2. Januar: der „Cyber Resiliency Stresstest“ der EZB … und 100 Institute müssen teilnehmen!
Der „Cyber Resiliency Stresstest“ der EZB kommt – für über 100 Institute in Europa. Davon 20 in Deutschland. Dominik Bredel, Practice Leader für den Bereich Security und Resilienz bei Kyndryl Deutschland, versucht für IT Finanzmagazin die Methodik der EZB, den Ablauf und die aktuelle Situation einzuordnen.
Herr Bredel, was beinhaltet der „Cyber Resiliency Stresstest“ der EZB?
Den Stresstest kann man sich in etwa wie das Durchspielen einer Fallstudie vorstellen.In dem Stresstest wird es sich höchstwahrscheinlich um den fiktiven Angriff auf die Datenbanken des Kernbankensystems drehen.”
Das betroffene Institut muss dann vor allem schnell handeln, ein interdisziplinäres Team zusammenstellen und den fiktiven Vorfall innerhalb von zwei Stunden der EZB melden. Dies könnte schon eine erste Hürde darstellen.
Wie viele Banken sind betroffen und wie sieht der Zeitplan aus?
Alle Banken, die von der EZB direkt überwacht werden, sind für den Test vorgesehen. Das sind europaweit etwas mehr als einhundert Institute, davon etwa 20 in Deutschland.
Die Durchführung des eigentlichen Tests beginnt am 02. Januar 2024 und endet im Februar mit der Abgabe der Fragebögen und Nachweise.”
Für 20 ausgewählte Banken folgt im März und April eine zweite, vertiefende Phase, in der sie den für das Szenario entwickelten Wiederherstellungsplan tatsächlich durchführen und genau protokollieren müssen. Anschließend erfolgen im Mai und Juni die Evaluation und Nachbereitung der Ergebnisse.
Was versteht die EZB unter „Cyber Resilienz“ und unterscheidet sich das von Ihrer Definition? [[Der Teil mit „Ihrer Definition“ bitte nur, wenn die sich unterscheidet, was wahrscheinlich ist]]
Resilienz ist ganz allgemein durch eine ISO-Norm definiert als „die Fähigkeit, Veränderungen in der Umgebung aufzunehmen und sich an diese anzupassen”. Ich glaube, dieser generellen Definition können sich sowohl die EZB als auch wir uns anschließen.
Es geht nicht mehr nur darum, die eigene IT-Infrastruktur nach außen zu verteidigen, sondern sich auf den Fall vorzubereiten, dass feindliche Akteure eindringen können.”
Zu Resilienz gehört auch die Wiederherstellung und die Fähigkeit, so schnell wie möglich zum normalen Betrieb zurückzukehren. Soweit dürften wir uns einig sein. Was uns aber unterscheidet, ist nicht die Definition von, sondern ist die Perspektive auf Resilienz. Die EZB gibt vor, was genau eine Bank tun muss, um als resilient zu gelten. Wir befassen uns dann im Anschluss gemeinsam mit dem Kunden damit, wie diese Anforderungen technisch in die Realität umgesetzt werden können.
Wie werden die Finanzinstitute auf diesen Stresstest vorbereitet?
Die Fragen, die die Banken für den Stresstest beantworten müssen, liegen bereits vor. Zunächst geht es also darum, sich einen Überblick über die fast 500 Fragen zu verschaffen und zu klären, was man beantworten kann und wo noch zusätzliche Informationen beschafft werden müssen – eventuell auch bei Dienstleistern.
Welche Rolle spielen fortschrittliche Technologien wie Künstliche Intelligenz und Machine Learning bei der Verbesserung der Cyber-Resilienz in Finanzinstituten?
Künstliche Intelligenz kann einerseits Mitarbeiter von Routineaufgaben entlasten, sodass diese wieder mehr Zeit für inhaltlich anspruchsvolle Tätigkeiten haben. Andererseits kann die Technologie sehr große Datenmengen in kurzer Zeit analysieren und darin Muster erkennen. Das kann beispielsweise dazu beitragen, anhand von Traffic-Analysen ungewöhnliche Datenbewegung und/oder Cyberangriffe schneller zu erkennen.
Gerade in Security Operation Centern der Finanzinstitute kann der Einsatz von künstlicher Intelligenz die Effizienz maßgeblich steigern und in letzter Instanz Kosten einsparen.”
Wie bewältigen Finanzinstitute die Herausforderung, eine komplexe und oft heterogene IT-Infrastruktur auf Cyberangriffe vorzubereiten?
Ein wichtiger Schritt kann sein, die Komplexität zu reduzieren. Verlagerung von Workloads in die Cloud und Harmonisierung von Anwendungen tragen dazu bei, den Betrieb einfacher zu machen.
Einfachere Infrastrukturen sind in der Regel auch sicherer, da sie weniger Angriffsfläche bieten.”
Ein wesentliches Element ist zudem das Testen der eigenen Sicherheitssysteme. Banken sollten mit Partnern zusammenarbeiten, die ihre Systeme unter realistischen Bedingungen prüfen und dabei genauso vorgehen, wie es Cyberkriminelle tun würden.
