DIGITALISIERUNG
DIGITALISIERUNG IT-SICHERHEIT Finanzsystem immer anfälliger für Cyber-Risiken Der Finanzsektor muss sich verstärkt mit Cyber- Risiken auseinandersetzen. Für Finanzunternehmen ist es daher wichtig, ihre Widerstandsfähigkeit gegenüber Attacken aus dem Netz zu erhöhen. Die Notenbanken des Europäischen Systems der Zentralbanken haben daher mit TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ein Rahmenwerk zu bedrohungsgeleiteten Penetrationstests verabschiedet. Wie das System genau funktioniert, war ein Thema auf der Online-Fachtagung „Informationssicherheit 2022“ des Bank-Verlags. Seit dem 28. Mai 2021 ist das „IT-Sicherheitsgesetz 2.0“ in Kraft, dass die Informationssicherheit in Deutschland deutlich verbessern soll. Die Bundesregierung verfolgt damit mehrere zentrale Ziele. Zum einen soll die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) durch neue Befugnisse deutlich gestärkt werden. Zum anderen sind mehr Pflichten für Betreiber kritischer Infrastrukturen vorgesehen, die im besonderen öffentlichen Interesse stehen. Das Gesetz schreibe organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme vor, erklärte André Nash, Abteilungsdirektor beim Bundesverband deutscher Banken e. V. (BdB), anlässlich der Online-Fachtagung „Informationssicherheit 2022“ des Bank-Verlags im Februar in Köln. Moderiert wurde die Ver- anstaltung von Andrea van Kessel vom Geschäftsbereich Medien im Bank-Verlag. Nash nahm auch Bezug auf die BSI-Kritisverordnung, die am 1. Januar 2022 in Kraft getreten war. Unternehmen müssten prüfen, ob sie dem Gesetz unterliegen würden, sagte Nash. Die Verordnung betreffe kritische Versorgungsdienstleistungen, etwa die Bargeldversorgung, den Kartenzahlungsverkehr sowie den konventionellen Zahlungsverkehr. Die Verordnung liste unter anderem kritische Dienstleistungen sowie bestimmte Anlagenkategorien auf. Bis zum 1. April 2022 müssten kritische Systeme auf Basis der in 2021 erfassten Transaktionen gemeldet werden, so Nash. Hohe Schäden durch Cyber-Attacken Die zunehmende Digitalisierung macht das Finanzsystem immer anfälliger für Cyber- Risiken. Erfolgreiche Attacken aus dem Netz führten oft zu drastischen Schäden, die potenziell weit über das betroffene Unternehmen und die Branche hinausgehen könnten und damit sowohl einen systemischen Effekt als auch ernste Folgen für die Realwirtschaft und die Öffentlichkeit mit sich bringen könnten, warnte die Bundesbank. Daher sei es vor allem für Finanzunternehmen von hoher Bedeutung, ihre eigene Widerstandsfähigkeit gegenüber Cyber-Angriffen ständig und präventiv zu erhöhen und diese auch konsequent mit modernen Methoden auf den Prüfstand zu stellen. Die Notenbanken des Europäischen Systems der Zentralbanken haben laut Bundesbank daher im Jahr 2018 mit TIBER-EU (Threat Intelligence-based Ethical Red Tea- 38 03 | 2022
Programm zur digitalen Fachtagung #infosicherheit2022 Informationssicherheit 2022 am Dienstag, 15. Februar 2022, von 09:30 bis 17:00 Uhr Die Tagung wird als Online-Veranstaltung über GoToWebinar durchgeführt. 09:30 Uhr ming) ein Rahmenwerk zu bedrohungsgeleiteten Penetrationstests verabschiedet. Hierin seien Regeln und Mindeststandards festgelegt worden, nach denen Unternehmen ihre Cyber-Abwehrfähigkeit durch beauftragte Hacker überprüfen lassen könnten. Motivation dieser Tests sei es, Schwachstellen in der Sicherheit des Unternehmens aufzuzeigen, um gezielt Verbesserungsbedarf identifizieren und Sicherheitslücken schließen zu können, so die Deutsche Bundesbank. Ein TIBER-EU-Test könne nicht bestanden werden und gelte als erfolgreich, sofern er regelkonform durchgeführt worden sei. Innerhalb der Mitgliedstaaten, die das TIBER- EU-Rahmenwerk umgesetzt hätten, sei eine wechselseitige Anerkennung der Testteilnahme durch das Rahmenwerk vorgegeben. Im Sommer 2019 beschlossen das Bundesministerium der Finanzen (BMF) und die Bundesbank demnach, das Rahmenwerk in Deutschland als Leistungsangebot der Bundesbank umzusetzen. Es richte sich in erster Linie an Banken, Versicherungen und Finanzmarktinfrastrukturen. Freiwillige Teilnahme am Test Die Teilnahme an TIBER-DE-Tests sei freiwillig. Diese seien allerdings nicht als klassisches aufsichtliches Instrument zu verstehen, erklärte Steffen Herrmann, der bei der Bundesbank als Test-Manager im TIBER-Cyber- Team (TCT) – dem nationalen Kompetenzzentrum für TIBER-Tests in Deutschland – arbeitet, auf der Fachtagung des Bank-Verlags. Herrmann ist Ansprechpartner für alle fachlichen und prozessualen Fragen rund um TIBER-DE. Ein TIBER-Test simuliere wahrscheinliche Vorgehensweisen relevanter Angreifer bei einer Attacke auf ein spezifisches Unternehmen unter kontrollierten Bedingungen, erläuterte Herrmann. Er liefere damit wertvolle Hinweise zur Verbesserung der eigenen Cyber-Abwehr. Der Test erfolge unter Einbeziehung der Vorstandsebene. Beteiligt seien auch externe Dienstleister. Die Angriffe erfolgten auf die Produktivsysteme des Unternehmens. Am Ende der Testreihe stünden die Attestierung der erfolgreichen Durchführung und grenzüberschreitende behördliche Anerkennung, so Herrmann. Wer sind die beteiligten Akteure eines TIBER-DE-Tests? Hierzu gehören Herrmann 03 | 2022 39
