Cyberangriffe haben häufig schwerwiegende Auswirkungen. Sie können zu erheblichen finanziellen Schäden führen oder auch die Reputation eines Unternehmens schwer beschädigen. Beispielsweise wenn alle Kundendaten einer Geschäftsbank verschlüsselt oder die Kontostände falsch angezeigt werden. Zudem bleiben die Auswirkungen eines solchen Angriffs nicht immer auf das betroffene Unternehmen beschränkt. Länger andauernde, operative Störfälle einer Bank können schnell auf andere Banken und Versicherer überspringen und somit zu einer Krise des gesamten Finanzsystems führen. Außerdem sind Störungen für die gesamte Wirtschaft zu erwarten, wenn Unternehmen keine Zahlungen mehr tätigen oder empfangen können.

Laut einer Umfrage des Branchenverbands Bitkom im Jahr 2022 waren 84 Prozent der befragten deutschen Unternehmen von Cyberangriffen betroffen, die über 200 Milliarden Euro jährlichen Schaden verursachten.[1] Besonders bedroht sind dabei die sogenannten kritischen Infrastrukturen, darunter auch die des Finanzsystems. Erfolgreiche Angriffe auf diese Infrastrukturen können weitreichende Folge für das staatliche Gemeinwesen und den Wirtschaftsstandort Deutschland haben.

Um sich gegen solche Angriffe besser zu wappnen, gibt es seit 2019 die sogenannten TIBER-Tests (Threat Intelligence-Based Ethical Red Teaming), die in Deutschland vom TIBER-Kompetenzzentrum der Bundesbank, dem TIBER Cyber Team, begleitet werden. Größere Banken, Versicherer, Finanzmarktinfrastrukturen und für den Finanzsektor kritische IT-Dienstleister haben die Möglichkeit, freiwillig an solch einem Test teilzunehmen und sich gezielt „hacken“ zu lassen. Die für die IT-Sicherheit zuständigen Mitarbeiter der getesteten Unternehmen werden vorab nicht über den Test informiert. Sie müssen also die Angriffe unter realistischen Bedingungen erkennen und abwehren. TIBER-Tests sind nicht nur Tests, die auf ein unerlaubtes Eindringen in IT-Systeme abzielen, sondern folgen einem ganzheitlichen Ansatz. Die Standards dazu sind im TIBER-DE-Rahmenwerk festgeschrieben. Dieses beruht auf dem im Jahr 2018 von der EZB veröffentlichten TIBER-EU-Rahmenwerk.

Ziel eines TIBER-Tests ist es, Lücken in der Cyberabwehr von Unternehmen des deutschen Finanzsektors zu identifizieren und zu schließen. TIBER-DE verfolgt einen kooperativen Ansatz und lebt vom Austausch zwischen den getesteten Unternehmen, den Dienstleistern, die die Tests durchführen, und dem TIBER Cyber Team. Bei TIBER-Tests wird die Cyberwiderstandsfähigkeit eines Unternehmens sprichwörtlich „auf Herz und Nieren“ geprüft. Deshalb ist die Einbindung der Vorstandsebene notwendig. Damit wird gleichzeitig auch der Stellenwert unterstrichen, den der Schutz vor Cyberrisiken im und für das Unternehmen hat.

Die hohe Nachfrage nach TIBER-Tests zeigt, dass der Markt das Angebot positiv aufgenommen hat. Seit 2019 wurden bereits 17 Tests in Deutschland durchgeführt. Jeder einzelne Test dauert in der Regel neun bis zwölf Monate. TIBER-Tests können auch grenzüberschreitend stattfinden, wenn ein Unternehmen in mehreren Ländern Europas Geschäft betreibt. Ebenso ist es möglich, dass mehrere Unternehmen sich gemeinsam einem TIBER-Test unterziehen, zum Beispiel, wenn diese auf die gleiche IT-Infrastruktur zurückgreifen.

Wer sind die freundlichen Angreifer?

Für die Angriffe werden externe IT-Sicherheitsfachleute von dem getesteten Unternehmen beauftragt: ein Threat Intelligence-Dienstleister und ein Red Teaming-Dienstleister.

