
Mit TIBER-DE (Threat Intelligence-based Ethical Red Teaming) setzt die Bundesbank das vom ESZB ausgearbeitete Rahmenwerk für bedrohungsgeleitete ethische Penetrationstests, kurz TIBER-EU, seit vergangenem Sommer auch für Deutschland um. Fachmännische Unterstützung bei der Durchführung der unabhängigen, umfassenden Angriffssimulationen erhalten die deutschen Finanzmarktakteure dabei von den Sicherheits-Experten von SEC Consult. Mit spezialisierten Red Teaming-Projekten helfen sie Banken, Versicherungen, Fintechs und deren Dienstleistern bei der Überprüfung ihrer Systeme auf Schwachstellen und dem nachhaltigen Ausbau ihrer Cyber-Resilienz.
Als kritische Infrastruktur ist der Finanzdienstleistungssektor für Cyberkriminelle ein attraktives Angriffsziel. Die zunehmende Digitalisierung sowie hochentwickelte Angriffstechniken und Schadprogramme bringen die Cyberabwehr von Banken immer öfter an ihre Grenzen. Aus diesem Grund haben das Bundesministerium der Finanzen (BMF) und die Deutsche Bundesbank mit TIBER-DE ein Rahmenwerk ausgearbeitet, das die Widerstandsfähigkeit des gesamten deutschen Finanzsystems gegen Cyberangriffe stärken soll. Dabei ist TIBER-DE ein deutscher Ableger des im Mai 2018 von der Europäische Zentralbank verabschiedeten Framework for Threat Intelligence-based Ethical Red Teaming (TIBER-EU). Das Rahmenwerk gründet auf vollumfänglichen Angriffssimulationen, d.h. systematischen Threat Intelligence-basierten Red Teaming-Tests, deren Ziel es ist, Schwachstellen und Sicherheitslücken in kritischen Systemen nach einer streng definierten Vorgehensweise aufzuspüren. Auf dem Prüfstand stehen dabei sämtliche Cyber-Abwehrmaßnahmen eines Unternehmens, aber auch die Effektivität der organisationsinternen IT-Sicherheits-Experten, den so genannten Blue Teams.
Als unabhängiger, externer Cybersecurity-Berater steht SEC Consult dem Finanzdienst-leistungssektor als kompetenter Red Teaming-Partner für die Durchführung von TIBER-DE-Tests zur Seite und identifiziert und bewertet im Rahmen umfangreicher Red Teaming-Projekte Schwachstellen in der Cyber-Defense-Strategie von Banken. Dafür imitieren die Spezialisten das Verhalten realer Cyberkrimineller und nutzen eine Vielzahl möglicher Angriffsmuster und Angriffsvektoren – von der Sammlung von Open-Source-Intelligenz (OSINT) über Social Engineering über (Spear-)Phishing mit maßgeschneiderter Malware bis hin zum physischen Infiltrieren des Unternehmens und anschließender Kompromittierung. Die verschiedenen Missionen, die das Red Team dabei verfolgt, werden aus Risikoanalysen und Threat Intelligence abgeleitet und sind deshalb speziell auf das zu testende Unternehmen zugeschnitten.
„Der Red Teaming-Ansatz, wie ihn das TIBER-DE-Framework vorsieht, geht über das klassische Pentesting hinaus. So berücksichtigt Red Teaming neben technischen insbesondere auch menschliche Sicherheits-Faktoren, die herkömmliche Penetrationstests eben nicht inkludieren“, erklärt Markus Robin, General Manager von SEC Consult. „Der Tester stellt also nicht nur Systeme innerhalb einer Umgebung auf den Prüfstand, sondern auch die Menschen und die Prozesse des Unternehmens. Hierdurch ergibt sich ein umfassendes Bild der aktuellen Sicherheitslage, das es Unternehmen ermöglicht, sich optimal auf Angriffe vorzubereiten. Das Red Teaming-Kompetenzzentrum von SEC Consult besteht aus einem internationalen Experten-Team, das alle sinnvollen Angriffsszenarien innerhalb des von TIBER-DE festgelegten Rahmens strukturiert und intelligent umsetzt.“
Bisher können Banken und Versicherungen noch selbst entscheiden, ob sie ihre Systeme mit Red Teaming auf die Probe stellen oder nicht, doch eine Verpflichtung der Finanzmarktakteure von Seiten der Bundesbank in absehbarer Zeit steht bereits im Raum. „Unabhängig davon, ob die Schwachstellen-Überprüfung gemäß TIBER-DE zukünftig obligatorisch sein wird, sollten Banken allein schon aus Eigeninteresse regelmäßig TIBER-Tests durchführen, um ihre Cyber-Abwehr zu stärken und das deutsche Finanzsystem nachhaltig und flächendeckend sicherer zu machen“, ergänzt Robin.
Weitere Informationen zum Red Teaming-Portfolio von SEC Consult finden Sie hier: https://sec-consult.com/portfolio/prozess-management-informationssicherheit/red-teaming/
Foto: https://pixabay.com/de/
Fachartikel

Sind Daten Ihr schwächstes Glied?

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Wie die Analyse des Benutzer- und Entitätsverhaltens zur Cybersicherheit beiträgt

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Studien

Studie Cloud-Strategien: Von kleinen Schäfchenwolken zum Cumulus

IDC-Studie: 82 Prozent der deutschen Unternehmen nutzen die Cloud – umfassende Automatisierung der Workloads ist aber noch Zukunftsmusik

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
Whitepaper

5 Tipps für die SAP- und OT-Sicherheit: So haben Hacker keine Chance

Neuer Forrester-Report: Varonis als führender Anbieter von Datensicherheits-Plattformen ausgezeichnet

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Unter4Ohren

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
