1 Einleitung

Meine sehr verehrten Damen und Herren,

Im Dezember 2019 hätte sich wahrscheinlich keiner von Ihnen vorstellen können, dass unser heutiger Alltag von drei großen Buchstaben bestimmt wird: „AHA“ - Abstand halten, Hygiene beachten, Alltagsmaske tragen. Diese Formel ist zu einem unverzichtbaren Begleiter unseres Lebens geworden.

In den vergangenen Monaten mussten wir uns intensiv damit beschäftigen, wie wir unsere Gesundheit vor einem Virus schützen bzw. gegen dieses Virus verteidigen können. Wissenschaftler aus aller Welt haben uns erklärt, wie Aerosole übertragen werden und welche Vorkehrungen und Schutzmaßnahmen unabdingbar sind, um sich vor einer Infektion zu schützen.

Eine ähnliche Form an Gefährdungsbewusstsein und Prävention muss für die Cyber-Sicherheit gelten. Angreifer kreieren hier sogar gezielt digitale Viren und andere Schädlinge, um Computersysteme zu infizieren. Auch um sich vor ihnen zu schützen, sind Cyber-Hygiene und eine geeignete Sicherheitsvorkehrung unerlässlich.

Doch egal wie viele Vorsichtsmaßnahmen getroffen werden - am Ende bleibt ein Risiko, eine Unsicherheit und schließlich die Frage: Sind die Maßnahmen ausreichend?

Bei COVID-19 hilft mittlerweile ein Antikörper-Test, der gezielt prüft, ob das Immunsystem in der Lage ist, eine Infektion zu verhindern. Für die Cyber-Widerstandsfähigkeit bietet die Bundesbank mit TIBER-DE dem deutschen Finanzmarkt einen passenden Test zur praktischen Überprüfung des IT- „Immunsystems“.

2 Cyber-Widerstandsfähigkeit in der Pandemie – wichtiger denn je

Die Corona-Pandemie hat unseren Alltag maßgeblich verändert, und zwar nicht nur durch die AHA-Formel. Das Corona-Virus hat vor allem auch der Digitalisierung einen kräftigen Schub verliehen. Das Kundenverhalten hat sich in vielen Branchen gewandelt, die Kommunikation ist virtueller geworden und die Arbeitswelt insgesamt hat sich in kurzer Zeit stark verändert. Damit ist aber auch die Bedeutung der IT-Sicherheit weiter gestiegen.

IT-Sicherheit und Cyber-Widerstandsfähigkeit sind keine neuen Herausforderungen. Allerdings haben sich zahlreiche Unternehmen und Behörden unverzüglich den besonderen Umständen durch Covid-19 angepasst und zum Beispiel weltweit zahlreiche Mitarbeiterinnen und Mitarbeiter aus dem Homeoffice heraus arbeiten lassen.  Der Einsatz mobiler Technologie, schnell etablierte digitale Prozesse und die neue, ungewohnte Art des Zusammenarbeitens haben den Angreifern eine günstige Gelegenheit geboten.

So wurden im Frühjahr beispielsweise Phishing-Angriffe schnell auf Inhalte mit Covid19-Bezug angepasst, z. B. mit E-Mails über vermeintlich revolutionäre Heilmethoden oder erfolgreich entwickelte Impfstoffe. Zeitgleich wurden bei manchen Unternehmen Schutzmechanismen gegen Cyberangriffe zugunsten einer funktionierenden Homeoffice-Infrastruktur geringer priorisiert.[1]

Die Pandemie führt uns vor Augen, wie wichtig es ist, sich schnell, dauerhaft und präventiv mit dem Thema Cyber-Widerstandsfähigkeit auseinanderzusetzen. Eine schnelle Reaktion auf Angriffe ist gut, möglichst gar keine Angriffe zuzulassen ist besser.

3 Bedrohungsinformationen nutzen, zielgerichtet testen

Unsere Kolleginnen und Kollegen der niederländischen Zentralbank hatten bereits 2016 ein Projekt gestartet, mit dem überprüft werden kann, ob Sicherheitsvorkehrungen ausreichen, um Cyber-Angriffen standzuhalten. Ziel war es, ein Rahmenwerk anzubieten, mit dem die eigene Cyber-Widerstandsfähigkeit realitätsnah getestet werden kann. Dieses Rahmenwerk wurde TIBER getauft. TIBER, das steht für Threat Intelligence Based Ethical Red Teaming – oder zu Deutsch: Bedrohungsorientiertes, ethisches Hacking.

