ISGroup Cybersicherheitsberatung

Unternehmens-Ethical-Hacking: Acmebank und der Fall ISGroup

Dieser Artikel präsentiert eine aufschlussreiche Fallstudie, die veranschaulicht, wie ISGroup SRL, ein Unternehmen mit fundierter Expertise im Bereich unternehmerisches Ethical Hacking und Cybersicherheit, mit der Acmebank zusammengearbeitet hat, um deren digitale operationelle Resilienz durch gezielte Maßnahmen zu stärken.

Wir untersuchen die Herausforderungen, vor denen die Bank stand, die von ISGroup SRL implementierten Lösungen, die erzielten greifbaren Ergebnisse und vor allem die grundlegende Rolle des unternehmerischen Ethical Hackings bei der Identifizierung und Behebung kritischer Schwachstellen. Diese Fallstudie bietet wertvolle Erkenntnisse und Empfehlungen, die auf andere Unternehmen übertragbar sind, die ihr IKT-Risikomanagement und ihre digitale operationelle Resilienz stärken möchten.

Die Herausforderung

Institutionen wie die Acmebank stehen vor einer Reihe komplexer Herausforderungen in Bezug auf Cybersicherheit und digitale operationelle Resilienz. Kritische Schwachstellen in IKT-Systemen können verheerende Folgen haben, darunter Betriebsunterbrechungen, finanzielle Verluste, Reputationsschäden und Verstöße gegen regulatorische Anforderungen.

Darüber hinaus führt der zunehmende Trend, kritische Funktionen wie Asset-Management, versicherungsmathematische Berechnungen, Buchhaltung und Datenverwaltung an Drittanbieter auszulagern, zu weiteren Ebenen der Komplexität und des Risikos. Diese Abhängigkeit von externen Akteuren, insbesondere von kritischen IKT-Dienstleistern, kann ein systemisches Risiko darstellen, wenn sie nicht angemessen gemanagt wird.

Wie ein Sicherheitsverantwortlicher der Acmebank vor dem Eingriff bemerkte: “Wir waren besonders besorgt über unsere Abhängigkeiten von einigen wichtigen Technologieanbietern. Zu verstehen, welche tatsächlichen Auswirkungen ein Verstoß bei einem von ihnen auf uns hätte, war für uns ein blinder Fleck.”

In einem immer strengeren regulatorischen Umfeld, wie es durch den DORA (Digital Operational Resilience Act) vorgegeben wird, ist es für Finanzinstitute unerlässlich, robuste Maßnahmen zu ergreifen, um ihre Fähigkeit zur Prävention, Erkennung, Reaktion und Wiederherstellung nach IKT-Vorfällen zu gewährleisten.

Die Bestimmungen zur digitalen operationellen Resilienz und IKT-Sicherheit sind auf Ebene der Europäischen Union noch nicht vollständig und kohärent harmonisiert. Diese regulatorische Heterogenität und die zunehmende Raffinesse der Bedrohungen machen einen proaktiven und auf Bedrohungsdaten (Threat Intelligence) basierenden Ansatz erforderlich, um die digitale operationelle Resilienz zu bewerten und zu verbessern.

Die Acmebank, die sich dieser Herausforderungen bewusst war, beschloss, einen Weg zur Stärkung ihrer digitalen operationellen Resilienz durch eine eingehende Bewertung und einen gezielten Eingriff durch Branchenexperten einzuschlagen. Die Wahl fiel auf ISGroup SRL, ein Unternehmen mit nachgewiesener Erfahrung im Bereich Ethical Hacking und Cybersicherheit, das in der Lage ist, eine externe Perspektive und spezialisiertes Fachwissen bereitzustellen, um die kritischsten Schwachstellen zu identifizieren und anzugehen.

Unternehmerisches Ethical Hacking: Der Eingriff der ISGroup SRL

Der von der ISGroup SRL für die Acmebank durchgeführte unternehmerische Ethical-Hacking-Einsatz wurde um einen TIBER-EU-Test (Threat Intelligence-Based Ethical Red Teaming) strukturiert, eine Methodik, die darauf ausgelegt ist, komplexe Cyberangriffe auf Basis realer Bedrohungen zu simulieren. Für diejenigen, die tiefer in das technische Vokabular dieses Bereichs eintauchen möchten, bietet der Leitfaden zu allen Begriffen des Ethical Hackings einen umfassenden Überblick.