Der Threat Intelligence-Dienstleister hat dabei die Rolle eines Spions. Er sammelt im Internet oder beim Unternehmen vor Ort Informationen, die später die Grundlage für Angriffsszenarien bilden. Beispielsweise kann im Internet nach frei zugänglichen Informationen zu kritischen IT-Systemen des Unternehmens gesucht werden. Oder es kann nach offenen Fenstern und Türen in den Gebäuden Ausschau gehalten werden. Die Mitarbeiter teilen häufig auch viele unternehmensbezogene Informationen in sozialen Medien. Das können die Angreifer in TIBER-Tests zum Beispiel nutzen, um Phishing-E-Mails möglichst realistisch zu gestalten.

Der Red Teaming-Dienstleister spielt den Hacker und führt die Angriffe technisch durch. Dabei versucht das Red Team den äußeren Schutzwall des getesteten Unternehmens zu überwinden, um Zugang zu dessen Netzwerk zu erhalten. Anschließend wird versucht, vorher definierte Ziele zu erreichen, zum Beispiel das Verschlüsseln und Stehlen von Daten.

Strenge Voraussetzungen

IT-Dienstleistungsunternehmen müssen über bestimmte Fähigkeiten und Ressourcen verfügen, um an einem TIBER-Test mitzuarbeiten. TIBER-Tests werden auf den Produktivsystemen, also am „offenen Herzen“ der größten Unternehmen des deutschen Finanzsektors und deren IT-Dienstleister durchgeführt. Aufgrund der damit einhergehenden Gefahren für das getestete Unternehmen sind strenge Maßnahmen für das Risikomanagement unerlässlich. Dazu gehören strikte Anforderungen an die fachliche Eignung sowie die persönliche Zuverlässigkeit der Threat Intelligence- und Red Teaming-Dienstleister. Deshalb hat die EZB die TIBER-EU-Leitlinie für die Beschaffung von Dienstleistungen veröffentlicht. Diese Leitlinie definiert Anforderungen und Standards, die Threat Intelligence- und Red Teaming-Dienstleister einhalten müssen, sowie Grundsätze und Kriterien, die die testenden Unternehmen bei der Auswahl der Dienstleister berücksichtigen sollten. Die Verantwortung für die Durchführung der Tests liegt letztlich bei den getesteten Unternehmen.

Aufgrund dieser hohen Anforderungen an die Dienstleister ist der Markt für IT-Sicherheitsfachleute und vor allem für TIBER-Dienstleister derzeit angespannt. Gleichzeitig nimmt die Nachfrage nach TIBER-Tests zu. Grund hierfür sind die stetig steigende Bedrohung aus dem Cyberraum, auch aufgrund der jüngsten geopolitischen Entwicklungen, sowie neue Regulierungen aus dem nationalen und europäischen Umfeld.

Viele IT-Sicherheitsunternehmen aus Deutschland und aus der übrigen EU sind gerade dabei, ihr Angebot auf den Gebieten der TIBER-Dienstleistungen auszubauen. Neue Anbieter stehen dabei vor der Herausforderung, sich in diesem stark von Vertrauen geprägten Bereich gegen etablierte, oftmals international aktive Unternehmen durchzusetzen.

Das TIBER Cyber Team der Bundesbank bietet regelmäßig Veranstaltungen zu TIBER-Tests für IT-Sicherheitsdienstleister an. Darin werden Erfahrungen aus der Testpraxis geteilt, Best Practices entwickelt und der Informationsaustausch zwischen den Dienstleistern gefördert.

Gemeinsam gegen die Angreifer

In der Informations- und Cybersicherheit ist es notwendig, das Konkurrenzdenken zwischen Unternehmen des Finanzsektors zugunsten eines stärker kooperativen Ansatzes zu überwinden. Denn am Ende geht es darum, Erfahrungen von anderen auch für die eigene Cyberabwehr bestmöglich zu nutzen und den Sektor insgesamt zu stärken. Deshalb ist Kooperation und das Teilen von Informationen unerlässlich. Die Bundesbank unterstützt diesen Ansatz, indem sie den getesteten Unternehmen seit 2020 eine Austausch- und Informationsplattform zur Verfügung stellt („TIBER-DE-Community“).

