red Teams nach dem Vorbild der Geheimdienste der Vereinigten Staaten kommen, die als Gegner der Banken auftreten und mit Social-Engieneering-Methoden Schwachstellen offenlegen und Verbesserungsmaßnahmen aufzeigen sollen. Diese Art von Penetrationstest soll ein realistisches Bild der Sicherheitslage gegenüber Cyber-Angriffen widerspiegeln.

Die Erkenntnisse aus den Tests sollen den Lernprozess der Unternehmen in Bezug auf ihre Cyber-Widerstandsfähigkeit und individuelle Cyber-Sicherheit fördern und die Ausbildung höherer Reifegrade ermöglichen. Die Annahme des TIBER-EU-Rahmenwerks durch die zuständigen Behörden und Jurisdiktionen ist freiwillig. Es kann also durchaus sein, dass die EZB-Bankenaufsicht zeitnah TIBER-EU-basierende Tests durchführen wird, die nationale Finanzaufsicht (BaFin) hingegen andere Ansätze verfolgt. In den Implementierungsprozess können neben den Aufsichtsbehörden auch Ministerien und andere staatliche Institutionen eingebunden sein. Eine Harmonisierung der bankaufsichtlichen IT-Sicherheitschecks auf EU-Ebene dürfte jedoch mittelfristig ein zentrales Anliegen der Aufsichtsbehörden sowie der Marktteilnehmer sein.

EZB schafft mit TIBER-EU ein neues Rahmenwerk

Auf nationaler Ebene ist gemäß den Vorgaben der EZB eine zuständige Behörde zu benennen, die gesetzliche Bestimmungen überwacht und entsprechende Governance-Strukturen schafft. Hierzu sollen TIBER Cyber Teams (TCT) eingerichtet werden, die u.a. für die Durchführung der sektorübergreifenden TIBER-EU-Tests zuständig sind. Die Tests sollen bei den betreffenden Banken von unabhängigen Drittanbietern durchgeführt werden und ahmen Taktiken, Techniken und Vorgehensweisen (TTP) echter Hacker und Cyberangriffe nach. Alle Geschäftsbereiche sollen auf ihre Widerstandsfähigkeit überprüft werden. Ein TIBER-EU-Prozess besteht aus vier Phasen: In der ersten Phase wird die nationale Bedrohungslage des Finanzsektors beurteilt, wobei die Hauptgefahren für den Sektor und die TTPs, die Angriffsziele im Unternehmen bieten, bestimmt werden. Danach erfolgt die Vorbereitungsphase, die das Engagement der Testanbieter definiert und die Testszenarien festlegt. Die dritte und vierte Phase teilen sich in die eigentlichen Testaktivitäten und in eine Abschlussphase auf. Das TIBER-EU-Rahmenwerk sieht mehrere Rollen und Verantwortlichkeiten vor, damit zwischen den Behörden oder Geheimdiensten (Team Test Manager, TTM), den betroffenen Banken (White Teams, WT), den Bankmitarbeitern (Blue Teams, BT) sowie den Red Teams die Aktivitäten bestmöglich koordiniert werden können.

Das Ziel der Bankenaufsicht ist, dass die Institute ihre Cyberrisiken identifizieren, analysieren und entsprechend der Best Practices für das Risikomanagement mindern. Vor den Tests sollen die Banken eine Risikobewertung durchführen, und auch während der Testphase durch die richtigen vorbeugenden Risikomanagementmaßnahmen den Test begleiten. Der bankinternen IT-Governance, die u.a. das Informationsrisiko- und -sicherheitsmanagement sowie das Benutzerberechtigungsmanagement umfasst, kommt also eine zentrale und entscheidende Bedeutung zu.

Einsatz von Red Teams nach dem Vorbild der US-Geheimdienste

Besonders sensibel dürfte der Einsatz der Red Teams werden. Der „Faktor Mensch“ spielt immer dann eine entscheidende Rolle, wenn Angriffe über Social Engineering ausgeübt werden. Gezielte Phishing-Angriffe, bei denen einzelne Unternehmen oder Mitarbeiter adressiert werden, sind häufiger als in den vergangenen Jahren zu beobachten. Besonders viel Aufwand investieren Angreifer meist beim CEO-Betrug, einer Variante des Social Engineerings. Alle am Test teilnehmenden Personen und Unternehmen müssen für das Verfahren Code-Namen verwenden, die auch in der Dokumentation verwendet werden sollen. Grundsätzlich bleiben die Institute während des gesamten TIBER-EU-Tests für die Aktivitäten des Red Teams verantwortlich und sollen die Kontrolle über den Prozess behalten. Die Aufsichtsbehörden wollen eng in jeden TIBER-EU-Test eingebunden sein, um sicherzustellen, dass die Tests korrekt entsprechend ihres Zwecks und der vordefinierten Szenarien durchgeführt werden.

Bankvorstand muss die Verantwortung übernehmen

Während der Aufklärungsphase konzentriert sich das Red Team darauf, soviel Informationen wie möglich zu sammeln, beispielsweise über standardisierte Penetrationstests. Danach erfolgt eine Analyse der Informationen über die Infrastruktur, Einrichtungen und Mitarbeiter (Waffentechnik). Dadurch entsteht ein Bild vom Ziel, das für die „Waffenwahl“ in der späteren operativen Phase wichtig ist. In der Lieferungsphase werden dann konkrete Aktionen gegen das Ziel gestartet, z.B. Trojaner-Angriffe, Social-Engineering-Aktionen. Ziel des Red Teams ist es, in die Unternehmen einzubrechen, d.h., Server, Apps, Netzwerke zu kompromittieren und Zielpersonal durch Social Engineering auszunutzen. Die Ausbeutungsphase ebnet den Weg für die Kontroll- und Bewegungsphase. Sobald eine erfolgreiche Beeinträchtigung gefunden wurde, werden Versuche unternommen, von ursprünglich kompromittierten Systemen zu weiteren anfälligen oder hochwertigen Systemen überzugehen, die im Vorfeld definiert wurden. Dabei wird auch in Kauf genommen, dass die physische Sicherheit des Zielunternehmens verletzt wird, um Zugang zum Netzwerk zu erhalten oder ein Gerät zu installieren.

Nach der eigentlichen TIBER-EU-Testaktion erfolgt ein 360-Grad-Feedback-Treffen aller Beteiligten, um zu diskutieren, welche Aktivitäten, Leistungen und Einzelaspekte des TIBER-EU-Prozesses gut gelaufen sind, welche hätten besser laufen können und wo Handlungsbedarf erkennbar geworden ist. Am Ende muss der federführenden Aufsichtsbehörde eine vom Bankvorstand unterzeichnete Bescheinigung vorgelegt werden, aus der hervorgeht, dass der Test in Übereinstimmung mit den Kernanforderungen des TIBER-EU-Rahmens der EZB durchgeführt wurde.

Bankinterne Anforderungen an die IT-Governance und Security-Tests

Für die Institute empfiehlt es sich, angesichts der beschriebenen bankaufsichtlichen Anforderungen an IT-Sicherheitschecks, für eine flexible und sachgerechte IT-Governance zu sorgen. Diese besteht aus Führung, Organisationsstrukturen und Prozessen, die gewährleistet, dass die Informationstechnologie die bankinterne Risikostrategie nachhaltig unterstützt. Zum Erhalt und Ausbau der Wettbewerbsfähigkeit ist es erforderlich, die IT-Governance an bewährten Standards auszurichten und die aktuellen regulatorischen Anforderungen zu erfüllen.

Andererseits ist dringend angeraten, im Vorfeld einer bankaufsichtlichen IT-Sicherheitsprüfung etwaige Schwachstellen zu identifizieren und sich auf moderne Penetrationstests optimal vorzubereiten. Automatisierte IT-Security Ratings auf Basis einer umfassenden Datenanalyse können hier wertvolle Anhaltspunkte geben und ermöglichen ein Benchmarking innerhalb der Peer Group. Dabei findet zunächst kein Eindringen in die Systeme der Banken selbst statt. Auch Penetration Testing, teure und aufwändige Fragebögen oder Assessments werden nicht benötigt. Stattdessen werden weltweit Daten zu kompromittierten Systemen, Security Diligence, Nutzerverhalten und Datenlecks gesammelt und als Basis für Verbesserungsmaßnahmen zur Verfügung gestellt.

 

Bildquelle: Shutterstock

Schreibe einen Kommentar

Ähnliche Artikel