EZB jagt Banken in den Cyber-Stresstest

Die Bankenaufsicht der Europäischen Zentralbank (EZB) hat mit einem groß angelegten Test bei rund 100 Banken im Euroraum die Widerstandsfähigkeit der Bank-IT-Systeme geprüft. Dabei wurden die IT-Systeme der Banken einem vollumfänglichen Angriffsszenario ausgesetzt.

„Die fortlaufende Initiative der EZB ist sehr zu begrüßen und spricht vor allem für eines: Den langfristigen Paradigmenwechsel in der IT-Sicherheit weg von der rein reaktiven Verteidigung“, erklärt Rainer M. Richter, langjähriger Spezialist in der IT-Sicherheit und Vice President EMEA & APAC bei Horizon3.ai.

Mit NodeZero hat Horizon3.ai professionelles Penetration Testing zu einer autonomen SaaS-Plattform weiterentwickelt, mit der IT-Infrastrukturen rund um die Uhr mit den aktuellsten Hackermethoden geprüft werden können. Die Lösung könnte einen wichtigen Beitrag zur europäischen und weltweiten Finanzsicherheit leisten und würde weiteren Stresstests der EZB sogar vorgreifen, um die Sicherheit und Integrität von Finanzinstituten zu überprüfen.

„IT-Teams weltweit müssen lernen, wie ein Hacker zu denken und zu agieren. Nur so können Schwachstellen gefunden werden, bevor Hacker sie ausnutzen und IT-Teams in der Defensive feststecken“, beschreibt Rainer M. Richter von Horizon3.ai weiter.

Punktuelle Kontrollen lassen Raum für Schwächen

Die Tests der EZB, die bisher auf wenige Tage angelegt waren und stets angekündigt werden, lassen viel Raum für Schwächen: „Die Angriffsvektoren der immer weiter kommerzialisierten Hackerbanden sind dynamisch und umfassen mehrere Formen von Attacken, um beispielsweise Zugangsdaten zu erbeuten und daraus mit kriminellem Engineering Erkenntnisse zur Penetration von Infrastrukturen zu generieren. Mit jedem Update einer Netzwerkkomponente ändern sich die Gegebenheiten, und nur fortlaufend durchgeführte Penetration Tests bieten die maximale Sicherheit. Das ist ohne die technologische Unterstützung einer autonomen Pentest-Lösung wie NodeZero nicht zu schaffen“, sagt Rainer M. Richter von Horizon3.ai.

Die Finanzbranche ist zudem angehalten, die Vorgaben der EU-Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act - DORA) zu erfüllen. Dort werden mindestens einmal jährlich Tests für unterschiedliche Bedrohungsszenarien vorgegeben. Die deutsche Kontrollbehörde – die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) – wünscht zudem, das Banken und Versicherungen die Schutzmaßnahmen intern umsetzen und nicht an Mehrmandantendienstleister auslagern.

Datenschutzkonforme und permanente Sicherheit

NodeZero unterzieht die gesamte Infrastruktur einem autonomen Penetration Test – ohne wesentlichen Performanceverlust kann täglich geprüft werden, ob durch Hacker ausnutzbare Sicherheitslücken bestehen. Nach der Behebung von Schwachstellen kann sofort geprüft werden, ob die Maßnahme erfolgreich war. Das Prinzip nennt Horizon3.ai „find, fix and verify“.

Bei Updates – Soft- oder Hardware – kann jederzeit ein Pentest gestartet werden, um die Integrität des Netzwerkes zu gewährleisten. NodeZero wird in Deutschland und Europa komplett datenschutzkonform zur Verfügung gestellt. „Wir nutzen für unsere deutschen und europäischen Kunden ausschließlich Serverkapazitäten am Standort Frankfurt. Ein weiterer Vorteil bei der Nutzung von NodeZero: es muss zur Nutzung der Plattform keinerlei Hardware in das Netzwerk integriert werden. Die komplette Plattform ist ein SaaS-Dienst und kann von den internen IT-Kräften eines Unternehmens über ein Webschnittstelle administriert werden“, sagt Rainer M. Richter.

Einfache Usability steht dabei im Vordergrund, um den IT-Teams, CIOs, CISOs und Administratoren eine detaillierte Analyse der Angriffspfade mit Nachweis der Ausnutzung und priorisierten Korrekturmaßnahmen zu geben.