Wie ein Vertreter der ISGroup SRL erklärte: “Unser Ziel war es nicht nur, Schwachstellen zu finden, sondern zu verstehen, wie ein entschlossener Angreifer unter Ausnutzung aktueller Bedrohungstrends die kritischen Abläufe der Acmebank gefährden könnte.”

Das TIBER-EU-Framework basiert auf einem kollaborativen und geheimdienstgestützten Ansatz. Es umfasst mehrere Schlüsselphasen, beginnend mit einer eingehenden Bedrohungsanalyse. Das Expertenteam der ISGroup SRL begann mit der Sammlung und Analyse von Informationen über die Bedrohungslandschaft, die für den Finanzsektor und insbesondere für die Acmebank relevant ist.

Der von der ISGroup SRL erstellte Targeted Threat Intelligence Report (TTIR) war von grundlegender Bedeutung. Er skizzierte Bedrohungsszenarien, die plausible Angriffe auf die Produktionssysteme der Acmebank simulierten, welche für ihre kritischen oder wichtigen Funktionen (CIF) von zentraler Bedeutung sind. Auf Basis des TTIR entwickelte und führte das Red Team der ISGroup SRL realistische Angriffsszenarien gegen die Systeme der Bank durch, begleitet von konkreten und sofort umsetzbaren Empfehlungen.

Die Simulation

Diese Phase des unternehmerischen Ethical Hackings, ähnlich einem fortgeschrittenen Penetration Testing, zielte darauf ab, die Aktionen echter Cyberkrimineller, einschließlich potenzieller Insider, zu simulieren. Das Red Team setzte verschiedene Techniken ein, um die Vertraulichkeit, Integrität und Verfügbarkeit der kritischen Systeme der Acmebank zu gefährden. Die menschliche Komponente und das Social Engineering beim Ethical Hacking spielten auch in diesem Szenario eine bedeutende Rolle.

Wie der CISO der Bank erklärte: “Die von ISGroup präsentierten Bedrohungsszenarien waren unglaublich realistisch, maßgeschneidert auf unsere Branche und basierend auf bekannten Schwächen.”

Um die Integrität des Tests zu wahren, war nur ein kleines internes Control Team informiert. Dies ermöglichte es, die tatsächliche Fähigkeit zur Erkennung und Bewältigung unvorhergesehener Angriffe zu bewerten.

Das Red Team vereinbarte Kommunikationsprotokolle mit dem Control Team und teilte Indicators of Attack (IoA), um Simulationen von echten Bedrohungen zu unterscheiden. Die Aktivitäten wurden im Red Team Test Plan (RTTP) geplant, inklusive Details zu den Maßnahmen zur Eindämmung etwaiger Risiken.

Die Tester, die über CREST- oder gleichwertige Qualifikationen verfügten, dokumentierten jede Phase detailliert. Diese Beweissammlung ermöglichte eine eingehende Analyse und floss in den Red Team Test Report (RTTR) ein, der Folgendes enthielt:

  • Gefundene Schwachstellen
  • Simulierte Angriffsszenarien
  • Reaktionen der Sicherheitskontrollen
  • Empfehlungen und Hauptursachen

In der Abschlussphase arbeitete die ISGroup SRL mit der Acmebank zusammen, um die Ergebnisse zu analysieren, die Schwachstellen zu priorisieren und einen Remediation-Plan auf hoher Ebene zu definieren.

Wie ein Senior IT Manager bemerkte: “Der Bericht war nicht nur eine Liste von Problemen, sondern ein konkreter Leitfaden, um zu verstehen, wie ein Angreifer unsere Schwächen hätte ausnutzen und Schwachstellen verketten können, um seine Ziele zu erreichen. Die Empfehlungen waren konkret und sofort umsetzbar.”