Die TIBER-DE-Community ermöglicht einen vertrauensvollen Austausch zwischen den für TIBER verantwortlichen (Projekt-)Managern in den Unternehmen, die erfolgreich einen TIBER-Test abgeschlossen haben, diesen gerade durchlaufen oder kurz vor ihrem Teststart stehen. TIBER-Neulinge können so vom umfangreichen Erfahrungsschatz der TIBER-Veteranen, die zum Teil bereits den zweiten Test durchführen, profitieren. Auch die Bundesbank profitiert von diesem Austausch. Neue Perspektiven und konstruktives Feedback fließen in die jährlichen Aktualisierungen des TIBER-DE-Programms ein, welches dadurch nachhaltig und kontinuierlich verbessert werden kann.

Aktuell sind 17 Unternehmen in der TIBER-DE-Community vertreten. Aufgrund der anhaltend hohen Nachfrage nach TIBER-Tests wächst die TIBER-DE-Community stetig weiter. Dreh- und Angelpunkt sind regelmäßige Treffen der Community, die lange Zeit rein virtuell stattfanden. Im Februar dieses Jahres fand zum ersten Mal ein Treffen vor Ort in der Bundesbank in Frankfurt am Main statt. Die Bundesbank leitet diese Treffen zwar, agiert aber hauptsächlich als Impulsgeber und Katalysator. Fester Bestandteil des Austausches sind Präsentationen, in denen Unternehmen ihre abgeschlossenen TIBER-Tests vorstellen und auf wichtige Eckpunkte wie zum Beispiel die simulierten Angriffsszenarien oder zentrale Erkenntnisse eingehen. 

Der Austausch und die Kooperation enden aber nicht mit diesen regelmäßigen Treffen. Vielmehr ist es das Ziel, dass sich die TIBER-Unternehmen dauerhaft untereinander vernetzen, in Kontakt stehen und einander bei Fragestellungen zu TIBER-Tests und Cybersicherheit unterstützen. Welche Bedrohungen sind aktuell besonders relevant? Wie kann man sich gegen eine kürzlich entdeckte Schwachstelle schützen? In welchen Bereichen war der TIBER-Test besonders hilfreich? Vom Austausch zu solchen und anderen Fragestellungen profitiert nicht nur die TIBER-DE-Community, sondern indirekt aufgrund der Verknüpfung im digitalen Zeitalter der gesamte Finanzsektor. Nur durch Kooperation und das Teilen von Informationen können die Unternehmen den professionell und zum Teil auch arbeitsteilig organisierten Angreifern zuvorkommen und sich wirksam schützen.

Rückblick auf drei Jahre TIBER-DE

Das oberste Ziel von TIBER-DE ist es, Schwachstellen in der Cyberabwehr bei den besonders wichtigen Akteuren zu erkennen und zu beheben und so den deutschen Finanzsektor insgesamt widerstandsfähiger gegen Cyberangriffe zu machen. Bei der Betrachtung der zu identifizierenden Schwachstellen nimmt TIBER-DE deshalb eine ganzheitliche Perspektive ein. In den Tests wird das komplexe Zusammenspiel aus menschlichem Verhalten, eingesetzten technischen Schutzmaßnahmen und vorhandenen Prozessen in Unternehmen geprüft. TIBER-Tests zeigen, wie wichtig es ist, dass diese drei Faktoren aufeinander abgestimmt sind und jeweils die gängigen Standards erfüllen.

In der Gesamtschau lässt sich feststellen, dass die getesteten Unternehmen in der Regel über einen sicheren äußeren Schutzwall gegen Cyberangriffe verfügen. Trotzdem kann es Angreifern in Einzelfällen gelingen, in die Unternehmensnetzwerke einzudringen. Gründe hierfür finden sich bereits in den Arbeitsergebnissen der Threat Intelligence-Dienstleister. Diese zeigen, dass viele für Angreifer nützliche Informationen relativ leicht im Internet auffindbar sind. Dies betrifft beispielsweise unbedacht veröffentlichte Informationen wie E-Mail-Adressen oder Organigramme mit Namen von Mitarbeitern. In TIBER-Tests werden diese Informationen für die Vorbereitung von Phishing-Kampagnen verwendet, für den unberechtigten Zutritt zu Gebäuden oder das Einschleusen von Schadsoftware. Eine fortwährende Sensibilisierung in Bezug auf den Umgang mit Informationen und wohldefinierte interne Sicherheitsvorgaben sind deshalb empfehlenswert.

