Höhere Cyberresilienz durch Angriffssimulationen nach DORA und TIBER

Das Digital Operational Resilience Act (DORA) und das TIBER-EU-Framework greifen ineinander, um die Cybersicherheit und Resilienz von Finanzinstituten in der EU zu stärken – DORA schafft den regulatorischen Rahmen, während TIBER-EU realitätsnahe, bedrohungsbasierte Tests ermöglicht. Gemeinsam fördern sie einen proaktiven Umgang mit Cyberrisiken. Wir haben mit zwei TIBER-erfahrenen Expert*innen gesprochen, um herauszufinden, was diese Tests besonders macht, welche Herausforderungen sie mit sich bringen – und warum Social Engineering und physische Sicherheit dabei eine zentrale Rolle spielen.

TIBER und DORA: Die Grundlagen

Der «Digital Operational Resilience Act» (DORA) legt Anforderungen an das Risikomanagement, die Überwachung von IT-Systemen und die Meldung von Cybervorfällen fest, um die Sicherheit von Finanzinstituten in der EU und somit die Stabilität des hiesigen Finanzsystems zu gewährleisten.

Um die Finanzinstitute darin zu unterstützen, ihre Cyber-Sicherheitsmassnahmen effektiv zu testen und zu verbessern, entwickelte die Europäischen Zentralbank (EZB) das TIBER-EU-Framework (Threat Intelligence-Based Ethical Red Teaming). Das Framework sieht die Durchführung von Tests vor, die auf aktuellen realistischen Bedrohungsszenarien basieren, um Schwachstellen in den Systemen der Finanzinstitute zu identifizieren. Ziel ist es, die Resilienz gegenüber Cyberangriffen zu erhöhen und die diesbezüglichen Sicherheitsvorkehrungen zu optimieren.

Sowohl DORA als auch TIBER-EU fördern eine proaktive Herangehensweise an Cyberrisiken. Während DORA die regulatorischen Rahmenbedingungen schafft, bietet TIBER das praktische Testframework, um die digitale operationale Resilienz von Finanzinstituten in der EU zu überprüfen und zu stärken.

Die komplexen regulatorischen Vorgaben stellen die betroffenen Unternehmen im Bereich Cybersicherheits-Tests bzw. Angriffssimulationen vor ganz neue Herausforderungen. Wir haben zwei unserer TIBER-erfahrenen Experten befragt, um zu klären, was TIBER sowie DORA Threat-Led Penetration Tests (TLPT) besonders macht, welche Herausforderungen solche Tests mit sich bringen und warum Social Engineering sowie Physical Security dabei eine zentrale Rolle spielen.

Was unterscheidet ein TIBER-EU-Projekt von klassischen Security-Tests?

Renato Venzin: Der Hauptunterschied liegt im Umfang und in der Vollständigkeit der Angriffssimulation.

Während bei üblichen Red-Teaming-Projekten lediglich eine Simulation gewisser Angriffsphasen auf ausgewählte Systeme erfolgt, werden bei TIBER-EU-Projekten realitätsnahe Angriffsszenarien vollständig, d. h. von A bis Z, getestet. Selbst wenn einzelne Angriffe vom Zielinstitut erkannt werden, wird der Test nicht aufgelöst, sondern die komplette Reaktion des Defense Teams durchgespielt und die weiteren Angriffe in gleicher Weise fortgesetzt.

TIBER-EU-Projekte sind einem tatsächlichen Angriff sehr ähnlich und damit um einiges umfangreicher als klassische Red-Teaming-Projekte. Für die Umsetzung eines vollständigen TIBER-EU-Projekts sind oft weit über 200 Personentage erforderlich.

Für welche Unternehmen bzw. Institutionen sind TIBER und DORA relevant?

Renato Venzin: TIBER betrifft vor allem den Finanzsektor sowie die Versicherungsbranche, wobei die Tests nicht obligatorisch sind .

DORA richtet sich noch stärker an den Finanzsektor und verpflichtet die entsprechenden Unternehmen, Tests gemäss DORA durchzuführen. Dabei sind vor allem Finanzdienstleister im EU-Raum angesprochen, aber auch IT-Dienstleister, die solche Institute als Kunden betreuen. Entsprechende im EU-Markt tätige Schweizer Unternehmen fallen ebenfalls unter den Geltungsbereich von DORA und müssen gewisse Richtlinien einhalten.

Darüber hinaus existieren aber auch in der Schweiz und in Liechtenstein Auflagen für szenariobasierte Übungen zu Cyberrisiken.

Welche Akteure sind an TIBER-/DORA-Projekten beteiligt und welche Rollen nehmen diese ein?

Renato Venzin: Diese Frameworks zeichnen sich insbesondere durch eine klare Rollentrennung aus:

• Das Control Team  bzw. White Team wird durch das zu testende Institut bzw. Unternehmen gestellt. Es wird über den Test informiert und dient als kundenseitige Koordinationsstelle. Als zentraler Ansprechpartner begleitet es die Testaktivitäten eng, überwacht diese und ist zuständig für das Risikomanagement.
• Als Blue Team wird das Defense Team des zu testenden Instituts bzw. Unternehmens bezeichnet. Dieses hat keine Kenntnis von den Testaktivitäten und wird erst im Nachgang darüber informiert.
• Der Threat Intelligence Provider sammelt undanalysiert Informationen über die für das betreffende Institut bzw. Unternehmen relevanten Cyberbedrohungen, seine Schwachstellen, aktuelle Angreifertaktiken und -techniken sowie Trends. Dabei evaluiert er auch die realistischen Angriffsszenarios.
• Der Red Team Provider plant auf Basis der durchgeführten Threat Intelligence die Sicherheitsüberprüfungen und führt diese im Rahmen von realistischen Angriffssimulationen durch, um Schwachstellen zu identifizieren und die Sicherheitslage des betreffenden Instituts bzw. Unternehmens zu bewerten. Dies umfasst auch die Evaluation der Reaktion des Blue Teams.
• Das TIBER Cyber Team (TCT) überwacht die regelkonforme Testdurchführung und stellt die fachliche und prozessbezogene Betreuung, insbesondere des Control Teams, sicher. Es wird durch die TIBER-/DORA-Behörde des entsprechenden Landes gestellt. Für TIBER-DE Tests ist dies zum Beispiel die Deutsche Bundesbank.

Wie lange dauert ein solches Projekt in der Regel?

Renato Venzin: Diese sogenannten Threat-Lead Penetration Tests (TLPT) umfassen im Kern jeweils eine ca. 4-wöchige Threat Intelligence Phase sowie ein mindestens 12 Wochen dauerndes Red Teaming. Dazu kommen Scoping, Dokumentationszeit, Purple Teaming und Feedbackrunden.

Eine Orientierung bezüglich der notwendigen kundenseitigen (internen) Aufwände bietet das Dokument der EZB.

Sind auch Red-Teaming-Projekte in kleinerem Umfang möglich?

Renato Venzin: Selbstverständlich lassen sich Red-Teaming-Projekte generell (fast) in beliebiger Grösse skalieren. TLTP-Projekte nach TIBER und DORA sind sehr umfangreich und vor allem für Unternehmen spannend, die schon eine hohe Security-Maturität aufweisen. Bereits Projekte, die zwar an die genannten Regularien angelehnt sind, aber nicht vollständig nach dem entsprechenden Framework durchgeführt werden, sind wesentlich weniger aufwändig. Zudem bieten auch gewöhnliche Red-Teaming-Projekte schon einen grossen Mehrwert. Ein wesentlicher Effizienzvorteil kann hierbei beispielsweise erreicht werden, wenn die Stealth-Anforderung, also das «Nicht-Auffallen» während der Testaktivitäten, entfällt. Der Fokus liegt in diesem Fall nicht mehr auf der Reaktion des Blue Teams, sondern auf der Identifikation der technischen Schwachstellen und der Analyse der Angriffspfade.

Technical Attack Simulation

Warum sind die technischen Angriffssimulationen im Rahmen von TIBER besonders anspruchsvoll?

Renato Venzin: Bei TIBER-Projekten ist zunächst das Nicht-Auffallen während der Tests viel wichtiger, weshalb alle Tools und Befehle viel genauer überprüft werden müssen. Ausserdem müssen Verschleierungen eingesetzt und Exit-Strategien vorbereitet werden, um im Falle einer Alarmierung die Testtätigkeit geheim halten zu können. Des Weiteren liegt der Fokus verstärkt auf der Infiltrationsphase, beispielsweise durch Erlangen von physischem Zugang zum Netzwerk oder Phishing, um unsere Geräte oder Code in der IT-Umgebung der Zielorganisation zu platzieren bzw. auszuführen. Es besteht zwar die Möglichkeit testspezifischer Annahmen (z. B. Assume Breach) und Hilfestellungen, sogenannte Leg-ups, von diesen wird jedoch erst Gebrauch gemacht, wenn das (Teil-)Ziel nicht auf anderem Weg erreicht werden kann.

Was sind die grössten Herausforderungen bei der Durchführung einer Angriffssimulation?

Renato Venzin: Neben den bereits erwähnten Punkten ist es besonders anspruchsvoll, die Testaktivitäten so lange wie möglich zu verschleiern, sollte einer der Testangriffe die Aufmerksamkeit des Blue Teams erregen. In einer solchen Situation gilt es, eine Offenlegung des Testszenarios möglichst zu vermeiden oder zumindest zu verzögern, damit der Vorfall von der Verteidigerseite weiterhin wie ein tatsächlicher Angriff behandelt wird. Wichtig ist auch, die unterschiedlichen Szenarien so voneinander zu trennen, dass bei einer Erkennung oder Aufdeckung eines Szenarios die übrigen Szenarien unbeeinträchtigt weitergeführt werden können.

Aus Kundensicht kann es Probleme bereiten, an Leg-up-Benutzeraccounts oder -Zugänge zu gelangen, ohne Verdacht zu erregen. Bestehende Prozesse müssen eingehalten werden und die entsprechenden Accounts dürfen keine Rückschlüsse auf das Control Team zulassen,, falls Angriffe über diese Einfallstore auffallen sollten.

Wie realistisch sind eure Angriffe im Vergleich zu echten Bedrohungen durch Cyberkriminelle?

Renato Venzin: Die Angriffssimulationen in TIBER- / TLTP-Projekten kommen tatsächlichen Angriffen sehr nahe. Aktuell gibt es kein Framework, das Cyberbedrohungen realitätsgetreuer abbildet. Dabei gilt es jedoch zu beachten, dass echte Angreifer meistens über mehr finanzielle und zeitliche Ressourcen verfügen. Des Weiteren bestehen im Rahmen unserer Tests diverse ethische und rechtliche Einschränkungen, denen echte Angreifer nicht unterliegen (Erpressung, destruktives Verhalten etc.). Dies ist vor allem im Bereich Social Engineering relevant.

Was zeichnet ein erfolgreiches TIBER Red Team aus?

Renato Venzin: Zentral ist die Erfahrung aus vergleichbaren Projekten ähnlicher Art und Komplexität. Unabdingbar ist zudem ein mit interdisziplinären Experten bestücktes Red Team, das gut eingespielt ist. Nur die breit abgestützte fachliche Diversität erlaubt es, die verschiedenen Teilaspekte eines solchen Projekts optimal abzudecken. In unserem Team haben wir deshalb keine Allrounder, sondern unterschiedliche Spezialisten mit langjähriger Erfahrung in ihrem Fachbereich, die in ihrem Themengebiet entsprechend eine grosse Expertise mitbringen. 

Social Engineering & Human Factor Attacks

Warum sind Social-Engineering-Angriffe fester Bestandteil des TIBER-EU-Frameworks?

J.D.: Gerade systemrelevante Unternehmen sind technisch in der Regel schon stark gehärtet. Mitarbeitende bleiben jedoch ein wichtiges und gerne genutztes Einfallstor für einen Angreifer, da sich das individuelle Sicherheitsverhalten der Mitarbeitenden nur bedingt steuern lässt.

Wenn sich individuelles Sicherheitsverhalten nur bedingt steuern lässt – weshalb sollte man es dennoch testen?

J.D.: Ein Social-Engineering-Audit ermöglicht es, durch menschliche Schwächen bedingte Sicherheitslücken gezielt zu schliessen. Einerseits können Technik und Prozesse die Mitarbeitenden unterstützen, andererseits kann präzise eruiert werden, in welchen Bereichen und wie Mitarbeitende in Bezug auf die Awareness geschult werden sollten.

Welche Hauptgefahren drohen Unternehmen im Bereich Social Engineering?

J.D.: «Klassische» Angriffsvektoren wie Tailgating/Piggybacking und Phishing bzw. Business-E-Mail Compromise sind nach wie vor sehr beliebt. Je professioneller die Gegenseite vorgeht, desto eher kommen komplexe Angriffe mit mehreren kombinierten (physischen, menschlichen und technischen) Angriffsvektoren zum Einsatz.

Welche typischen Schwachstellen bestehen in diesem Bereich?

J.D.: Die eine Schwachstelle gibt es nicht. In der Regel sind es nicht einzelne Sicherheitsmassnahmen, die versagen und uns die Kompromittierung des Unternehmens erlauben. Oftmals ist es vielmehr die Ausnutzung der mangelnden Abstimmung der einzelnen Sicherheitsvorkehrungen – z. B. Mitarbeitende, Prozesse und physisch-strukturelle Gegebenheiten – die für einen Angreifer erfolgsversprechend ist. An dieser Stelle sei erwähnt, dass bei der Planung von Abwehrmassnahmen «viel hilft viel» auch kontraproduktiv sein kann.

Lassen sich sämtliche Angriffsvektoren realitätsgetreu testen?

J.D.: Nein. Aus rechtlichen und ethischen Gründen können verschiedene wichtige Angriffsvektoren nicht getestet werden. Insbesondere vertiefte Angriffe gegen Schlüsselpersonen, die in die Privatsphäre eingreifen, sind ausgeschlossen. Dies betrifft beispielsweise das sogenannte «Honey Trapping», den Einsatz von Abhörgeräten oder eine Observation von einzelnen Zielpersonen ausserhalb ihres Arbeitsplatzes.

Welche aktuellen Trends sind im Bereich Cyberangriffe und Red Teaming erkennbar?

J.D.: Internal Threats, z. B. durch die Anwerbung interner Mitarbeitender oder die gezielte Einschleusung von «Maulwürfen», stellen eine zunehmende Gefahr dar. Auch Angriffe auf Dienstleister und Lieferanten des Zielunternehmens werden immer beliebter (Supply Chain Attack). Diese Gefahren lassen sich in einem Audit grundsätzlich ebenfalls abbilden. Dies bedarf aber einer äusserst sorgfältigen und langfristigen Testplanung. Zudem kann ein solches Audit – insbesondere auch kundenseitig – sehr aufwändig sein.

Physical Assessments – die unterschätzte Gefahr

Wie wichtig ist die Prüfung der physischen Sicherheit im Kontext von TIBER-Projekten?

J.D.: Dass die physische Sicherheit ein wesentlicher Bestandteil der integralen IT-Sicherheit ist, lässt sich bereits daran erkennen, dass die regulatorischen Vorgaben wie TIBER, NIS etc. in der Regel ein Audit in diesem Bereich vorsehen. Gerade Systeme und Netzwerke mit besonders schützenswerten Daten sind meistens nicht an das Internet angebunden, weshalb ein qualifizierter Angreifer zwangsläufig einen physischen Angriffsvektor einplanen muss. Dabei nutzen aufgrund des benötigten Wissens und der erforderlichen Ressourcen oft gerade die gefährlichsten Angreifergruppen menschliche und physische Angriffsvektoren.

Welche Methoden nutzt ihr, um in ein Gebäude oder gesichertes Areal einzudringen?

J.D.: Grundsätzlich gilt: Kreativität ist Trumpf! Es gibt nichts, was es nicht gibt. Besonders wichtig ist eine eingehende OSINT-Recherche, Vor-Ort-Aufklärung und Vorbereitung. Daher können diese Phasen mehrere Wochen in Anspruch nehmen, während der eigentliche physische Penetration Test oftmals nur wenige Minuten dauert.

Was war bisher das herausforderndste Physical Security Assessment?

J.D.: Jeder Einsatz hat seine eigenen Tücken. Soweit es um ein verdecktes Eindringen geht, kann dies bei einem kleinen Handwerksbetrieb, in dem jeder jeden kennt, genauso schwierig sein wie die Infiltration am Hauptsitz einer Grossbank. Eine besondere Herausforderung stellen sicherlich Einsätze im Umfeld von Hochsicherheitsgebäuden dar, die baulich stark gehärtet sind und von bewaffnetem Sicherheitspersonal geschützt werden. Unterirdische Anlagen sind ebenfalls eine Herausforderung, da die Auswahl des konkreten Angriffsvektors naturgemäss stark eingeschränkt ist.

Gelingt es euch, in jedes Gebäude einzudringen?

J.D.: Es gibt schon echte Knacknüsse, aber mit ein wenig Kreativität gelingt es uns dann meistens doch. Oftmals ist es schlichtweg eine Frage des Aufwands, den man betreibt bzw. für einen Auftraggeber betreiben darf.

Natürlich gibt es vereinzelt spezielle Objekte, bei denen ein verdecktes Eindringen im Rahmen der üblichen Testlimitationen schlichtweg nicht realistisch ist – und wir aufgrund der Kritikalität auch froh sind, dass dem so ist! Hier setzen wir in Absprache mit dem Kunden auf alternative Testszenarien, um mit vernünftigem Aufwand das Risikopotenzial einzelner Angriffsvektoren abschätzen zu können und mitzuhelfen, das Objekt durch gezielte Massnahmenvorschläge noch stärker zu härten.

Welchen Mehrwert bietet ein Physical Assessment, wenn ein Eindringen nicht erfolgreich ist?

J.D.: In jedem Fall können sowohl im Rahmen der Vorbereitung als auch während des eigentlichen physischen Penetration Tests wertvolle Erkenntnisse gewonnen werden, wie man die physische Sicherheit von – auch bereits sehr sicheren – Gebäuden weiter erhöhen kann. Der «Erfolg» spielt für den Erkenntnisgewinn über mögliche Schwachstellen und deren Behebung meist nur eine untergeordnete Rolle.

Blick in die Zukunft

Wie werden sich TIBER-EU-Tests und die gesetzlichen Vorgaben in den nächsten Jahren weiterentwickeln?

Renato Venzin: Das ist schwierig abzuschätzen. In den letzten Jahren gab es immer wieder Anpassungen, wobei sich DORA und TIBER auch gegenseitig beeinflusst haben. Zu Beginn dieses Jahres wurden die Regulatory Technical Standards (RTS) zu DORA veröffentlicht, die nun verbindlich sind. Daher ist bezüglich DORA in nächster Zeit nicht mit grösseren Anpassungen zu rechnen. Auch an TIBER gab es in diesem Jahr wieder Änderungen, um den Standard an die DORA TLPT anzugleichen. Die beiden Frameworks werden basierend auf den Erfahrungen aus den vergangenen Tests voraussichtlich immer weiter verbessert, mit grösseren Änderungen rechne ich jedoch in nächster Zeit nicht.

Was sind die grössten zukünftigen Herausforderungen für Red Teams in TIBER-Projekten?

Renato Venzin: Die Teilnahme an TIBER-Projekten setzt voraus, dass die Red-Team-Mitglieder in Bezug auf Angriffstechniken und Bedrohungsszenarios stets auf dem neusten Stand sind. Angesichts der rasanten technischen Entwicklung und des sich stets wandelnden Bedrohungsumfelds ist dies mit grossen Anstrengungen verbunden. TIBER sieht zudem vor, dass selbst neue Angriffstechniken zu entwickeln bzw. weiterzuentwickeln sind, was ebenfalls mit einem grossen Aufwand einhergeht. Das ist aber gleichzeitig einer der hochspannenden Aspekte, die ich persönlich an TIBER sehr schätze.

