Die Bundesbank und das Finanzministerium haben am Donnerstag den Startschuss für kontrollierte Test-Cyberangriffe gegeben. Zumindest die größten deutschen Finanzunternehmen sollten sich alsbald darum bemühen, heißt es. Dem Wunsch dürfte sich keiner der Angesprochenen entziehen können.Von Tobias Fischer, BonnGroße deutsche Banken sollten ab sofort ihre IT-Sicherheitsstruktur von ethischen Hackern testen lassen. Das haben das Bundesministerium der Finanzen und die Deutsche Bundesbank am Mittwoch deutlich gemacht. In einer gemeinsamen Mitteilung gaben sie den Startschuss für Tiber-DE, die Umsetzung eines EU-Rahmenwerks zur Harmonisierung von testweisen Cyberattacken auf Finanzdienstleister (vgl. BZ vom 5. März). Die Ausarbeitung für deutsche Belange haben demnach neben der Bundesbank die Bundesagentur für Finanzdienstleistungsaufsicht (BaFin) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgenommen.”Damit werden wir Banken und anderen Unternehmen im Finanzsektor künftig einen Rahmen geben, um ihre Cyberabwehr unter Echtbedingungen auf den Prüfstand zu stellen”, sagte Jens Obermöller, Leiter des BaFin-Referats “Grundsatz Cybersicherheit in der Digitalisierung und Regulierung Zahlungsverkehr” am Donnerstag in Bonn. Dort veranstaltete die Behörde die Konferenz “IT-Aufsicht bei Banken”.Obermöller machte auch klar, dass Tiber nicht nur auf die Resilienz einzelner Banken gerichtet ist, sondern auf die Stärkung der Widerstandskraft des gesamten Finanzsektors. Tiber gibt Anleitungen und Standards vor, um unter Aufsicht Hackerattacken von externen Dienstleistern, sogenannten Red Teams, gegen Banken, aber auch gegen Zahlungsdienstleister, Börsen, Clearinghäuser oder Versicherer, zu harmonisieren.Tiber-DE implementiert das von der Europäischen Zentralbank (EZB) und den nationalen Zentralbanken sämtlicher EU-Staaten ausgearbeitete sogenannte Rahmenwerk für bedrohungsgeleitete ethische Penetrationstests (Threat-Intelligence Based Ethical Red Teaming alias Tiber-EU) in Deutschland. Bislang ist das auf nationaler Ebene in Europa in Dänemark, Belgien und den Niederlanden geschehen – als Tiber-DK, Tiber-BE und Tiber-NL.Offiziell erfolge die Umsetzung freiwillig, heißt es. Es dürfte sich allerdings keine große, bedeutende Bank der Bitte des Finanzministeriums verschließen können, Tiber alsbald anzugehen. “Ich würde es sehr begrüßen, wenn zumindest die größten Finanzunternehmen in Deutschland in der nächsten Zeit einen Tiber-Test durchführten”, wird Staatssekretär Jörg Kukies in der Mitteilung zitiert. Wenigstens die Führungsriegen der global und national systemrelevanten Banken aus Deutschland dürften sich angesprochen fühlen. Klare ErwartungshaltungIn Bonn präzisierten Referenten von Bundesbank und BaFin die Pläne zu Tiber-DE – und ließen hier und da durchblicken, dass die Freiwilligkeit kein Dauerzustand sein könnte. So hieß es, dass die Tests zumindest zum jetzigen Zeitpunkt nicht verpflichtend seien. Die Erwartung sei, dass Institute von Bedeutung mitmachten, nicht aber jede kleine Bank, sagte Miriam Sinn von der Bundesbank. Das würde auch schon an den Kapazitäten scheitern, stünden doch nicht genügend Red Teams, also Testhacker, zur Verfügung, und auch die Notenbank würde personell an ihre Grenzen geraten, sollten sich sehr viele Institute auf einen Schlag melden. “Wir werden ganz klar klein anfangen”, sagte Sinn. “Sollten zu viele Anfragen kommen, werden wir priorisieren müssen.” Banken, die teilnehmen wollen, forderte Sinn auf, sich ab sofort zu melden.Dass die Federführung der Bundesbank und nicht der Finanzaufsicht obliegt, sei dem Umstand geschuldet, dass Tiber kein aufsichtliches Instrument zur Beurteilung einzelner Institute sei, hieß es. Die Bundesbank sehe sich in der Rolle, ein Bewusstsein für die Relevanz von IT-Sicherheit zu schaffen. Mit einzelnen Investitionen sei es hier nicht getan. “Die klare Message auch an die Vorstände erhöht die Sichtbarkeit des Themas”, sagt Bundesbank-Expertin Sinn. Cyberattacken würden oft als weit weg empfunden, nicht als etwas, das im eigenen Hause passieren könne. Simulierte Attacken werden Sinn zufolge Schwachstellen aufzeigen und den Entscheidungsträgern mehr oder minder drastisch vor Augen führen, dass sie sich um das Thema verstärkt kümmern müssen – was Geld kostet. Sicher werde sich keiner fühlen können, denn dem Zweck von Tiber, Schwachstellen auszumachen, werde kein geprüftes Institut entgehen. “Alle werden durchfallen”, sagte Sinn. Zumindest symbolisch. Denn um einen Test, den es zu bestehen gilt, der mit Noten abschließt und der bei Versagen erneut absolviert werden muss, handelt es sich nach Lesart der Bundesbank nicht. Die BaFin überwache die Tests selbst nicht, erklärte Sinn, werde aber sehr wohl zumindest über Beginn und Abschluss und mögliche neuralgische Phasen informiert. Die Finanzaufsicht wird Teil eines Lenkungsausschusses sein, dem die Hackerteams unterstehen.Auf die betroffenen Banken dürften erhebliche Kosten zukommen. Der gesamte Tiber-Prozess kann bis zu einem halben Jahr dauern, wobei die Kernphase, die Attacken der Red Teams, zehn bis zwölf Wochen in Anspruch nehmen, wie Christoph Ruckert von der BaFin berichtete. Die Verantwortung für die Tests liegt bei den Instituten. Sie wählen auch die Dienstleister aus. Der Vorstand muss dabei einbezogen werden. – Wertberichtigt Seite 8