TIBER-DE: SEC Consult unterstützt Finanzsektor bei der Stärkung seiner Cyber-Resilienz

Mit TIBER-DE setzt die Bundesbank das vom ESZB ausgearbeitete Rahmenwerk für bedrohungsgeleitete ethische Penetrationstests, kurz TIBER-EU, seit vergangenem Sommer auch für Deutschland um. Fachmännische Unterstützung bei der Durchführung der unabhängigen, umfassenden Angriffssimulationen erhalten die deutschen Finanzmarktakteure dabei von den Sicherheits-Experten von SEC Consult. Mit spezialisierten Red Teaming-Projekten helfen sie Banken, Versicherungen, Fintechs und deren Dienstleistern bei der Überprüfung ihrer Systeme auf Schwachstellen und dem nachhaltigen Ausbau ihrer Cyber-Resilienz.

Als kritische Infrastruktur ist der Finanzdienstleistungssektor für Cyberkriminelle ein attraktives Angriffsziel. Die zunehmende Digitalisierung sowie hochentwickelte Angriffstechniken und Schadprogramme bringen die Cyberabwehr von Banken immer öfter an ihre Grenzen. Aus diesem Grund haben das Bundesministerium der Finanzen (BMF) und die Deutsche Bundesbank mit TIBER-DE ein Rahmenwerk ausgearbeitet, das die Widerstandsfähigkeit des gesamten deutschen Finanzsystems gegen Cyberangriffe stärken soll. Dabei ist TIBER-DE ein deutscher Ableger des im Mai 2018 von der Europäische Zentralbank verabschiedeten Framework for Threat Intelligence-based Ethical Red Teaming (TIBER-EU). Das Rahmenwerk gründet auf vollumfänglichen Angriffssimulationen, d.h. systematischen Threat Intelligence-basierten Red Teaming-Tests, deren Ziel es ist, Schwachstellen und Sicherheitslücken in kritischen Systemen nach einer streng definierten Vorgehensweise aufzuspüren. Auf dem Prüfstand stehen dabei sämtliche Cyber-Abwehrmaßnahmen eines Unternehmens, aber auch die Effektivität der organisationsinternen IT-Sicherheits-Experten, den so genannten Blue Teams.

Als unabhängiger, externer Cybersecurity-Berater steht SEC Consult dem Finanzdienstleistungssektor als kompetenter Red Teaming-Partner für die Durchführung von TIBER-DE-Tests zur Seite und identifiziert und bewertet im Rahmen umfangreicher Red Teaming-Projekte Schwachstellen in der Cyber-Defense-Strategie von Banken. Dafür imitieren die Spezialisten das Verhalten realer Cyberkrimineller und nutzen eine Vielzahl möglicher Angriffsmuster und Angriffsvektoren – von der Sammlung von Open-Source-Intelligenz (OSINT) über Social Engineering über (Spear-)Phishing mit maßgeschneiderter Malware bis hin zum physischen Infiltrieren des Unternehmens und anschließender Kompromittierung. Die verschiedenen Missionen, die das Red Team dabei verfolgt, werden aus Risikoanalysen und Threat Intelligence abgeleitet und sind deshalb speziell auf das zu testende Unternehmen zugeschnitten.

„Der Red Teaming-Ansatz, wie ihn das TIBER-DE-Framework vorsieht, geht über das klassische Pentesting hinaus. So berücksichtigt Red Teaming neben technischen insbesondere auch menschliche Sicherheits-Faktoren, die herkömmliche Penetrationstests eben nicht inkludieren“, erklärt Markus Robin, General Manager von SEC Consult. „Der Tester stellt also nicht nur Systeme innerhalb einer Umgebung auf den Prüfstand, sondern auch die Menschen und die Prozesse des Unternehmens. Hierdurch ergibt sich ein umfassendes Bild der aktuellen Sicherheitslage, das es Unternehmen ermöglicht, sich optimal auf Angriffe vorzubereiten. Das Red Teaming-Kompetenzzentrum von SEC Consult besteht aus einem internationalen Experten-Team, das alle sinnvollen Angriffsszenarien innerhalb des von TIBER-DE festgelegten Rahmens strukturiert und intelligent umsetzt.“

Bisher können Banken und Versicherungen noch selbst entscheiden, ob sie ihre Systeme mit Red Teaming auf die Probe stellen oder nicht, doch eine Verpflichtung der Finanzmarktakteure von Seiten der Bundesbank in absehbarer Zeit steht bereits im Raum. „Unabhängig davon, ob die Schwachstellen-Überprüfung gemäß TIBER-DE zukünftig obligatorisch sein wird, sollten Banken allein schon aus Eigeninteresse regelmäßig TIBER-Tests durchführen, um ihre Cyber-Abwehr zu stärken und das deutsche Finanzsystem nachhaltig und flächendeckend sicherer zu machen“, ergänzt Robin.

Weitere Informationen zum Red Teaming-Portfolio von SEC Consult finden Sie hier: https://sec-consult.com/portfolio/prozess-management-informationssicherheit/red-teaming/

Über die SEC Consult Deutschland Unternehmensberatung GmbH

SEC Consult ist eines der führenden Beratungsunternehmen für Cyber- und Applikationssicherheit. Das Unternehmen mit Niederlassungen in Europa, Asien und Nordamerika ist Spezialist für externe und interne Sicherheitsüberprüfungen, Penetrationstests, Red Teaming, den Aufbau von Informationssicherheits-Management und Zertifizierungsbegleitung nach ISO 27001, Cyber-Defence, sichere Software(-Entwicklung) und die schrittweise, nachhaltige Verbesserung des Sicherheitsniveaus. Zu den Kunden von SEC Consult gehören Regierungsbehörden, internationale Organisationen und führende Unternehmen aus verschiedenen Branchen der Privatwirtschaft sowie kritische Infrastrukturen. Weitere Informationen finden Sie unter: www.sec-consult.com

Firmenkontakt und Herausgeber der Meldung:

SEC Consult Deutschland Unternehmensberatung GmbH
Ullsteinstraße 118
12109 Berlin
Telefon: +49 (30) 398202700
http://www.sec-consult.com

Ansprechpartner:
Magdalen Jünger
Head of Marketing
E-Mail: m.juenger@sec-consult.com
Dorothea Keck
PR-Agentur: Weissenbach PR
Telefon: +49 (89) 5506-7773
E-Mail: SEC_PR@weissenbach-pr.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel