TIBER-EU

Test der Widerstandsfähigkeit gegenüber Cyberangriffen

Im Mai 2018 hat die Europäische Zentralbank ein Rahmenwerk für die Implementierung von Threat Intelligence-based Ethical Red Teaming (TIBER) verabschiedet. Das TIBER-EU-Rahmenwerk beschreibt eine Methodologie wie Behörden, Finanzdienstleister sowie „Threat Intelligence“ und „Red Team“ Dienstleister die Cyberresilience eines Unternehmens testen und verbessern können.

Vorgehensweise

Bei einer Überprüfung nach TIBER-EU werden simulierte Cyberangriffe auf die kritischen Funktionen und Systeme (Mitarbeitende, Prozesse und Technologien) durchgeführt. Mithilfe von Threat Intelligence wird zunächst ein Lagebild zu den Risiken und Bedrohungen erstellt. Das Red Team leitet davon konkrete Angriffsszenarien ab und nutzt die Taktiken, Techniken bzw. Vorgehensweisen echter Angreifer, um Angriffe auf die Organisation durchzuführen. Das Ergebnis ist ein Bericht mit den identifizierten Schwachstellen und empfohlenen Maßnahmen - mit dem Ziel, den Reifegrad und die Resilience gegenüber Cyberangriffen zu erhöhen.

Wir beschäftigen uns mit der Risikoberatung unterschiedlichster Finanzdienstleister – von FinTech-Start-ups, Banken aller Größen bis hin zur systemkritischen Zentralbank. Wir bieten daher folgende Lösungen speziell für Tests nach TIBER-EU an:

• Die General Threat Intelligence (GTI) in Form von regelmäßigen Generic Threat Landscape (GTL) Lageberichten.
• Durchführung von Tests mit Targeted Threat Intelligence (TTI) als Ausgangsbasis und darauf basierend dem Red Teaming (RT).
• Abschließende Dokumentation des Tests mit einem entsprechenden Testbericht und einem Lessons Learned.

Wahlweise bieten wir eine Unterstützung bei der Vorbereitung, Planung und Durchführung des Tests als externer White Team Lead (WTL).

„Generic Threat Landscape" (GTL) Lageberichte 

Die Generic Threat Landscape (GTL) beobachtet die Situation in einem Land und berücksichtigt geostrategische Auswirkungen und kriminelle Angriffe auf dieses. Dabei werden Finanzmarktteilnehmer und deren kritische Funktionen und Systeme analysiert, wie beispielsweise Anbieter von kritischer Infrastruktur, Dienstleister für die Abwicklung bzw. Betreiber für Zahlungsnetzwerke, Finanzdienstleister wie Banken, Börsen, Händler, usw. Diese Finanzmarktteilnehmer werden aktuellen Bedrohungsszenarien gegenübergestellt und der Lagebericht zeigt fortgeschrittene, andauernde Bedrohungen (APTs), eingesetzte Angriffsvektoren (TTPs) und die dabei ausgenutzten kritischen Sicherheitslücken (CVEs) an.

Ein wesentliches Element der Lageberichte ist die menschliche Komponente bei der Analyse und Berichterstattung: Sie ermöglicht Recherchen auf speziellen Webseiten, Dark-Web Foren, diversen sozialen Netzwerken, bis hin zur Analyse von Meldungen in der Originalsprache. So klassifizieren wir in unseren Lageberichten anhand der „Elementaren Gefährdungen“ bzw. formulieren etwaige Empfehlungen gem. dem Bundesamt für Sicherheit in der Informationstechnik.

Leistungen zu den TIBER-EU-Testphasen

• Neben den regelmäßigen GTL-Lageberichten ist in Ableitung die Targeted Threat Intelligence (TTI) notwendig, auf deren Basis die Tests für kritische Funktionen und Systeme (Menschen, Technologie und Prozesse) durchgeführt werden können. Hier unterstützen wir gerne als Threat Intelligence Anbieter.
• Das White Team unter dem internen oder externen White Team Lead koordiniert im Unternehmen die Tests mit dem Red Team bzw. einem externen Red Team Provider und dem internen Blue Team. Hier können wir wahlweise als externer White Team Lead mit Projektmanagementerfahrung oder als Red Team Provider unterstützen. Besonders in der zweiten Rolle haben wir langjährige Erfahrung für kritische Infrastrukturbetreiber aus dem Energiesektor.
• In der letzten Phase werden die Ergebnisse dokumentiert und verschriftlicht. Auch hier legen wir Wert auf die menschliche Komponente und erstellen leicht lesbare Testberichte bzw. Zusammenfassungen. Unsere Ergebnisse vermitteln wir in einem Lessons Learned Workshop.