Cyber- und Informationssicherheit: TIBER-DE: Bedrohungsgeleitete Hacking-Übungen im Finanzsektor
Banken, Versicherungen, Finanzmarktinfrastrukturen und wichtige Branchendienstleister sind gut beraten, ihre Systeme auf Cyberresilienz zu testen. Mit TIBER (Threat Intelligence-based Ethical Red Teaming) existiert ein Rahmenwerk, wie bedrohungsgeleitete ethische Hacking-Übungen zur Stärkung der Cyber-Abwehrfähigkeit des deutschen Finanzsektors durchgeführt werden können. Steffen Herrmann von der Deutschen Bundesbank erläutert in seinem Vortrag, wie derartige Tests ablaufen und worauf sich Unternehmen einstellen müssen.
Der Vortrag richtet sich an Akteure der Finanzbranche, die mit ihren Unternehmen auf freiwilliger Basis an TIBER-DE-Tests teilnehmen können, um Ihre Cyberresilienz realitätsnah zu überprüfen. Die Tests werden von externen Dienstleistern operativ durchgeführt, die von den getesteten Unternehmen bestellt werden. Das bei der Bundesbank angesiedelte Kompetenzzentrum für TIBER-DE betreut dabei die Tests eingehend und attestiert, dass bei deren Durchführung alle relevanten Vorgaben eingehalten wurden. Mit dem Anfang Januar 2023 in Kraft getretenen Digital Operational Resilience Act (DORA) der EU werden künftig bedrohungsgeleitete Red Teaming- oder Penetrationstests für große Unternehmen im Finanzsektor verpflichtend werden. Der Vortrag gibt einen Überblick über das TIBER-DE-Programm, die wesentlichen Erkenntnisse aus über drei Jahren Testaktivität, und einen Ausblick auf die Anforderungen unter DORA.
Steffen Herrmann arbeitet seit 2015 in verschiedenen Funktionen an Cyber Security-Fragestellungen bei der Deutschen Bundesbank. Nach über fünf Jahren als Experte für IT-Risiko-, Cyber Security und Auslagerung in der Europäischen Bankenaufsicht, ist er seit Beginn 2021 als TIBER Test Manager tätig und betreut seither die größten deutschen Banken, Versicherungen, Finanzmarktinfrastrukturen und IT-Dienstleister bei der Durchführung von bedrohungsgeleiteten Red-Team-Übungen (TIBER-DE-Tests).