An verschiedenen Stellen sucht das Red Team nach Einfallstoren, wechselt blitzschnell die Strategie, dringt immer weiter vor – bis es schließlich erfolgreich in die Datenspeicher eingedrungen ist. Das Blue Team gerät unter Stress, während es versucht, den Angreifer wieder aus dem System zu drängen. Was klingt wie eine Szene aus einem Videospiel, könnte sich so oder so ähnlich bald in vielen Banken, Fintechs und Versicherungen abspielen.
Mit simulierten Angriffen sollen Tiber-Tests die Finanzdienstleister EU-weit widerstandsfähiger gegen Cybercrime machen. Tiber steht für „Threat-Intelligence Based Ethical Red Teaming“ – auf Deutsch nicht weniger sperrig als „Rahmenwerk für bedrohungsgeleitete ethische Penetrationstests“ betitelt. Die Idee: Beauftragte Angreifer dringen in die Sicherheitssysteme ein und dokumentieren dann, wo Schwachstellen liegen. So können die Finanzdienstleister ihre Sicherheitslücken schließen und Abwehrmaßnahmen einüben.
Feste Standards für Tiber-Test
Das Besondere bei einem Tiber-Test: Das Verfahren läuft nach einem genau definierten Schema ab, die Aufsichtsbehörden sind dabei mit im Boot. In Deutschland koordiniert die Deutsche Bundesbank die beauftragte Bedrohungsanalyse und die Angriffe, am Rahmenwerk für die Tiber-Tests haben die BaFin und das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitgearbeitet.
FINANCE-TV
„Die Tiber-Tests sind aufgeteilt in eine Vorbereitungsphase, die eigentliche Testphase und eine abschließende Evaluierungsphase“, erklärt Thomas Schumacher, Leiter des Bereichs Security bei der Unternehmensberatung Accenture. Der gesamte Prozess dauert mehrere Monate. In der Vorbereitungsphase erstellen auf Cybercrime spezialisierte Berater mit dem Auftraggeber zusammen eine Analyse, die die wichtigsten Bedrohungsszenarien identifizieren soll. Ein Red-Teaming-Dienstleister nimmt dann in der zweiten Phase den eigentlichen Angriff vor.
Tiber-Test kommt überraschend
Im Vergleich zu klassischen Penetrationstests ist der Red-Teaming-Ansatz des Tiber-Tests breiter: „Penetrationstests zielen auf eine bekannte Anwendung oder Infrastruktur ab und sollen dort Schwachstellen aufdecken. Beim Red-Teaming hat man kein konkretes Ziel, sondern schaut an verschiedenen Stellen und mit diversen Methoden, wo ein Schwachpunkt liegt“, erklärt Schumacher. Der Begriff „Red-Teaming“ kommt ursprünglich aus dem Militär.
Oft reicht bereits ein einzelner Schwachpunkt, um Zugriff auf kritische Daten und Systeme zu erlangen. Daher sei es auch wichtig, auf nationaler Ebene eine Zertifizierung für Red-Teaming-Anbieter zu schaffen, damit ein gewisser Qualitätsstandard erreicht werde und diese bei einem Tiber-Test keinen Schaden anrichteten, betont Schumacher. Die Niederlande, Belgien und Dänemark seien in der nationalen Umsetzung der Tiber-Vorgaben schon weiter, in Deutschland würden Detailfragen derzeit noch diskutiert.
FINANCE-Themenseite
Wann genau der Red-Teaming-Angriff stattfindet, weiß bei einem Tiber-Test neben dem Angreifer nur eine kleine Gruppe von Leuten in den Behörden und im Unternehmen – das sogenannte White Team. Dieses kann auch eingreifen, wenn der Test aus dem Ruder zu laufen droht: „Wenn ein IT-Verantwortlicher in einer Kurzschlussreaktion beispielsweise das Netzwerk abschalten will und dadurch Schaden anrichten würde, könnte das White Team die Situation aufklären“, sagt Schumacher. „Im Idealfall beweist das Red Team aber selbst so viel Fingerspitzengefühl, dass es sich zurückzieht, wenn die Situation zu eskalieren droht.“
IT-Abwehr ist beim Tiber-Test gefordert
Den wohl stressigsten Part hat während der Red-Teaming-Attacke eines Tiber-Tests das sogenannte Blue Team, die Verteidiger im Unternehmen. Sie wissen nicht, dass der Angriff simuliert ist – alles soll so ablaufen wie bei einer tatsächlichen kriminellen Cybercrime-Attacke.
„Tiber-Tests werden zum guten Ton gehören.“
Die Red-Teaming-Angriffe können sich ohne weiteres über mehrere Wochen erstrecken: „Die Angreifer können beispielsweise im ersten Anlauf eine Standard-Malware nutzen. Wenn sie damit nicht weiterkommen, schreiben sie für den zweiten Anlauf eine neue Malware“, skizziert Schumacher ein mögliches Szenario.
Während der Angriffe wird protokolliert, wie lange das Blue Team braucht, um den Angriff zu entdecken, welche Gegenmaßnahmen es ergreift, und wie schnell es sich auf wechselnde Angriffsstrategien einstellt.
Tiber-Test ist bislang nicht verpflichtend
Hat ein Institut seine Lehren aus einem Tiber-Test gezogen, sollen diese nach dem Wunsch der Regulatoren in anonymisierter Form an eine zentrale Stelle gemeldet werden. In einem solchen „Knowledge Center“ könnten häufig auftretende Schwachstellen identifiziert und Gegenmaßnahmen erarbeitet werden. Auch bei Industrieunternehmen kommen simulierte Attacken durch Red-Teaming bereits zum Einsatz, wenn auch in einem weniger strukturierten Rahmen, als ihn der Tiber-Test vorsieht. In der Industrie geht es häufig darum, kritische Infrastrukturen oder vernetzte Produktionslinien auf Cybercrime-Resilienz zu testen.
Noch ist der Tiber-Test für Finanzdienstleister nicht verpflichtend, die beauftragenden Unternehmen müssen ihn zudem selbst bezahlen. Dennoch rechnet Schumacher damit, dass die Tiber-Tests im Banking bald zum guten Ton gehören werden: „Ich gehe stark davon aus, dass die meisten namhaften Finanzinstitute in den kommenden ein bis zwei Jahren einen Tiber-Test durchlaufen werden.“
Info
Mit welchen Tricks die Angreifer arbeiten und welche Abwehrstrategien es gibt, lesen Sie auf unserer Themenseite Cybercrime.