Meine Damen und Herren, Sie alle sind Expertinnen und Experten auf dem Gebiet der IT-Sicherheit, aber ich möchte trotzdem die wesentlichen Elemente erläutern, was TIBER leisten kann.

Zunächst der Begriff „Bedrohungsanalyse“ bzw. „Threat Intelligence“. Mit Hilfe einer Bedrohungsanalyse sollen besonders relevante Risiken für einen TIBER-Testkandidaten identifiziert werden. Dazu wird das Risiko, zum Angriffsziel zu werden, aus zwei Perspektiven beleuchtet. Zum einen werden mögliche Schwachstellen und attraktive Angriffsziele offengelegt, zum anderen die Motivation möglicher Angreifer und die verwendeten Angriffsmethoden analysiert.

Für einen TIBER-Test werden diese Informationen gesammelt und daraus Szenarien erarbeitet, die genau zum Testkandidaten passen. Die verwendeten Szenarien sind also niemals generisch, sondern werden für jeden Test neugestaltet; sie sind maßgeschneidert.

Diese Szenarien werden dann von einem sogenannten Red Team getestet. Der Begriff Red Teaming hat seine Bedeutung aus dem Militär übernommen. Ein externes, angreifendes Team versucht in einem Test Schwachstellen zu identifizieren. In einem TIBER-Test nutzt dieses Red Team die Informationen der Bedrohungsanalyse, um besonders schnell und effizient agieren zu können. Dadurch haben die Ergebnisse des Tests für die Kandidaten nicht nur einen theoretischen Wert, sondern direkte, praktische Implikationen.

Zu guter Letzt bleibt die Bedeutung des Begriffs „ethisch“ zu klären. Für die Simulation der Techniken, Taktiken und Prozeduren echter Angreifer hat sich der Begriff „ethisches Hacking“ etabliert. Ethisch ist ein TIBER-Test deshalb, weil es gilt, nicht nur die rechtlichen Vorgaben einzuhalten, sondern auch in ethischen Graubereichen einer klar definierten Linie zu folgen.

Ein Beispiel: Für eine Mitarbeiterin oder einen Mitarbeiter des Testkandidaten darf es während eines TIBER-Tests keine persönlichen, arbeitsrechtlichen Folgen haben, wenn Methoden des Social Engineering[2] ausgerechnet bei ihm oder ihr zum Erfolg geführt haben.

Zusammenfassend lässt sich die grundlegende Idee von TIBER wie folgt beschreiben: TIBER will die Widerstandsfähigkeit eines IT-Systems durch kontrollierte und gezielte Angriffe von außen überprüfen. Penetrationstests und Schwachstellenscans gehören zum Status quo. Diese Werkzeuge sind gut und wichtig, aber Sie reichen nicht mehr aus.

Angreifer nutzen zunehmend nicht nur technische Schwachstellen aus, sondern auch menschliche und organisatorische Defizite. Dieser Zugang ist meist einfacher. Aber leider werden menschliche und organisatorische Aspekte der IT-Sicherheit bei Tests immer noch zu oft außen vorgelassen.

4 TIBER – eine Erfolgsgeschichte der europäischen Zusammenarbeit

Als die niederländischen Kolleginnen und Kollegen im Jahr 2016 von TIBER berichteten, war klar, dass es sich um eine zukunftsweisende Entwicklung handeln würde. Die Bundesbank hat sich deshalb gerne an der Entwicklung einer europäischen Lösung beteiligt. Seit 2018 gibt es das europäische Rahmenwerk TIBER-EU. Und TIBER-EU ist ein ausgezeichnetes Beispiel für europäische Zusammenarbeit.