Zu den am häufigsten genutzten Techniken für das Überwinden des äußeren Schutzwalls zählt das sogenannte Social Engineering, also zum Beispiel das angesprochene Phishing. Beim Social Engineering versuchen Angreifer die Beschäftigten eines Unternehmens durch Täuschung oder Manipulation zu einer bestimmten Handlung zu bewegen, zum Beispiel zur Herausgabe von Benutzerdaten oder zum Öffnen einer mit Schadsoftware infizierten Datei. Bei sehr guten Angriffen werden Mitarbeiter sogar dazu gebracht, den Angreifer unfreiwillig zu unterstützen, wenn diese den Angreifer zum Beispiel auf Fehlermeldungen beim Empfang bestimmter Dateiformate aufmerksam machen. Der Angreifer nimmt solche Hinweise dankbar entgegen und passt sein Vorgehen entsprechend an. Gleichzeitig können aufmerksame und sensibilisierte Beschäftigte selbst ausgefeilte Angriffe des Red Teams frühzeitig erkennen und abwehren. Dabei sind entsprechende technische Sicherheitskontrollen aber unverzichtbar. In Einzelfällen waren diese Kontrollen in den bisher durchgeführten TIBER-Tests nicht ausreichend kalibriert. Diese sollten im Idealfall so ausgestaltet sein, dass die Schadsoftware früh erkannt wird und entsprechende Alarmmeldungen an die zuständigen Stellen gesendet werden. Sollte die Bearbeitung dieser Meldungen in ein Dienstleistungsunternehmen ausgelagert sein, müssen die Melde- und Eskalationsprozesse zwischen den beiden Unternehmen definiert, getestet und allen Verantwortlichen bekannt sein.

Technische Schutzmaßnahmen allein nicht genug

Zu den gewählten Social-Engineering-Ansätzen in TIBER-Tests zählen neben dem Phishing auch das Eindringen in Gebäude unter Vorspielen falscher Tatsachen. Damit die Testangriffe auf die Liegenschaften der Unternehmen nicht erfolgreich sind, braucht es gute Sicherheitsvorkehrungen und aufmerksames Personal.

Spannend wird es, wenn das Red Team erfolgreich ist und der Zugang zu den Gebäuden gelingt. Dann versuchen die Hacker oftmals Hardware an Computersystemen anzubringen, um Zugang zum unternehmensinternen Netzwerk zu erhalten. Viele Unternehmen verlassen sich an diesem Punkt auf ihre technischen Kontrollen. Allerdings können diese überlistet werden, was in TIBER-Tests regelmäßig geschieht und dem Angreifer so Zugriff auf das Netzwerk ermöglicht. Um diese Angriffe zu verhindern, muss der Netzwerkzugriff mit aktuellen, sicheren Standards geschützt werden. Alternativ sollten Netzwerkzugriffe durch „unbekannte“ Geräte schnell erkannt und die zuständigen Stellen in der IT-Sicherheit alarmiert werden, damit diese zügig reagieren können.

Bleiben die Angreifer auch während des Netzwerkzugriffs unentdeckt, versuchen sie anschließend, zu den Zielsystemen zu gelangen, sozusagen an die Kronjuwelen. Dabei wird die Fähigkeit des angegriffenen Unternehmens getestet, die Ausbreitung eines Hackers im Netzwerk zu erkennen und zu beenden. Für die Ausbreitung nutzen die Red Teams in TIBER-Tests ganz gezielt aktuelle Schwachstellen beziehungsweise Fehlkonfigurationen in der internen IT-Infrastruktur. Die Schwachstellen ermöglichen zum Beispiel Angreifern, die sich bereits im Netzwerk befinden, umfassendere Zugriffsrechte zu erhalten. Dabei helfen leicht zu erratende oder zu knackende Passwörter, und fehlende oder unvollständige Netzwerksegmentierung. Auch eine großzügige Vergabe von Nutzerrechten trägt hierzu bei. Insbesondere im sicheren Umgang mit Passwörtern sollten Beschäftigte regelmäßig geschult werden, sodass nicht die gleichen (unsicheren) Passwörter für mehrere IT-Anwendungen parallel verwendet werden. Diesem Verhalten kann unternehmensseitig begegnet werden, in dem eine Mindestlänge und -komplexität für Passwörter eingeführt wird und verstärkt mit Multi-Faktor-Authentifizierung gearbeitet wird – auch im internen Netzwerk. Wenn Unternehmen Produkte wie zum Beispiel Passwort-Manager anbieten, muss sichergestellt sein, dass die Mitarbeiter mit diesen vertraut sind und die Handhabung nutzerfreundlich ausgestaltet ist.

Insgesamt zeigt sich in TIBER-Tests, dass Schwachstellen, Fehlkonfigurationen oder mangelnde Cyberhygiene in Bezug auf die interne IT-Infrastruktur die häufigsten Ursachen für erfolgreiche Angriffe darstellen. Die Erkenntnisse unterstreichen, dass die Cyberwiderstandsfähigkeit eines Unternehmens nicht durch technische Schutzmaßnahmen allein erreicht werden kann, sondern gleichermaßen der aktiven Mitwirkung und Wachsamkeit der Mitarbeiter („Sicherheitskultur“) sowie ausgereifter Prozesse bedarf. Dabei darf keiner der drei Faktoren Technik, Mensch und Prozess vernachlässigt werden. Die jüngsten geopolitischen Entwicklungen zeigen, dass sich die Bedrohungslage im Cyberraum ständig weiterentwickelt. Darum stellt die Verbesserung der Cybersicherheit eine permanente Herausforderung dar. Cyberangriffe müssen kontinuierlich bekämpft werden. Deshalb sieht das TIBER-DE-Rahmenwerk vor, dass Tests alle drei Jahre wiederholt werden.

Die Zukunft von TIBER

Die Welt der Cyberkriminellen ist schnelllebig und verändert sich ständig. Um damit Schritt zu halten, muss sich auch das TIBER-DE-Kompetenzzentrum der Bundesbank ständig weiterentwickeln. Eine wichtige Rolle wird dabei der Anfang Januar 2023 in Kraft getretene Digital Operational Resilience Act (DORA) der EU spielen. Mit DORA möchte der Gesetzgeber die Cyberresilienz des europäischen Finanzsektors stärken. Gemäß DORA werden künftig bedrohungsgeleitete Red Teaming- oder Penetrationstests nicht mehr nur freiwillig sein, sondern für große Unternehmen im Finanzsektor verpflichtend werden. Sie müssen ab Januar 2025 regelmäßig TIBER-Tests durchführen. Damit werden diese Tests zu einem Instrument der Finanzaufsicht. Die Zusammenarbeit zwischen der Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird in diesem Zuge vertieft werden.

Die Gefahr durch Cyberangriffe ist sektorübergreifend in den vergangenen Jahren gestiegen. Sichere kritische Infrastrukturen sind für den deutschen Finanz- und Wirtschaftsstandort jedoch von essenzieller Bedeutung. TIBER-Tests konnten die Widerstandsfähigkeit von Unternehmen im deutschen Finanzsektor bereits nachhaltig stärken. Die Stärkung der Cyberresilienz bleibt auch weiterhin ein wichtiges Thema für die Bundesbank und die BaFin.

Durch die vorhandene Expertise, die gesammelte Erfahrung und die enge Vernetzung mit den anderen TIBER-Kompetenzzentren in Europa ist die Bundesbank bestens darauf vorbereitet, ihre TIBER-Aktivitäten in Zukunft auch unter DORA erfolgreich fortzusetzen. Ergänzend wird die BaFin ihre aufsichtliche Expertise einbringen, um die Umsetzung zu begleiten. Die spezifischen Details werden aktuell unter Federführung der Bundesbank und der BaFin in den relevanten technischen Regulierungsstandards ausgearbeitet.

Die Durchführung bedrohungsgeleiteter Red-Team-Übungen kann aber auch einen Beitrag zur Cyberresilienz und Betriebsstabilität kritischer Infrastrukturen in Sektoren außerhalb der Finanzindustrie leisten. In anderen europäischen Ländern mit eigenen TIBER-Implementierungen gab es zum Beispiel bereits TIBER-Tests im Energiesektor. TIBER wurde auf Ebene des Eurosystems als sektorneutrales Rahmenwerk entworfen und könnte so in Zukunft auch in anderen Sektoren in Deutschland eingesetzt werden.

 Fußnote:

1. Bitkom, 2022, 203 Milliarden Euro Schaden pro Jahr durch Angriffe auf deutsche Unternehmen | Presseinformation | Bitkom e.V., 13.02.2023.