Aufsichtlich kontrollierte Hackerangriffe auf Banken-IT
der Abgeordneten Frank Schäffler, Christian Dürr, Dr. Florian Toncar, Bettina Stark-Watzinger, Markus Herbrand, Katrin Hessel, Grigorios Aggelidis, Renata Alt, Jens Beeck, Nicola Beer, Dr. Jens Brandenburg (Rhein-Neckar), Mario Brandenburg (Südpfalz), Dr. Marco Buschmann, Dr. Marcus Faber, Otto Fricke, Thomas Hacker, Katrin Helling-Plahr, Manuel Höferlin, Dr. Christoph Hoffmann, Reinhard Houben, Ulla Ihnen, Olaf in der Beek, Thomas L. Kemmerich, Dr. Marcel Klinge, Pascal Kober, Carina Konrad, Ulrich Lechte, Oliver Luksic, Till Mansmann, Alexander Müller, Frank Müller-Rosentritt, Bernd Reuther, Christian Sauter, Matthias Seestern-Pauly, Frank Sitta, Katja Suding, Michael Theurer, Stephan Thomae, Gerald Ullrich und der Fraktion der FDP
Vorbemerkung
Das am 2. Mai 2018 veröffentlichte European Framework for Threat Intelligencebased Ethical Red Teaming (Tiber-EU) der Europäischen Zentralbank (EZB) ist ein Rahmenwerk, um mittels kontrollierter Cyber-Hackingangriffe die Widerstandsfähigkeit von Akteuren im Finanzsektor zu testen und um so eine vergleichbarkeit auf europäischer Ebene herzustellen (vgl. Pressemitteilung der EZB vom 2. Mai 2018). Dieses Rahmenwerk enthält Anleitungen und Standards zur europäischen Harmonisierung von kontrollierten Cyberattacken externer Dienstleister gegen wichtige Banken, aber auch gegen Zahlungsdienstleister, Börsen, Clearinghäuser oder Versicherer. Dänemark, Belgien und die Niederlande hätten bereits die rechtlichen Bedingungen dafür geschaffen, indem sie Tiber-EU implementierten:
- Veröffentlichung des Tiber-NL-Ratgebers im November 2018 (www.dnb.nl/ binaries/TIBER-NL%20Guide%20Second%20Test%20Round%20final_tcm 46-365448.pdf)
- Veröffentlichung des Tiber-BE-Ratgebers im November 2018 (www.nbb.be/ doc/be/be6/tiber_be_framework.pdf)
- Veröffentichung des Tiber-Dk-Ratgebers im Dezember 2018 (www.national banken.dk/da/finansielstabilitet/fsor/Documents/TIBER%20Implementerings guide.pdf).
Die „Börsen-Zeitung“ berichtete am 16. Januar 2019, in Deutschland solle eine Entscheidung über die Implementierung eines solchen Rahmenwerks für Cyber-Stresstests hingegen noch ausstehen. Sie werde jedoch in der ersten Jahreshälfte erfolgen, hätten mit den Plänen vertraute Personen verlauten lassen.
Nicht nur aktuelle Fälle der rechtswidrigen Datenbeschaffung haben den Fokus auf die Cyber- bzw. Datensicherheit noch einmal erhöht. Auch etwa der Spotlight Report 2018 mit dem Titel „Could an Equifax-sized data breach happen again?“ zeigte einen Anstieg der Sicherheitsverletzungen in allen Branchen, einschließlich der Finanzdienstleistungen, auf. Weltweit würden Finanzdienstleister immer mehr Cyberangriffen ausgesetzt. Hacker nutzten bisweilen sogenannte versteckte Tunnel, um sich in Unternehmensnetzwerken einzunisten und wertvolle Daten aus der Ferne abzuschöpfen.
Wir fragen die Bundesregierung:
Fragen6
Kann die Bundesregierung bestätigen, dass in Deutschland das Rahmenwerk von Tiber-EU noch nicht implementiert wurde bzw. ein entsprechender Ratgeber (Guide bzw. Guidance) noch nicht veröffentlicht wurde?
Wenn ja, welche Gründe haben es bislang verhindert, einen solchen Ratgeber zu erarbeiten?
Hat die Bundesregierung einen bereits konkreten Auftrag erteilt, einen Tiber-DE-Ratgeber zu erarbeiten?
a) Wann wurde dieser Auftrag durch die Bundesregierung bzw. ein Bundesministerium gefasst?
b) Welche Behörde bzw. Institution ist seitens der Bundesregierung mit der Erarbeitung eines Tiber-DE-Ratgebers betraut worden?
c) Welche Behörde bzw. welche Institution soll nach Ansicht der Bundesregierung für die Beaufsichtigung der Hackerangriffe zuständig sein?
Wurden nach Kenntnis der Bundesregierung bereits Unternehmen und/oder Personen angesprochen, diese Hackerangriffe auszuführen?
a) Und wenn ja, mit welchen Unternehmen bzw. Personen wurde gesprochen (bitte mit Angabe des jeweiligen Datums und der Namen der teilnehmenden Personen beantworten)?
b) Nach welchen Kriterien hat die Bundesregierung diese ausgesucht?
c) Inwieweit prüft die Bundesregierung die Zuverlässigkeit (im untechnischen Sinne) von Hackern, die möglicherweise mit einem Angriff auf die Banken-IT betraut werden sollen? Gibt es beispielsweise Ausschlussfaktoren, und wenn ja, wie lauten diese?
Unterstellt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) solle künftig für die Kontrolle der Hackerangriffe auf die Banken-IT zu Prüfzwecken zuständig sein, wie viele Personen in der BaFin sollen nach Ansicht der Bundesregierung künftig mit dieser Aufgabe betraut werden?
Unterstellt die Deutsche Bundesbank solle künftig für die Kontrolle der Hackerangriffe auf die Banken-IT zu Prüfzwecken zuständig sein, wie viele Personen in der Deutschen Bundesbank sollen nach Kenntnis der Bundesregierung künftig mit dieser Aufgabe betraut werden?