Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

„Eine absolute Sicherheit gibt es im Bereich der Cyberkriminalität nicht“

Auf einen Cyberangriff ist man nie wirklich vorbereitet. Jedoch gibt es eine gute Möglichkeit, die eigene Widerstandsfähigkeit auf die Probe zu stellen und Schwachstellen zu erkennen. Bundesbank-Vorstand Burkhard Balz im Interview zu TIBER-Tests im deutschen Finanzsektor.

Von Fiona Gleim - 08. September 2022
tiber

Foto: iStock.com/DamienGeso

BANKINGNEWS: Wie entstand das deutsche Rahmenwerk TIBER-DE (Threat Intelligence-based Ethical Red Teaming)?
Burkhard Balz: 2019 haben die Deutsche Bundesbank und das Bundesfinanzministerium entschieden, TIBER-DE einzuführen. TIBER-DE ist die deutsche Umsetzung von TIBER-EU, einem Rahmenwerk, das die Zentralbanken im Eurosystem erarbeitet und 2018 veröffentlicht haben. Die Bundesbank hat sich dabei intensiv an der Entwicklung beteiligt.

Erläutern Sie uns kurz das Ziel von TIBER.
TIBER ist dafür konzipiert, Cyberangriffe auf große Institute im Finanzsektor zu simulieren. Das Rahmenwerk gibt standardisierte Prozesse vor, mit denen Unternehmen Angriffe auf Computersysteme, Prozesse und Abwehrmechanismen in Form von Red-Teaming-Übungen beauftragen können. Angriffe sogenannter ethischer Hacker sollen Sicherheitslücken identifizieren, die echte Hacker ausnutzen könnten. Es sorgt für eine hohe Testqualität und ermöglicht die Durchführung und Anerkennung auch über Ländergrenzen hinweg, was gerade für multinationale Unternehmen wichtig ist. Das Kompetenzzentrum für TIBER-Tests in Deutschland ist bei der Bundesbank angesiedelt und begleitet die Unternehmen bei der Durchführung. Indem wir einzelnen Instituten helfen, widerstandsfähiger gegen Cyberangriffe zu werden, verbessern wir auch die Stabilität des gesamten Finanzsystems.

Wie verläuft ein TIBER-DE-Test in der Praxis?
Insgesamt kann ein TIBER-Test neun bis zwölf Monate dauern. Für die vorgelagerte Analyse der konkreten Bedrohungslage und die eigentliche Durchführung werden externe Dienstleister beauftragt. Das macht das sich dem TIBER-Test unterziehende Unternehmen selbst. Konkret werden dann die relevanten kriminellen Akteure, deren Fähigkeiten sowie Interessen dokumentiert und der IT-Infrastruktur des Unternehmens gegenübergestellt. Die so entwickelten Angriffsszenarien bilden gewissermaßen das Herzstück des TIBER-Tests. Sie werden über einen Zeitraum von etwa zwölf Wochen durchgespielt. Bis auf eine Gruppe eingeweihter Personen weiß niemand im Unternehmen von der Durchführung. Somit soll der Test möglichst realistisch verlaufen. Nach Abschluss der Angriffsaktivitäten wird dieser dann offengelegt. Um Verbesserungen zu erarbeiten, werden die gewonnenen Erkenntnisse gemeinsam mit dem Unternehmen ausgewertet.

Worin liegen die häufigsten Schwachstellen?
Hier ist es schwer, Vergleiche zu ziehen. Bereits durchgeführte Tests unterscheiden sich in vielerlei Hinsicht voneinander. Dies kann an der speziellen Bedrohungslage, der konkreten Infrastruktur oder den Verteidigungsmaßnahmen des Unternehmens liegen, aber auch durch Unterschiede in den relevanten Angriffstechniken beziehungsweise den Vorgehensweisen der beauftragten Dienstleister bedingt sein. Darüber hinaus werden sehr unternehmensspezifische Schwachstellenkonstellationen identifiziert und behoben.

In welchen Intervallen sollten TIBER-DE-Tests idealerweise durchgeführt werden?
Cybersicherheit ist ein bewegliches Ziel. Ihre Verbesserung ist also keine einmalige Angelegenheit, sondern sollte kontinuierlich fortgeführt werden. Deshalb sieht das TIBER-DE-Rahmenwerk vor, dass Tests alle drei Jahre wiederholt werden.

Derzeit sind TIBER-DE-Tests ein freiwilliges Angebot. Sollten die Tests verpflichtend werden, um die allgemeine Sicherheit zu erhöhen?
Seit der Einführung 2019 haben wir gute Erfahrungen mit der freiwilligen Durchführung von TIBER-Tests gemacht. Dabei wird ein Test durchgängig von den Kollegen im nationalen Kompetenzzentrum betreut und die zuständige Finanzaufsicht an fest definierten Punkten während der Vor- sowie Nachbereitung eingebunden. Dieses Modell hat sich bewährt, da es die Kompetenzen der Aufsicht sinnvoll einbezieht. Gleichzeitig gibt es den Unternehmen Anreize für ein möglichst erkenntnisorientiertes Vorgehen. Es geht eben nicht nur darum, ob das Unternehmen regulatorische Vorgaben erfüllt, sondern auch um die Identifikation weiterer Verbesserungsmöglichkeiten. Dafür ist TIBER ein ausgezeichnetes Werkzeug. An der hohen Nachfrage sehen wir, dass der Markt das Angebot positiv aufgenommen hat. Dennoch sieht die Verordnung „Digital Operational Resilience Act“ (DORA), zu der die europäischen Gesetzgeber im Mai 2022 eine vorläufige Einigung gefunden haben, eine europaweite verpflichtende Durchführung gemäß dem TIBER-Rahmenwerk vor. Für große Unternehmen des Finanzsektors werden die Tests somit langfristig verpflichtend werden, ohne dabei jedoch die konkreten Vorteile von TIBER und die Eigenmotivation der Unternehmen abzuschwächen. Die Bundesbank wird auch unter den neuen Rahmenbedingungen mit ihrer Erfahrung und Expertise die gute Zusammenarbeit mit den getesteten Unternehmen und den Kollegen der Finanzaufsicht fortsetzen.

Um die Angriffssimulation realistisch zu gestalten, müssen ethische Hacker auf einen Erfahrungspool zugreifen können. Woher stammen die Daten?
Im Namen verbirgt sich bereits, dass TIBER-Tests immer bedrohungsgeleitet stattfinden. Als Basis dient die allgemeine Bedrohungsanalyse für den deutschen Finanzsektor, die jährlich durch die Bundesbank und einen externen Dienstleister erstellt wird. Die an der Durchführung beteiligten externen Spezialisten greifen auf internationale Standards zurück, etwa auf das MITRE ATT&CK-Rahmenwerk.

Wie groß ist die Gefahr, dass ein realer Angriff nach den TIBER-Tests falsch eingeschätzt wird?
TIBER-Tests bieten einen erheblichen Erkenntnisgewinn für die getesteten Unternehmen. Sie helfen, Cyberwiderstandsfähigkeit realistisch einzuschätzen und bisher unbemerkte Schwachstellen zu entdecken. So lassen sich Fehleinschätzungen durch die Unternehmen reduzieren. Aber eine absolute Sicherheit gibt es im Bereich der Cyberrisiken nicht.

Ein Ergebnis der TIBER-EU-Tests war, dass Mitarbeiter ein unzureichendes Verantwortungsbewusstsein hinsichtlich der Datensicherheit aufweisen. Was kann dagegen getan werden?
Ganz klar: Aufmerksame und sensibilisierte Beschäftigte können selbst ausgefeilte Angriffe frühzeitig abwehren, sofern es im Unternehmen wohldefinierte interne Sicherheitsregeln und -prozesse gibt. Das ist eine Frage der Unternehmenskultur und liegt damit auch in der Verantwortung des Managements. Neben dem Faktor Mensch spielen jedoch ebenso organisatorische und technische Schutzmaßnahmen eine wichtige Rolle bei der Abwehr von Angriffen. Somit ist eine enge Verzahnung der unterschiedlichen Mechanismen von großer Bedeutung.

Interview: Fiona Gleim

TIPP: Sie möchten mehr zum Thema Cybercrime lesen? Dann können Sie sich hier die Studie „Sicherheitsrisiko Kundendaten“ herunterladen oder lesen Sie hier, wie Banken sich effektiv vor Log4Shell und Co. schützen.

Burkhard Balz

Deutsche Bundesbank

Burkhard Balz ist Vorstandsmitglied der Deutschen Bundesbank.

Lesen Sie auch

Cyberrisiken mit bankinternen ganzheitlichen Lösungen eindämmen

Bei Cybersicherheit gehen Banken oft Partnerschaften mit externen[…]

Dennis Witzmann
Wie hoch ist die Sicherheit der Kundendaten in deutschen Banken?

Sicherheitsrisiko Kundendaten

Kundendaten sind der Schatz einer jeden Bank, den[…]

Redaktion
Log4Shell, Exploits

Every day is a zero day – wie Banken sich effektiv vor Log4Shell und Co. schützen

Cyberkriminelle und Betrüger machen sich Exploits in der[…]

Jan Wilde
Cybercrime

„Die Arten der Betrugsfälle haben sich geändert“

Wie in der Wirtschaft geht auch in der[…]

Dennis Witzmann
DDoS Angriffe Myra

Banken im Visier von DDoS-Erpressern

Cyberkriminalität ist das Problem unserer Zeit. Im Finanzsektor[…]

Jan Wilde
Datenschutz VPN

Ist ein VPN ein Muss?

Das Fürchten um das eigene Hab und Gut:[…]

Redaktion
Zusammenarbeit, gemeinsam gegen Betrug, Betrüger, Kriminelle, Geschäftliche Partnerschaft

Betrug: Auto- und Hausbanken können sich gemeinsam schützen

Betrüger haben es auf Banken abgesehen, das gilt[…]

Redaktion
Identitätsbetrug Erik Manke

Identitätsbetrug: Wie kann man sich schützen?

