TIBER-DE

 Mit dem Standard namens TIBER-EU hat die Europäische Zentralbank (EZB) eine Blaupause für Red Team Assessments, also vollumfängliche Cyber-Angriffssimulationen durch professionelle Hacker (z.B. APTs und Cybercrime-Gruppen), auf Banken, Bundesbanken, Versicherungen und andere Finanzsektorakteure in der Europäischen Union geschaffen. Diese Blaupause dient als Vorlage für verschiedene nationale Standards wie z.B. TIBER-DE in Deutschland, veröffentlicht durch das Bundesministerium der Finanzen und die Deutsche Bundesbank.

Generell sind Red Team Exercises dazu gedacht, die Sicherheit von Organisationen (wie z.B. auch Banken) ganzheitlich zu überprüfen, aus technischer wie auch menschlicher und organisatorischer Sicht, strategisch und nicht nur bezüglich einzelner technischer Maßnahmen. Allerdings existierten bisher betreffend die Vorgehensweise bei Red Team Assessments im Finanzsektor keinerlei Standards in Europa. Inspiriert durch Bestrebungen wie CBEST in Großbritannien hat sich das nun mit TIBER geändert.

 

TIBER-EU

Empfehlung der „Europäischen Zentralbank (EZB)“ zur Durchführung von Red Team Assessments

Mit TIBER-EU hat die Europäische Zentralbank 2018 ein Rahmenwerk geschaffen, durch welches die Cyber Resilience der Finanzbranche weiter gestärkt werden soll. Bei *T*hreat *I*ntelligence-*b*asiertem *e*thischem *R*ed Teaming werden echte Cyber-Angriffe auf kritische Funktionen (kritische Geschäftsprozesse) von Finanzinstituten simuliert, um deren Widerstandsfähigkeit zu ermitteln und Maßnahmen abzuleiten durch welche diese weiter verbessert werden können.

Als IT-Sicherheitsdienstleister mit primärem Fokus auf Red Team Assessments, ist NSIDE schon seit einiger Zeit in der Lage Assessments nach dem TIBER-EU Standard durchzuführen und Sie als Unternehmen bestmöglich auf eine Einführung von TIBER-EU vorbereiten. Auch wenn derzeit noch keine Firmen von der EZB als Dienstleister akkreditiert wurden, arbeitet NSIDE mit Hochdruck daran als einer der ersten Dienstleister eine solche zu erhalten. Dazu hat NSIDE frühzeitig Schritte eingeleitet, um die von der EZB gestellten Anforderungen an Red Team Provider erfüllen zu können.

Sie sind sich noch nicht sicher ob TIBER-EU für Sie relevant ist oder brauchen Unterstützung bei der Planung eines Tests im Rahmen von TIBER-EU? Wir helfen Ihnen gerne! Nehmen Sie einfach unverbindlich mit uns Kontakt auf, unsere erfahrenen Security Analysten helfen Ihnen gerne weiter.

 

Inhalte von TIBER-EU und TIBER-DE

TIBER steht für „Threat Intelligence-based Ethical Red Teaming“ und vereint somit zwei Komponenten: Threat Intelligence (TI) und Red Team (RT) Engagements. Hierbei soll sich der Red Teaming-Teil eines TIBER-Projekts an Erkenntnissen der Threat Intelligence (TI) orientieren, um die aktuelle Bedrohungslage im Finanzsektor möglichst realistisch abzubilden.

 

Für wen sind Red Team Tests nach TIBER-DE gedacht?

Das Rahmenwerk wurde für folgende Organisationen entwickelt und von der Deutschen Bundesbank bzw. der Europäischen Zentralbank empfohlen:

  • große in Deutschland aktive Banken
  • große in Deutschland aktive Versicherer
  • in Deutschland aktive Finanzmarktinfrastrukturen
  • in Deutschland aktive und für den Finanzsektor kritische IT-Dienstleister

 

Aus welchen Schritten besteht ein TIBER-Test?

Ein Red Team Test nach TIBER-Rahmenwerk besteht aus folgenden Schritten:

  1. Vorbereitungsphase: Kick-Off; Bestimmung des Umfangs; Etablieren von Kommunikationskanälen, Verantwortlichkeiten und Rollen; Festlegen der kritischen Funktionen, die zum Testziel des Assessments werden. Dauer: 4 bis 6 Wochen.
  2. Testphase: Kern des TIBER-Projekts, bestehend aus folgenden zwei Teilen, Gesamtdauer ca. 16 bis 18 Wochen:
    1. Threat Intelligence: Sammlung von Informationen zur nationalen und unternehmensspezifischen Bedrohungslage, anhand welcher die Vorgehensweise (TTPs – Tactics, Techniques, Procedures) des Red Teamings festgelegt und ein grober Testplan definiert wird
    2. Red Team Test: Vollumfängliche Angriffssimulation gegen das Unternehmen nach Testplan
  3. Abschlussphase: Ein umfangreicher RT-Testbericht mit Erkenntnissen des Tests, identifizierten Lücken und umfangreichen Empfehlungen (technisch wie auch strategisch) wird erstellt; relevante Stellen im Unternehmen werden über den Test informiert; Lessons Learned werden gesammelt; das Blue Team (Verteidigerseite) erstellt ebenfalls einen Testbericht aus seiner Sicht (BT-Testbericht); ein Replay-Workshop kann (ähnlich zu Purple Teaming) einzelne Angriffsschritte nachvollziehen; generelles Feedback wird ausgetauscht. Dauer: Bis zu 4 Wochen.