Viele deutsche Finanzinstitute sind auf dem europäischen Markt aktiv. Viele internationale Banken, Versicherer und Anbieter von Finanzmarktinfrastrukturen sind auf dem deutschen Markt tätig. Die Idee von TIBER ist es, paneuropäische Tests so gut wie möglich zu unterstützen. Hierfür arbeiten die verschiedenen Kompetenzzentren aus den Ländern des Europäischen Systems der Zentralbanken eng zusammen. Die Bundesbank hat im Jahre 2019 gemeinsam mit dem Bundesministerium der Finanzen das europäische Rahmenwerk mit TIBER-DE in Deutschland umgesetzt und ein nationales Kompetenzzentrum, das TIBER Cyber Team, gegründet.

Die enge europäische Zusammenarbeit hat für Testkandidaten große Vorteile. TIBER-Tests können etwa gleichzeitig in verschiedenen Ländern durchgeführt werden. Das spart Kosten und Ressourcen. Außerdem werden TIBER-DE-Tests von Anfang bis Ende vom TIBER Cyber Team der Bundesbank begleitet.

Erfahrungen aus den zahlreichen Tests in ganz Europa können so vom TIBER Cyber Team genutzt werden, um Hilfestellungen etwa bei der Szenarien-Auswahl oder zur effizienten Testdurchführung zu geben. Außerdem ist dadurch eine gegenseitige Anerkennung durchgeführter TIBER-Tests in ganz Europa garantiert.

5 Cybersicherheit auf höchstem Niveau testen  

TIBER wurde als sektorunabhängiges Rahmenwerk konzipiert. Der Fokus von TIBER liegt heute aber auf dem Finanzsystem, denn es ist in besonderer Weise Cyber-Risiken ausgesetzt.

Dies hat mindestens drei Gründe: erstens, ist das Finanzsystem für die Gesellschaft und die Realwirtschaft von essenzieller Bedeutung; zweitens, das Finanzsystem nutzt in nicht unerheblichem Maß Informationstechnologien und ist drittens hochgradig vernetzt.

Ich halte es deswegen keineswegs für übertrieben, von einer ernsthaften Gefahr für unsere Gesellschaft zu sprechen, sollte die zentrale Infrastruktur für Zahlungs- und Kapitalflüsse für längere Zeit außer Gefecht gesetzt sein.

Zum Mandat der Bundesbank gehört es, jederzeit für die Stabilität der Zahlungs- und Verrechnungssysteme zu sorgen und die Finanzstabilität in Deutschland zu sichern. Dies umfasst seit vielen Jahren auch das Thema Cyber-Widerstandsfähigkeit. In dieser Rolle beobachtet die Bundesbank die Risiken für die Finanzstabilität, die durch die zunehmende Digitalisierung der Finanzindustrie, die immer stärkere Vernetzung der Marktteilnehmer untereinander, aber auch – in einigen Fällen – die immer stärker werdende Konzentration auf einzelne Dienstleister entstehen. 

Die Finanzkrise hat uns gelehrt, dass Finanzstabilität auf wechselseitigem Vertrauen fußt. Cyber-Risiken können dieses Vertrauen bedrohen. Wir sind immer nur so stark wie das schwächste Glied in einer Kette.

Wenn ein Marktteilnehmer Opfer einer Cyber-Attacke wird, kann dies einen Dominoeffekt zur Folge haben und die Finanzstabilität gefährden. Deshalb sind innovative Verfahren wie eine möglichst flächendeckende Implementierung von TIBER notwendig, um sich gegen solche Gefahren zu wappnen.

TIBER-DE richtet sich daher an alle wichtigen Unternehmen der Finanzbranche. Zur Zielgruppe gehören neben Banken und Versicherungen auch Finanzmarktinfrastrukturen und die wichtigsten Dienstleister dieser Finanzunternehmen.

Herkömmliche Red-Team-Übungen werden gegenwärtig noch in sehr unterschiedlicher Qualität angeboten. TIBER-DE stellt klare, etablierte und validierte Anforderungen an Dienstleister, Prozessabläufe und Meilensteine.

Dadurch bietet TIBER-DE eine gute Gelegenheit, die eigene Cyber-Abwehr auf höchstem Niveau auf den Prüfstand zu stellen.