Ergebnisse und Vorteile des unternehmerischen Ethical Hackings

Der Eingriff der ISGroup SRL brachte der Acmebank erhebliche Ergebnisse und Vorteile, die über die bloße Identifizierung von Schwachstellen hinausgingen. Durch die Simulation realer Angriffe lieferte die ISGroup SRL wertvolle Informationen über die Ausnutzung potenzieller Schwachstellen, was es der Acmebank ermöglichte, diese Probleme proaktiv anzugehen und ihre allgemeine Sicherheit zu stärken. Ein strukturierter Ansatz, wie er in dieser Fallstudie beschrieben wird, fällt vollständig unter die Ethical-Hacking-Dienstleistungen, die ISGroup Organisationen anbietet, die ihre Risikoexposition konkret messen möchten.

Der detaillierte Bericht der ISGroup SRL diente als Roadmap für die Problemlösung. Er hob die spezifischen identifizierten Schwachstellen hervor und lieferte maßgeschneiderte Empfehlungen zu deren Behebung, wodurch er sich an der regulatorischen Bedeutung ausrichtete, einen formellen Follow-up-Prozess für IKT-Audit-Ergebnisse zu etablieren und deren Überprüfung sowie rechtzeitige Behebung sicherzustellen.

Wie ein leitender Angestellter der Bank kommentieren könnte: “Der Bericht war nicht nur eine Liste von Problemen; er gab uns klare und konkrete Schritte an die Hand, um sie zu lösen. Jetzt haben wir ein viel klareres Verständnis davon, wo wir unsere Sicherheitsinvestitionen konzentrieren müssen.”

Der TIBER-EU-Test mit seinem Fokus auf realistische Angriffsszenarien lieferte eine entscheidende Bewertung der Fähigkeit der Acmebank, auf komplexe Cyberbedrohungen zu reagieren. Die Identifizierung erfolgreicher Angriffspfade und der Ursachen für effektive Angriffe ermöglichte es der Acmebank, ihre Erkennungs- und Reaktionsmechanismen zu verfeinern. Um zu vertiefen, wie sich diese Art von Aktivität konkret auf das IKT-Vorfallmanagement auswirkt, steht eine dedizierte Analyse zur Verfügung.

Letztendlich hat die Zusammenarbeit mit der ISGroup SRL die digitale operationelle Resilienz der Acmebank erheblich verbessert. Die Bank hat ein tieferes Verständnis ihrer Schwachstellen, der Taktiken und Techniken, die von Gegnern verwendet werden könnten, sowie der Wirksamkeit bestehender Sicherheitskontrollen gewonnen.

Häufig gestellte Fragen zum unternehmerischen Ethical Hacking

  • Wie lange dauert ein Ethical-Hacking-Einsatz wie der beschriebene typischerweise?
  • Die Dauer hängt von der Komplexität der Organisation und dem vereinbarten Umfang ab. Ein vollständiger TIBER-EU-Test, der die Phase der Threat Intelligence, die Simulation und die Erstellung des Abschlussberichts beinhaltet, dauert in der Regel einige Wochen bis einige Monate. Kleinere Eingriffe können in kürzerer Zeit abgeschlossen werden.
  • Wer muss während des Tests intern informiert werden?
  • Um den Realismus der Simulation zu wahren, wird das Wissen über den Test auf ein kleines Control Team beschränkt. Das operative Personal, einschließlich der Sicherheits- und IT-Teams, wird nicht im Voraus informiert: Dies ermöglicht es, die tatsächliche Erkennungs- und Reaktionsfähigkeit der Organisation unter authentischen Bedingungen zu bewerten.
  • Was passiert nach der Übergabe des Berichts?
  • Der Bericht ist kein Endpunkt, sondern ein Ausgangspunkt. Die ISGroup SRL arbeitet mit dem Kunden zusammen, um die Ergebnisse zu analysieren, die Schwachstellen basierend auf dem tatsächlichen Risiko zu priorisieren und einen konkreten Remediation-Plan zu definieren. Die Empfehlungen sind so konzipiert, dass sie sofort umsetzbar sind, nicht nur theoretisch.

[Callforaction-EH-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *