Compliance und Datenschutz
Rahmenwerk
Sicherheits- und Awareness-Tests im Unternehmen sind unabdingbar. Es gibt zahlreiche rechtliche und datenschutzrechtliche Vorgaben, an die man sich halten muss.
Red Teaming kann für ein Unternehmen, das auf diese Art seine kritischen Geschäftsprozesse prüfen lässt, einen großen Nutzen bringen. So kann ein solcher simulierter Angriff nicht nur die „Cyber Resilience“ im Allgemeinen stärken, sondern auch den vom Gesetzgeber vorgeschriebenen Datenschutz und die Datensicherheit. Ebenso wird die Wahrscheinlichkeit einer Haftung des Unternehmens und der persönlichen Haftung des Führungspersonals reduziert – für den Fall, dass doch ein böswilliger Angriff erfolgreich sein sollte.
Das TIBER-EU Framework der Europäischen Zentralbank (zu finden über ix.de/zm7s) geht sogar noch einen Schritt weiter: Es fordert von europäischen Banken, Versicherungen und Unternehmen der Finanzbranche Red Team Assessments als wichtigen Bestandteil für das Einhalten ihrer Pflichten gegenüber den Aufsichtsbehörden. Bei einem solchen Assessment ist deswegen unbedingt darauf zu achten, dass es rechtskonform und von ausgewiesenen Profis mit viel Erfahrung durchgeführt wird, denn schon kleine Unachtsamkeiten können sowohl für den Tester wie auch für das angegriffene Unternehmen gravierende Konsequenzen haben.
| RT Provider Requirements to deliver TIBER-EU Tests | |
| Who | Requirements |
| RT Provider (at company level) | – At least five references from previous assignments related to intelligence-led red team tests |
| – Adequate indemnity insurance in place to cover activities which were not agreed upon in the contract and/or which stem from misconduct, negligence, etc. | |
| Red Team Test Manager – responsible for the end-to-end management of the TIBER-EU Red Team Test | – Lead and oversight of the RT provider’s activities for delivering a TIBER-EU test are ensured by a Red Team Test Manager |
| – Sufficient experience of the Red Team Test Manager in red team testing. Expectation: at least five years of experience in red team testing, including three years managing intelligence-led red team tests in the financial services industry | |
| – Up-to-date CV and at least three references of the Red Team Test Manager from previous assignments to be provided to the entity, specifically in red team testing activities | |
| – Background checks on the Red Team Test Manager by the RT provider (as a minimum). Enhanced background checks are conducted as required by the national authorities | |
| – The Red Team Test Manager must have appropriate recognised qualifications and certifications (as set out in Annex 1) | |
| Red Team (all members of the team, except for the Red Team Test Manager) – responsible for conducting the TIBER-EU Red Team Test | – Sufficient experience of the red team members. Expectation for each member: at least two years of experience in red team testing |
| – Up-to-date CV for each member of the team to be provided to the entity | |
| – Multi-disciplinary composition of the red team, with a broad range of knowledge and skills, such as: business knowledge, red team testing, penetration testing, reconnaissance, threat intelligence, risk management, exploit development, physical penetration, social engineering, vulnerability analysis and combinations thereof | |
| – Background checks on each member of the red team are conducted by the RT provider (as a minimum). Enhanced background checks are conducted as required by the national authorities | |
| – The red team members should have appropriate recognised qualifications and certifications (as set out in Annex 1) | |
Um einen geeigneten „Threat Intelligence Provider“ sowie einen Red-Teaming-Partner zu finden, können sich Unternehmen an den „Service Procurement Guidelines“ von TIBER-EU der EZB orientieren. Einen Auszug der Kriterien zur Auswahl eines Red-Teaming-Anbieters zeigt die Tabelle.