TIBER-DE-Tests finden dabei immer auf Produktivsystemen statt, denn echte Angreifer attackieren keine Testsysteme. Das Red Team versucht ganz konkrete Ziele zu erreichen; diese Ziele haben die Testkandidaten auf Basis der Bedrohungsanalyse definiert. Beispiele können konkrete Informationen sein, die ausspioniert werden sollen oder Transaktionsdaten, die verändert werden sollen. Auch die Möglichkeit, ein System ganz abzuschalten, kann ein mögliches Test-Ziel darstellen. Natürlich werden Zahlungsströme im Test nicht tatsächlich verändert oder Systeme abgeschaltet. Das Red Team dokumentiert lediglich, dass es dazu in der Lage wäre. Die Erreichung der Ziele weist also lediglich die Möglichkeit solcher Handlungen nach.

TIBER-DE-Tests überprüfen somit nicht nur, ob erfolgreich in die Gebäude und Systeme eines Testkandidaten eingedrungen werden kann, sondern auch, ob sich das Red Team innerhalb des Netzwerks bewegen, besonders attraktive Angriffsziele erreichen und zu guter Letzt auch Daten verändern, verschlüsseln oder entwenden könnte.

Das Red Team wird daran gemessen, welche Ziele es erreichen konnte und ob es dabei auf Unterstützung durch den Testkandidaten angewiesen war. Echte Angreifer spähen die Opfer oft über Jahre aus. Im Gegensatz dazu hat das Red Team in einem TIBER-DE-Test nur wenige Wochen Zeit. Daher gibt es sinnvolle Möglichkeiten, dem Red Team kleine Hilfestellungen zu geben, z. B. Informationen über Sicherheitsmechanismen, aber auch die Bereitstellung einer Zutrittskarte zum Gebäude.

Am Ende eines TIBER-DE-Tests steht – hoffentlich – eine Liste an Schwachstellen und ein Maßnahmenplan mit konkreten Zeitvorstellungen zur Implementierung.

Ich sage ganz bewusst „hoffentlich“, denn es ist besser, man kennt die Schwachstellen seines „Immunsystems“ und kann an ihnen arbeiten, bevor der Ernstfall eintritt.

5 Fazit

Meine Damen und Herren, ich habe heute nicht ohne Grund so ausführlich über TIBER, IT-Sicherheit und Cyber-Widerstandsfähigkeit berichtet. Sie alle nehmen wichtige Funktionen in ihren Unternehmen ein, wenn es darum geht, die Resilienz gegen Cyber-Angriffe zu stärken.

Die Bundesbank versteht TIBER-DE als Angebot an die Finanzindustrie. Systemrelevante Akteure sind besonders gefordert ihre Abwehrkräfte zu überprüfen und zu stärken.

Hier bauen wir auf das Prinzip einer freiwilligen Selbstverpflichtung, um die Cybersicherheit des deutschen Finanzsystems in einer konstruktiven Atmosphäre voranzubringen.

Wenn große Kreditinstitute, Versicherer, Finanzmarkt-infrastrukturen und deren kritische Dienstleister baldmöglichst und in regelmäßigen Abständen einen TIBER-DE-Test durchlaufen, verschaffen sie sich selbst Gewissheit darüber, ob und inwieweit sie in der Lage sind, einen Cyber-Angriff abzuwehren. Sie leisten damit einen wichtigen Beitrag für ihre eigene Cyber-Widerstandsfähigkeit und auch für die Stabilität des gesamten Finanzsystems.

Daher, meine Damen und Herren, kann ich an Sie nur appellieren: Proben Sie Ihre Cyber-Widerstandsfähigkeit. Testen Sie Ihre Abwehrkräfte, denn wir alle wissen: ob Gesundheit oder IT-Infrastrukturen – beides kann anfällig sein.

Fußnoten:

1. Vgl.: BSI: Die Lage der IT-Sicherheit in Deutschland, Kapitel 1.8 (https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html, letzter Aufruf: 25.11.2020)
2. Zu Social-Engineering-Angriffen zählen Betrugs- und Manipulationsversuche, die unter Vorspiegelung falscher Tatsachen und unter Ausnutzung von menschlichen Reaktionen wie Angst oder Hilfsbereitschaft Opfer dazu verleiten, sich selbstschädigend zu verhalten; beispielsweise durch den Klick auf einen Link, der ein Schadprogramm installiert. (Vgl.: BSI-Bericht: Die Lage der IT-Sicherheit in Deutschland 2020, https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html,  
   S. 33, letzter Aufruf: 25.11.2020)