Identitätsbetrug soll während der Pandemie zugenommen haben. War[…]

Redaktion
Senioren

Wie Banken Senioren vor Betrug schützen können

Bei FRAUDMANAGEMENTforBANKS zeigte uns Kriminaldirektor Ralf Kluxen, welche[…]

Redaktion
Betrug im Online Banking, Risikofaktoren, Mensch als Risiko, Fraudmanagement, Banken

Risikofaktoren im Online-Banking: „Ohne Mensch kein Betrug“

Der Mensch ist einer der größten Risikofaktoren beim[…]

Dennis Witzmann
Cybersecurity

„Wir haben das Thema Digital- und Cybersecurity etwas schleifen lassen“

Die Bedrohung durch Cyberkriminelle ist omnipräsent. COVID-19 hat[…]

Dennis Witzmann
Beitragsbild_Daily_NRW versteigert Bitcoin aus Darknet

NRW versteigert Bitcoin aus Darknet

Bitcoin fasziniert. Wann auch immer die „Kryptomutter“ zur[…]

Fiona Gleim
Cybercrime Day 2021- IT-Sicherheit- Kongress

Cybercrime Day 2021 – IT-Security in der Finanzwelt

Der Cybercrime Day feierte am 28. September 2021[…]

Fiona Gleim
Ransomware-Angriff, Daten verschlüsselt, Computer gefährdet, Cybersicherheit

„You got hacked“ – Was tun nach einem Ransomware-Angriff?

Vorsicht ist besser als Nachsicht. Das gilt besonders[…]

Kevin Schwarz
schlechte arbeit bei it und Cybercrime Vahrenhorst

Warum machen Unternehmen bei der Cyberabwehr schlechte Arbeit?

Unternehmen machen beim Thema Cybercrime schlechte Arbeit. Unter[…]

Peter Vahrenhorst
Cyberattakcen, Angreifer, Cyberangriff, Cyber Security, Banken, Incident response

Incident Response – weil Cyberattacken Realität sind

Nephilim, Ryuk, Trickbot, Emotet und seit neustem Conti[…]

Mathias Fuchs
Unternehmen Tripwire Cybercrime

Man muss die eigene Umgebung kennen und Transparenz schaffen

Die durchschnittlichen Kosten von Cybervorfällen sind in den[…]

Dennis Witzmann
Schutz vor Cybercrime

Bonnie und Clyde wären heute Hacker

Ingo Lalla, Vice President Sales bei Myra Security,[…]

Ingo Lalla

Von Bonnie und Clyde zu Cyberscams: So kämpft die Finanzbranche gegen Cyberkriminelle

Beim BANKINGCLUB-Live: Cybercrime-Special drehte sich alles um das[…]

Redaktion

Ausweich- und Verschleierungstaktiken moderner Schadsoftware

Gekommen, um zu bleiben: Moderne Malware tut alles,[…]

Jörg Herrmann
Evasive Malware Meister der Tarnung

Evasive Malware: Meister der Tarnung

Evasive Malware ist darauf ausgelegt, den Security-Systemen eines[…]

Redaktion

Bei BANKINGCLUB-Live wird es speziell

An 24. März 2021 haben wir unser Erfolgsformat[…]

Dennis Witzmann
XM Cyber Assume Breach

Erfahren Sie von XM Cyber, wie Sie die kritischsten Assets Ihres Unternehmens schützen können

Termin: 5. Mai, 10:00 -11:00 Uhr Session: Assume Breach – Angenommen, es kommt zu einem Angriff[…]

Redaktion
Cybercrime

Cyber-Resilienz für den Finanzsektor

Hände hoch – das war einmal. Heute kommen[…]

Jörg Herrmann
Online Banking Cybersecurity mobile Daten

Ist es sicher, mobile Daten für Online-Banking zu verwenden?

Online-Banking ermöglicht den Zugriff auf das eigene Konto[…]

Redaktion
Betrugsprävention, IT-Security, Banken

Banken brauchen jetzt eine ganzheitliche Betrugsprävention

Peter Vahrenhorst vom Landeskriminalamt (LKA) Düsseldorf über die[…]

Peter Vahrenhorst
Rahmenwerk TIBER-EU Ethisches Hacking Bundesbank

Ethisches Hacking schützt vor Angriffen

Dr. Ronny Merkel beschreibt, wie Banken und Versicherer[…]

Ronny Merkel

Infografik: Betrug ohne Grenzen

Banken verzeichnen seit Jahren Rekordschäden durch Betrug und[…]

Redaktion
Wie kann ein Unternehmen sich effektiv gegen DDoS-Attacken schützen? Grafik zum Beitrag

Wenn Anwendungen in IT-Systemen regelrecht „bombardiert“ werden

Lars Meinecke beschreibt, wie man mit Cloud-Lösungen von[…]

Lars Meinecke