TIBER-DE: Red Teaming-Tests für Finanzunternehmen – Tipps der SySS

und Die SySS gibt Tipps, Wie der Test Optimal abläuft

Am 22. Juli 2020 veröffentlichte die Deutsche Bundesbank ihre Hinweise zur Implementierung von TIBER-DE. TIBER steht für Threat Intelligence-based Ethical Red Teaming. Das entsprechende Framework beschreibt, wie Threat Intelligence-basierte Red Teaming-Tests für Finanzunternehmen durchgeführt werden müssen. Nach der europäischen Variante der Europäischen Zentralbank (TIBER-EU) aus dem Jahr 2018 hat nun die Deutsche Bundesbank TIBER-DE als Leistungsangebot umgesetzt. Das Rahmenwerk richtet sich an große, in Deutschland aktive Banken und Versicherer sowie an in Deutschland aktive Finanzmarktinfrastrukturen und für den Finanzsektor kritische IT-Dienstleister.

SO Läuft ein Gelungener TIBER-DE-TEst ab

Ein TIBER-DE-Test besteht im Wesentlichen aus einer Vorbereitungsphase, einer Testphase und einer Abschlussphase.

1. Vorbereitungsphase

Zur Vorbereitungsphase gehören die Initiierung, der Kick-off sowie die Umfang- und Scopebestimmung.

Initiierung:

Ein von der Bundesbank gestellter TIBER Test Manager stellt den TIBER-DE-Testprozess dem White Team vor und informiert über die Aufgaben und Verantwortlichkeiten.

SySS-Tipp: Sollten bei Ihnen Social Engineering-Tests wie Phishing Assessments noch nicht zum Tagesgeschäft gehören, dann kündigen Sie Tests dieser Art mit einem umfangreichen Zeitrahmen an, beispielsweise so: "In den nächsten 12 Monaten werden wir auch den Faktor 'Mensch' im Rahmen eines Sicherheitsaudits betrachten." Dies steigert die Mitarbeiterakzeptanz erheblich und verfälscht die Ergebnisse in der Regel nicht merklich. 

Kick-off:

Im Kick-off-Workshop werden sowohl der Red Team Provider als auch der Threat Intelligence Provider in den Test mit einbezogen und über das weitere Vorgehen informiert.

SySS-Tipp: Prüfen Sie alle Incident Response-Prozesse! An jedem Prozess sollte eine eingeweihte Person beteiligt sein. Nur so kann sichergestellt werden, dass keine Aktivität des Red Teams einen weitreichenden Incident auslöst. 

Scoping:

Im Scoping werden die kritischen Funktionen des Unternehmens analysiert. Als Grundlage eignet sich hier eine aktuelle Business Impact-Analyse in Kombination mit einer Schutzbedarfsfeststellung. Falls insbesondere im Bereich Integrität, Vertraulichkeit oder Verfügbarkeit ein sehr hoher Schutzbedarf besteht, sollte dies im Scope definiert werden. Bei der Definition des Scope können sehr viele Ziele (Flags) entstehen, die nachträglich priorisiert werden sollten. Mit Abschluss des Scoping liegen zwei Dokumente vor: der Projektplan und die Scope-Spezifikationen.

SySS-Tipp: Nehmen Sie die Meilensteine mit in den Projektplan auf und klären Sie, welche "Leg-ups" (Hilfestellungen) gegebenenfalls benötigt werden, um die Meilensteine zu erreichen. Beziehen Sie in die Definition der Leg-ups unbedingt Ihre IT-Abteilung mit ein! Andernfalls ist die Klärung in der Regel sehr schwer und zeitaufwendig. 

2. Testphase

Die Testphase umfasst Threat Intelligence und Red Teaming.

Threat Intelligence

Die aktuelle Bedrohungslage des Finanzunternehmens wird analysiert. Hierzu steuert die Bundesbank den Bericht zur nationalen Bedrohungslage bei. Weiterhin werden aktuelle Angriffsvektoren speziell für das zu testende Unternehmen zusammengetragen und ein Profil erstellt. Außerdem werden bereits mögliche Bedrohungsszenarien zu den jeweiligen Flags (Zielen) ermittelt, die zuvor im Rahmen des Scoping erarbeitet worden waren. 

Red Teaming

In Absprache mit dem Theat Intelligence Team erarbeitet das Red Team mögliche Angriffswege für die jeweiligen Flags. Hierbei findet nur eine grobe Meilensteinplanung statt. Ein detaillierter Testplan kann aufgrund des Blackbox-Ansatzes nicht erstellt werden. Der Testplan wird mit dem White Team abgestimmt, bei entsprechender Freigabe startet der Test. Aufgrund des kreativen Ansatzes bei der Durchführung des Tests kann es zu Planabweichungen kommen.

SySS-Tipp:  Das Red Team und das Blue Team sollten bereits während der Durchführung mit der Dokumentation beginnen. Da es sich bei einem Red Team-Testbericht um einen vollständig individuellen Bericht handelt, wird hierfür ein nicht zu unterschätzender Aufwand benötigt.

Mit Abschluss der Testphase liegen also zwei Dokumente vor: Ein Bericht zur Bedrohungslage des Unternehmens und der Testplan.

3. Abschlussphase

Die Abschlussphase umfasst die Schritte "Erstellung der Testberichte", "Replay und Feedback", "Behebungsplan und Abschlussbericht" sowie "Attestierung und Ergebnisweitergabe".

Erstellung der Testberichte

Das Red Team und das Blue Team erstellen ihre Testberichte. 

SySS-Tipp: Die Funde sollten in drei Kategorien unterteilt werden, nämlich: "Systemfehler","Fehlende Awareness" und "Prozessfehler". 

Replay und Feedback

Die Angriffe werden durch das Red Team vorgestellt und mit dem Blue Team diskutiert. Hier ist ausdrücklich erwünscht, mögliche Lösungsansätze für erfolgreiche Angriffe im Purple Team-Ansatz durchzuspielen.

SySS-Tipp: Holen Sie sich hierfür Verstärkung eines externen Incident Response-Teams! Der Blick von außen ist notwendig, um neue Impulse zu erhalten.

Behebungsplan und Abschlussbericht

Das getestete Unternehmen erstellt daraufhin einen Behebungsplan, welcher Teil eines Abschlussberichtes ist. Dieser Abschlussbericht enthält bewusst keine technischen Details. Dies ist wichtig, da dieser Bericht an die Bundesbank übermittelt wird und dort keine Sammlung von "Hackanleitungen" entstehen soll.

Attestierung und Ergebnisweitergabe

Das TIBER Cyber Team der Bundesbank gibt weitere Hilfestellungen bei der Durchführung eines Evaluationsworkshops und erhält den Abschlussbericht mit dem enthaltenen Behebungsplan.

SySS-Tipp: Führen Sie im Nachgang Schulungen mit den IT-Verantwortlichen durch. Hier sind Hands-on-Übungen besonders hilfreich, bei denen die IT-Verantwortlichen die vom Red Team gefundenen Schwachstellen "nachhacken".

Am Ende der Abschlussphase sind also vier Dokumente verfügbar: Die Testberichte von Red Team und Blue Team, ein Behebungsplan sowie ein Abschlussbericht.

Zum Gelingen Ihres TIBEr-DE-TESTS trägt das Red Team der SySS gerne bei! Redteam@syss.de