Onconsult in TIBER-Projekten

Hat Oneconsult Erfahrung mit TIBER-/DORA-Projekten?

Renato Venzin: Oneconsult verfügt über jahrelange Erfahrung in der Durchführung von umfangreichen Red-Teaming-Projekten. Wir haben bereits in verschiedenen Ländern komplexe Grossprojekte, mitunter TIBER- und an TIBER angelehnte Projekte, durchgeführt. Dabei konnten wir unter Beweis stellen, dass unsere Konzepte und Methoden in solchen Projekten sehr gut funktionieren. Natürlich lernen auch wir in jedem Projekt, aber auch durch kontinuierliche Weiterbildung ständig dazu und setzen die gewonnenen Erkenntnisse laufend in zukünftigen Projekten um.

In welchen Bereichen hat Oneconsult spezifische Expertise?

Renato Venzin: Unsere primäre Kompetenz liegt seit jeher in der Durchführung von technischen und physischen Angriffssimulationen. Dies macht uns zu einem kompetenten Red Teaming Provider. Darüber hinaus verfügen wir über Expertise im Bereich der Threat Intelligence, wobei wir diesbezüglich ebenfalls bereits in vergleichbaren Projekten mitgewirkt haben. Open Source Intelligence (OSINT) und die physische Ziel- und Schwachstellenaufklärung vor Ort sind sodann alltäglicher Bestandteil all unserer Physical Access Assessments.

Organisatorische Fragen

Wie kann ich herausfinden, ob mein Unternehmen von DORA oder TIBER betroffen ist?

Renato Venzin: Grundsätzlich ist es die Aufgabe der Kontrollinstanz (DE: Deutsche Bundesbank), die entsprechenden Institute darüber zu informieren, wenn sie solche Tests durchführen müssen. ICT-Dienstleister und sonstige Dienstleister, die betroffen sind, sollten von den entsprechenden Instituten informiert werden.

Wenn Sie nicht unter den Geltungsbereich von DORA / TIBER fallen, könnten jedoch anderweitige Regularien (z. B. NIS1, NIS2) für Ihre Institution gelten, die ein Red Teaming erforderlich machen oder sinnvoll erscheinen lassen. Ebenso kann es durchaus auch für alle anderen, grösseren Finanzinstitute sinnvoll sein, an TIBER angelehnte Red-Teaming-Projekte durchzuführen.

Ich muss ein TIBER- oder DORA-TLPT-Projekt durchführen – was sind die nächsten Schritte?

Renato Venzin: Im ersten Schritt sollten Sie von der zuständigen Behörde darüber aufgeklärt werden, wie die nächsten Schritte aussehen.

Grundsätzlich sind die ersten Schritte folgende:

• Scoping der kritischen Funktionalitäten und des Testumfangs
• Procurement der Dienstleister, welche die Tests durchführen sollen (siehe auch: TIBER-EU Guidance for Service Provider Procurement and Requirements for testers for the carrying out of TLPT – DORA)

Grundsätzlich gibt es aber sicherlich wichtige Eckpunkte:

• Ohne Absprache mit der zuständigen Behörde / dem Dienstleister sollten keine weiteren Personen einbezogen werden.
• Vom allerersten Moment an sollte ein Pseudonym für das Projekt und die Tests verwendet werden, das in allen Terminen, Korrespondenzen etc. entsprechend angewandt werden sollte.

Bei sonstigen Fragen oder Unklarheiten, stehen wir Ihnen gerne jederzeit zur Verfügung und können Sie auch bereits bei der Planung und dem initialen Aufbau der Tests begleiten.

Welche Behörde ist für mein Unternehmen in Bezug auf TIBER/DORA zuständig?

Renato Venzin: Es variiert.

Für TIBER

• Deutschland: Deutsche Bundesbank
• Österreich: OeNB
• Schweiz & Liechtenstein: nicht definiert

Für DORA:

• Deutschland: BaFin
• Österreich: FMA AT
• Schweiz: nicht definiert, siehe Blogbeitrag
• Liechtenstein: FMA LI (Kapitel 3)