Tiber-De: Mit diesem Test wird die Cyber Resilience deutscher Banken optimiert

Wie widerstandsfähig ist unser Bankensystem in der Pandemie? Das ist die zentrale Frage, die Burkhard Balz, Mitglied des Vorstands der Deutschen Bundesbank anlässlich der Handelsblatt-Jahrestagung zum Themenkomplex Cyber-Security erörtert hat. In seiner Rede zum Cyber-Resilience-Konzept Tiber-De verglich Burkhard Balz die Corona-Pandemie, vor der wir uns derzeit schützen müssen, mit dem Schutzbedürfnis und der Gefährdung der Banken und Sparkassen sowie der gesamten Finanzinfrastruktur im Hinblick auf Internetsicherheit. „An­grei­fer kre­ieren hier sogar ge­zielt di­gi­ta­le Viren und an­de­re Schäd­lin­ge, um Com­pu­ter­sys­te­me zu in­fi­zie­ren. Auch um sich vor ihnen zu schüt­zen, sind Cyber-Hy­gie­ne und eine ge­eig­ne­te Si­cher­heits­vor­keh­rung un­er­läss­lich.“

Die Bundesbank biete, trotz des Restrisikos, das hier bleibt, mit Hilfe von Tiber-De einen passenden Test, der sich gewissermaßen auf das „IT-Immunsystems“ auswirke. In der Tat stellt die Corona-Pandemie eine Sondersituation dar – im Banking wie in allen anderen Lebensbereichen auch. Das Kundenverhalten habe sich dadurch geändert, die Interaktion ist virtueller geworden und nicht zuletzt unterliegt auch die Arbeitswelt in den Banken und Sparkassen einem dynamischen Wandel, der das Bedürfnis nach Cybersecurity aufzeige.

Doch man habe sich an das veränderte Risiko angepasst die Mitarbeiter mit entsprechenden Endgeräten ausgestattet und ins Homeoffice beordert. „Der Ein­satz mo­bi­ler Tech­no­lo­gie, schnell eta­blier­te di­gi­ta­le Pro­zes­se und die neue, un­ge­wohn­te Art des Zu­sam­men­ar­bei­tens haben den An­grei­fern eine güns­ti­ge Ge­le­gen­heit ge­bo­ten“, führt Balz aus.

Die Pan­de­mie führt uns vor Augen, wie wich­tig es ist, sich schnell, dau­er­haft und prä­ven­tiv mit dem Thema Cyber-Wi­der­stands­fä­hig­keit aus­ein­an­der­zu­set­zen. Eine schnel­le Re­ak­ti­on auf An­grif­fe ist gut, mög­lichst gar keine An­grif­fe zu­zu­las­sen ist bes­ser.“

Burkhard Balz Vorstand Deutsche Bundesbank

Relevante Risiken per Bedrohungsanalyse identifizieren

Blaupausen für ein solches Verhalten gab es beispielsweise bereits seit 2016 bei den Kollegen der niederländischen Zentralbank. Dies hatten bereits ein Rahmenwerk namens Tiber, mit dem die ei­ge­ne Cyber-Wi­der­stands­fä­hig­keit rea­li­täts­nah ge­tes­tet wer­den kann: „Tiber steht für Th­re­at In­tel­li­gence Based Ethi­cal Red Tea­ming – oder zu Deutsch: Be­dro­hungs­ori­en­tier­tes, ethi­sches Hacking.“ Mit Hilfe einer Be­dro­hungs­ana­ly­se sol­len be­son­ders re­le­van­te Ri­si­ken iden­ti­fi­ziert wer­den.

Dazu wird das Ri­si­ko, zum An­griffs­ziel zu wer­den, aus zwei Per­spek­ti­ven be­leuch­tet. Zum einen geht es dabei um Schwach­stel­len und at­trak­ti­ve An­griffs­zie­le, zum anderen um die Mo­ti­va­ti­on mög­li­cher An­grei­fer und die damit ver­wen­de­ten An­griffs­me­tho­den. Hieraus ließen sich Szenarien passend zum Test­kan­di­da­ten erarbeiten, die für jeden Test neu­ge­stal­tet werden.

Dabei geht Balz auch auf den Begriff des ethischen Hackens ein: Für die Simulation der Techniken, Taktiken und Prozeduren echter Angreifer hat sich diese Begrifflichkeit „ethisches Hacking“ etabliert. Ethisch sei ein solcher Tiber-Test schon darum, weil es gelte, nicht nur die rechtlichen Vorgaben einzuhalten, sondern auch in ethischen Graubereichen einer klar definierten Linie zu folgen.

Diese maßgeschneiderten Szenarien werden durch ein Red Team getestet. Da­durch bekommen die Er­geb­nis­se des Tests für die Kan­di­da­ten nicht nur einen theo­re­ti­schen Wert, son­dern di­rek­te, prak­ti­sche Im­pli­ka­tio­nen. Für die Si­mu­la­ti­on der Tech­ni­ken, Tak­ti­ken und Pro­ze­du­ren ech­ter An­grei­fer hat sich der Be­griff „ethi­sches Hacking“ eta­bliert – will sagen: es gilt, nicht nur die recht­li­chen Vor­ga­ben ein­zu­hal­ten, son­dern auch in ethi­schen Grau­be­rei­chen einer klar de­fi­nier­ten Linie zu fol­gen.

Tiber-De will deshalb die Wi­der­stands­fä­hig­keit eines IT-Sys­tems durch kon­trol­lier­te und ge­ziel­te An­grif­fe von außen über­prü­fen. Pe­ne­tra­ti­ons­tests und Schwach­stel­len-Scans ge­hö­ren zum Sta­tus quo. Diese Werk­zeu­ge sind gut und wich­tig, aber Sie rei­chen nicht mehr aus, weil Angreifer neben den technischen Schwachstellen auch auf social engineering setzen, also die organisatorischen und menschlichen Defizite für sich nutzen.

Tiber-De: Europaweiter Austausch für mehr Sicherheit

Die Bundesbank hat bereits 2016 die Chancen und das Potenzial der niederländischen Lösung verstanden und daher gerne an der Ent­wick­lung einer eu­ro­päi­schen Lö­sung mitgewirkt. Tiber-EU, so der Name der europaweiten Initiative, ist ein aus­ge­zeich­ne­tes Bei­spiel für eu­ro­päi­sche Zu­sam­men­ar­beit, so erklärt es Bundesbankvorstand Burkhard Balz, der von 2009 bis 2018 selbst dem Europäischen Parlament angehörte. Dabei kooperierten die ver­schie­de­nen Kom­pe­tenz­zen­tren aus den Län­dern des Eu­ro­päi­schen Sys­tems der Zen­tral­ban­ken eng zu­sam­men. Schon 2019 hat die Bun­des­bank mit dem Bun­des­mi­nis­te­ri­um der Fi­nan­zen das eu­ro­päi­sche Rah­men­werk mit Tiber-De in Deutsch­land um­ge­setzt und ein entsprechendes na­tio­na­les Kom­pe­tenz­zen­trum ins Leben gerufen. Dabei hebt die europäische Kooperation auch Synergieeffekte, weil sich Ressourcen und Kosten einsparen lassen und die Er­fah­run­gen aus den zahl­rei­chen Tests in ganz Eu­ro­pa reihum allen zugute kommen.

Risiken für das europäische Finanzsystem einschätzen

Einerseits wurde Tiber zwar als sek­tor­un­ab­hän­gi­ges Rah­men­werk kon­zi­piert – dennoch liegt der Fokus inzwischen auf den Fi­nanz­sys­temen, da diese besonderen Risiken ausgesetzt sind. Dies hat min­des­tens drei Grün­de: ers­tens, ist das Fi­nanz­sys­tem für die Ge­sell­schaft und die Re­al­wirt­schaft von es­sen­zi­el­ler Be­deu­tung; zwei­tens, das Fi­nanz­sys­tem nutzt in nicht un­er­heb­li­chem Maß In­for­ma­ti­ons­tech­no­lo­gi­en und ist drit­tens hoch­gra­dig ver­netzt.

Ich halte es des­we­gen kei­nes­wegs für über­trie­ben, von einer ernst­haf­ten Ge­fahr für un­se­re Ge­sell­schaft zu spre­chen, soll­te die zen­tra­le In­fra­struk­tur für Zah­lungs- und Ka­pi­tal­flüs­se für län­ge­re Zeit außer Ge­fecht ge­setzt sein.“

Burkhard Balz Vorstand Deutsche Bundesbank

In seiner Rede führt Balz aus, wie wichtig die Bundesbank das Aufrechterhalten und die Sta­bi­li­tät der Zah­lungs- und Ver­rech­nungs­sys­te­me nimmt. Das Thema der Cyber Resilience stellt dabei schon seit vielen Jahren einen wichtigen Teilbereich dar, der nicht zuletzt durch die Digitalisierung an Wichtigkeit gewonnen hat. Spätestens seit der Finanzkrise sei klar, dass Finanzstabilität nicht ohne gegenseitiges Vertrauen funktioniert und dass ein solches System nur so gut und stark wie das schwächste Glied der Kette sein kann.

Wenn ein Markt­teil­neh­mer Opfer einer Cyber-At­ta­cke wird, kann dies einen Do­mi­no­ef­fekt zur Folge haben und die Fi­nanz­sta­bi­li­tät ge­fähr­den. Des­halb sind in­no­va­ti­ve Ver­fah­ren wie eine mög­lichst flä­chen­de­cken­de Im­ple­men­tie­rung von Tiber not­wen­dig, um sich gegen sol­che Ge­fah­ren zu wapp­nen.“

Tiber: Prozesse auf dem Prüfstand

Das Tiber-Konzept sei somit wichtig für alle Unternehmen der Finanzwirtschaft, also neben Banken und Versicherungen auch Dienstleister der Finanzinfrastrukturen. Es geht dabei um klare, eta­blier­te und va­li­dier­te An­for­de­run­gen an Dienst­leis­ter, Pro­zess­ab­läu­fe und Mei­len­stei­ne. Man müsse somit die eigene Cyber-Abwehr auf den Prüfstand stellen, erklärt Balz. Dies sei auch der Grund, warum solche Tests stets auf Pro­duk­tiv­sys­te­men durchgeführt werden müssten, weil Testsysteme hierfür nicht geeignet seien. Die Red Teams arbeiten an konkreten Zielen, etwa Trans­ak­ti­ons­da­ten, die ver­än­dert wer­den sol­len. Auch die Mög­lich­keit, ein Sys­tem ganz ab­zu­schal­ten, kann ein mög­li­ches Test-Ziel dar­stel­len. Die Er­rei­chung der Ziele weist dabei dennoch nur die Mög­lich­keit sol­cher Hand­lun­gen nach.

„Das Red Team wird daran ge­mes­sen, wel­che Ziele es er­rei­chen konn­te und ob es dabei auf Un­ter­stüt­zung durch den Test­kan­di­da­ten an­ge­wie­sen war“, erklärt Balz. Echte An­grei­fer spä­hen die Opfer dagegen oftmals jahrelang aus. „Am Ende eines Tiber-Tests steht – hof­fent­lich – eine Liste an Schwach­stel­len und ein Maß­nah­men­plan mit kon­kre­ten Zeit­vor­stel­lun­gen zur Im­ple­men­tie­rung.“ Gleichzeitig wirbt Balz für das Cyber Resilience Testszenario: Tiber sei von der Bun­des­bank als umfassendes An­ge­bot an die Fi­nanz­in­dus­trie konzipiert. Sys­tem­re­le­van­te Ak­teu­re seien ge­for­dert, ihre Ab­wehr­kräf­te zu über­prü­fen und zu stär­ken. Hier baue die Bundesbank auf das Prin­zip einer frei­wil­li­gen Selbst­ver­pflich­tung, um die Cy­ber­si­cher­heit des deut­schen Fi­nanz­sys­tems in einer kon­struk­ti­ven At­mo­sphä­re vor­an­zu­brin­gen.

Wenn große Kreditinstitute, Versicherer, Finanzmarktinfrastrukturen und deren kritische Dienstleister baldmöglichst und in regelmäßigen Abständen einen Tiber-De-Test durchlaufen, verschaffen sie sich selbst Gewissheit darüber, ob und inwieweit sie in der Lage sind, einen Cyber-Angriff abzuwehren. Sie leisten damit einen wichtigen Beitrag für ihre eigene Cyber-Widerstandsfähigkeit und auch für die Stabilität des gesamten Finanzsystems.“

Burkhard Balz Vorstand Deutsche Bundesbank

Balz appelliert an die Banken, die Cyber-Wi­der­stands­fä­hig­keit und die eigenen Abwehrkräfte zu testen und die Ab­wehr­kräf­te zu stärken. Und hier schließt sich der Kreis zur Pandemie: Ähnlich wie es sinnvoll sei, sich selbst und andere in deren Rahmen zu schützen, bedeute Eigenschutz im Banking-Kontext auch, dass man damit die Wirtschaftssysteme der anderen Staaten schütze.

Den vollständigen Text der Rede von Bundesbankvorstand Burkhard Balz bei der Handelsblatt-Tagung Cyber-Security finden Sie hier zum Nachlesen. tw