TIBER-EU
Red Teaming für den Finanzsektor
Teil 1: Einführung
TIBER-EU
TIBER-EU – was zunächst nach einem römischen Fluss klingt, ist in Wahrheit ein Rahmenwerk der Europäischen Zentralbank (EZB) zur Umsetzung von Red Teaming Assessments.
TIBER, das steht für Threat Intelligence-based Ethical Red Teaming.
Durch die zunehmende Digitalisierung im Bankenbereich und weiteren Finanzsektor, rücken Versicherungen und Banken in den Fokus von Cyberkriminellen. Um die Widerstandfähigkeit dieser Infrastrukturen zu stärken, wurde von der EZB das Framework TIBER-EU entwickelt.
Das Finanzsystem in seinen komplexen Strukturen, mit Teilnehmern aus unterschiedlichen Umgebungen, unterschiedlichen Technologien und dem großen Aufkommen von Netzwerktraffic unterliegt besonderen Anforderungen.
Daher wurde TIBER-EU entwickelt, um diesen Anforderungen nachzukommen. Ziele und Umsetzungsmöglichkeiten sollen durch TIBER-EU definiert und Verantwortlichkeiten geregelt werden.
Ein weiteres großes Ziel ist es, ein europaweit einheitliches Rahmenwerk zu schaffen. Unterschiedliche Rahmenwerke können eine Belastung für die Umsetzung sein. Inkonsistente Resultate durch verschiedene Frameworks gilt es durch diese Einführung von Standards zu verhindern. Gleichzeitig schafft TIBER-EU Handlungssicherheit für alle Beteiligten.
Dadurch verschafft TIBER-EU regulierenden Behörden die Möglichkeit, die Widerstandsfähigkeit der Entitäten gegen anspruchsvolle Cyberattacken zu stärken. Es ermöglicht den Behörden Programme zu etablieren, die diese Widerstandsfähigkeit auf die Probe stellen.
Entitäten und Nutzer des TIBER-EU Frameworks
Zu den angesprochenen Entitäten gehören Zahlungsysteme, zentrale Wertpapierdepots, Clearinghäuser, Transaktionsregister, Ratingagenturen, Börsenplätze, Abwicklungsdienstleister, Versicherungen, Banken, Zahlungsinstitute- und abwickler, Vermögensverwaltungen und alle anderen Dienstleister im Finanzsektor.
Das Rahmenwerk TIBER-EU zielt neben diesen Entitäten einerseits auf Behörden und Finanzaufsichten, beispielsweise die BaFin, welche für die nationale Adaption und das Management des Rahmenwerks verantwortlich sind. Des Weiteren soll natürlich den Entitäten selber Handlungssicherheit in der Umsetzung eines Red Team Tests gewährleistet. TIBER-EU unterstützt außerdem die Dienstleister, einerseits die Anbieter von Cyber-Bedrohungsanalysen, andererseits die Dienstleister, die die Red Teaming Assessments durchführen.
Trotz des Schwerpunktes auf den Finanzsektor, ist TIBER-EU explizit auch dafür gedacht, auf andere Industriezweige angewandt zu werden.
TIBER-EU als Blaupause
Nachdem wir nun erfahren haben, was TIBER-EU grundsätzlich ist und an wen es sich richtet, möchten wir im Folgenden einen Überblick auf die Umsetzung und nationale Implementierung des Rahmenwerkes geben.
Die Mitgliedsländer der Europäischen Union sind angehalten, die Vorgaben aus TIBER-EU an die jeweils geltenden nationalen Vorgaben anzupassen. So entstehen Sub-Frameworks wie TIBER-DK, TIBER-NL und das im September 2019 veröffentlichte TIBER-DE. Dieses ist für Deutschland das Rahmenwerk, an dem es sich zu orientieren gilt und stellt die Adaptierung von TIBER-EU durch die zuständigen Behörden BaFin und der Bundesbank dar.
Erkenntnisgestütztes Red Teaming
Threat Intelligence-based Ethical Red Teaming. Ist zunächst die Abkürzung kryptisch, so macht es die lange Version der Bezeichnung nicht gerade einfacher.
Doch säumen wir das Pferd einmal von hinten auf.
Red Teaming haben wir in einem unserer Blogbeiträge bereits näher beschrieben. Die Kurzfassung lautet: Beim Red Teaming simuliert eine Gruppe von Ethical Hackern echte Cyberangriffe, um die Verteidiger (das Blue-Team) in der Erkennung und Verteidigung von Angriffen zu schulen. Desweiteren sollen Schwachstellen in den Sicherheitskonzepten gefunden werden.
Ein White Team agiert als Schiedsrichter und behält die Übersicht über die beiden Kontrahenten.
Ethical bedeutet in diesem Zusammenhang, dass die Hacker sich dazu verpflichtet haben, ethisch korrekt zu handeln. Konkret heißt das, dass sie bereit sind, ihre Fähigkeiten für das Gute, das Auffinden und Beseitigen von Schwachstellen einzusetzen.
Diese Art von Security Assessment soll “Threat Intelligence-base” durchgeführt werden. Im Rahmen einer Threat Intelligence Analyse sollen hier vor dem eigentlichen Red Teaming bereits Bedrohungen durch eine OSINT-Analyse (Open Source Intelligence, das Durchsuchen des Inter- und Darknets nach sensiblen Daten des betroffenen Unternehmens) und einen Penetration Test gefunden werden.
Ein weiterer, wichtiger Punkt der Threat Intelligence Analyse ist das Analysieren und Bewerten von aktiven Bedrohungen durch Akteure, Schwachstellen und Verhaltensweise der Branche. Das Red Team versucht sich möglichst so zu verhalten, wie reale Hackergruppen, sogenannte APT (Advanced Persistent Threats), vorgehen.
Die im Rahmen der Analysephase gefundenen Informationen nutzt das Red Team dann, um das Red Teaming durchzuführen.
Externe Dienstleister als Voraussetzung
Ein essenzielle Voraussetzung, ein erfolgreiches und TIBER-EU bzw. TIBER-DE-konformes Red Teaming durchzuführen, ist die Nutzung von externen Dienstleistern in den Bereichen Threat Intelligent und Red Team.
Auf den ungetrübten Blick von außen legt die EZB besonderen Wert.
Durch diesen externen Blick auf die Sicherheit können Diskrepanzen von Wissenständen, Unstimmigkeiten in der Konzeption und Nachlässigkeiten erfasst werden.
Man geht davon aus, dass die Verantwortlichen für die IT-Infrastruktur eines Unternehmens und die für die IT-Sicherheit ihren Bereich nach bestem Wissen und Gewissen führen. Das tägliche Geschäft von IT-Sicherheitsanalysten ist, in eben diesen Bereichen, wo Strukturen gefestigt sind, die Lücken zu finden. Dies kann selten von innerhalb dieser Strukturen passieren.
HXNWRK by von Busch GmbH bietet Red Teaming als Teil unseres Service Offerings an.
Dabei orientieren wir uns bei der Durchführung aller Red Teaming Kampagnen stets am TIBER-EU Framework.
Ausblick
In folgenden Blogbeiträgen aus der Reihe „TIBER-EU – Red Teaming für den Finanzsektor“ werden wir das Rahmenwerk TIBER-EU und das Pendant TIBER-DE näher beleuchten.
Wir werden eingehen auf
– den Ablauf des Prozesses und die unterschiedlichen Phasen
– die Rollen und Verantwortlichkeiten
– das Risikomanagement
– einige Fallbeispiele
Sie haben Fragen zu Red Teaming und dem TIBER-EU/ TIBER-DE Framework? Sprechen Sie uns gerne an und schreiben Sie uns eine E-Mail.