Dies geht über klassische Penetrationstests hinaus und bezieht auch Phishing und Social Engineering mit ein.”
Welche Rolle spielen externe IT-Dienstleister bei diesem Test?
Das hängt immer vom Grad der Zusammenarbeit mit IT-Dienstleistern ab. Die EZB möchte allerdings auch ganz bewusst die Auswirkungen und Involvierung von IT-Dienstleistern mit überprüfen.”
Darüber hinaus nimmt der Digital Operational Resilience Act (DORA) ebenfalls explizit die gesamte Software-Lieferkette in den Fokus, sodass sich Banken mit der Compliance ihrer Dienstleister befassen müssen. Haben sie ihren IT-Betrieb an einen IT-Service-Provider vergeben, dann müssen diese Dienstleister auch in den Test einbezogen werden, da sie für die Wiederherstellung unbedingt gebraucht werden. Aus diesem Grund haben auch wir uns bereits frühzeitig mit den Anforderungen des Stresstests befasst.
Inwieweit nutzen Finanzinstitute Public- und Private-Cloud-Dienste und -Technologien und was bedeutet das für die Cyber-Resilienz?
In den vergangenen Jahren hat die Nutzung von Public- und Private-Cloud-Diensten stark zugenommen. Aktuell werden die Cloud-Dienste vor allem für neue und innovative Anwendungen genutzt. Historisch gewachsene Systeme verbleiben nach wie vor auf der OnPremise-Infrastruktur, da Transformation und Migration komplex und aufwändig sind.
Durch diese hybriden Betriebsmodelle steigt die Komplexität und damit auch der Aufwand zur Absicherung.”
Die Gewährleistung von Cyber-Resilienz ist demnach deutlich komplexer, da alte und neue Technologien miteinander kombiniert werden müssen, Schnittstellen eventuell nicht zusammen gehen und manuelle Anpassungen vorgenommen werden müssen.
Welche spezifischen Sicherheitsprotokolle und -standards sind im Rahmen des EZB-Stresstests besonders relevant?
Im Kontext des Cyber-Stresstests wird die EZB den Fokus vor allem auf die nachfolgenden Normen und Standards legen: ISO 22301 Business Continuity Management System, 27001 Information Security Management System, 27031 IT Service Continuity Management System, 31000 Risk Management.
Dabei wird die Herausforderung nicht in der Umsetzung und Einhaltung der einzelnen Standards liegen, sondern vor allem in den Schnittstellen und Wechselwirkungen zwischen den unterschiedlichen Funktionen.”
Nur ein Zusammenspiel aller Disziplinen in einem “Cyber Resiliency System” wird erfolgversprechende Ergebnisse liefern.
Wie werden Sicherheitslücken in kritischen Systemen identifiziert und priorisiert, und welche Rolle spielen dabei automatisierte Sicherheitsbewertungen?
Steht in keinem Zusammenhang mit dem EZB-Stresstest, da kein technischer Angriff durchgeführt wird.
Wie wird mit den Ergebnissen des Stresstests umgegangen?
Die Ergebnisse des Stresstest fließen in den Supervisory Review and Evaluation Process (SREP) der europäischen Bankenaufsicht ein. Auch wenn man beim Test selbst nicht direkt durchfallen kann, wäre es durchaus denkbar, dass die Aufsichtsbehörde bei eklatanten Mängeln weitere Maßnahmen ergreift. Zudem ist davon auszugehen, dass Prüfer bei Instituten, die im Test schlechter abgeschnitten haben, zukünftig genauer hinschauen werden.
Gibt es spezifische Herausforderungen bei der Zusammenarbeit unterschiedlicher Abteilungen während solcher Tests?
Eine der größten Herausforderung wird sicherlich sein, als interdisziplinäres Team sehr schnell zu agieren.”
In Unternehmen, in denen bisher starkes Silodenken vorgeherrscht hat, könnte die Ad-Hoc-Kooperation zwischen Business Continuity Management, IT Service Continuity Management und Informationssicherheit sowie dem klassischen Risiko-Management der Institute schwierig werden. Da die EZB auch explizit einen Nachweis der ökonomischen Auswirkungen des Szenarios fordert, wird eine Zusammenarbeit dieser Teilbereiche extrem wichtig werden.
Wie werden aus den Ergebnissen des Stresstests langfristige Strategien zur Verbesserung der IT-Sicherheit abgeleitet?
Die EZB erhofft sich aus dem Test unter anderem, systemische Schwachstellen im Umgang mit Cyberrisiken zu erkennen. Dafür können die Banken dann besonders sensibilisiert werden.”
Außerdem geht es darum, kritische Punkte für den gesamten Sektor aufzudecken. Wenn sich beispielsweise herausstellt, dass ein Großteil aller Institute mit einer Software eines bestimmten Anbieters arbeitet, wäre eine Schwachstelle dort ein großes Risiko für die gesamte Branche. Die Identifikation solcher Abhängigkeiten wird sicher ein wichtiger Punkt in der Auswertung des Stresstests werden.
Herr Bredel, vielen Dank für das Interview.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/165745
Schreiben Sie einen Kommentar