CBEST-Themenbericht 2025: Was die Daten über die Cybersicherheit im Finanzdienstleistungssektor aussagen
Die Bank von England hat letzte Woche Cybersicherheitsberichte an Banken und Organisationen der Finanzmarktinfrastruktur (FMI) verteilt.
Dieser Bericht, der thematische CBEST-Bericht, hatte die unverkennbare Energie, als würde Professor McGonagall Harry Potter beiseite nehmen, um ihn – bestimmt, aber fair – daran zu erinnern, dass seine Zaubererambitionen einen viel höheren Standard erfordern.
Genau wie Professor McGonagall leisten auch die Regulierungsbehörden ihren Beitrag, um sicherzustellen, dass hohe Ansprüche auch hohe Standards erfordern.
Unternehmen und Finanzmarktinfrastrukturen haben jahrelang Kontrollbibliotheken aufgebaut, Regeln abgebildet und sich an bewährten Verfahren orientiert. Bei CBEST zeigt sich jedoch eine deutliche Lücke. Kontrollmechanismen, die auf dem Papier robust erscheinen, versagen oft unter dem Druck eines realen Angriffs.
Das ist die höhere Messlatte, die die Regulierungsbehörden ansetzen wollen.
CBEST 2025: Ein Bild stiller Verletzlichkeit
Der CBEST-Themenbericht ist ein bedrohungsbasierter Testrahmen, der Angriffe aus der realen Welt simuliert. Es hilft Banken und Finanzmarktinfrastrukturen, Schwächen in ihrer Cybersicherheit zu erkennen, zu verstehen und zu beheben.
Der diesjährige Bericht identifizierte Schwächen in der Cybersicherheit großer britischer Finanzinstitute. Diese Probleme traten in fünf miteinander verbundenen Bereichen auf:
- Infrastruktur- und Datensicherheit
- Identitäts- und Zugriffskontrolle
- Netzwerksicherheit
- Erkennung und Reaktion
- Mitarbeiterkultur und Bewusstsein
Diese Lücken wurden durch CBEST-basierte Bedrohungsanalysen in realen Unternehmensumgebungen aufgedeckt, die von akkreditierten Anbietern unter behördlicher Aufsicht durchgeführt wurden.
Infrastruktur- und Datensicherheit
Die Ergebnisse zeigen, dass viele Institutionen Schwierigkeiten haben, Sicherheitspläne unter realen Angriffsbedingungen in eine durchgängige Leistung umzusetzen.
Aus Sicht der Infrastruktur und Datensicherheit stellte CBEST Lücken in den grundlegenden Kontrollmechanismen fest. Dazu gehörten uneinheitliches Konfigurationsmanagement, mangelhafte Systemhärtung und -aktualisierung sowie unzureichender Schutz der auf den Systemen gespeicherten Daten.
Angriffssimulationen zeigten, dass Endpunkte ohne aktuelle Patches oder korrekte Konfiguration leicht auszunutzen waren. Durch die schwache Verschlüsselung wurden auch sensible Daten und privilegierte Zugangsdaten offengelegt.
Zusammengenommen deuten diese Ergebnisse darauf hin, dass die Prozesse des Anlagenmanagements und der Konfiguration das Risiko in den Systemen, die kritische Geschäftsdienstleistungen unterstützen, nicht durchgängig reduzieren.
Identitäts- und Zugriffskontrolle
Schwache Identitäts- und Zugriffskontrollen verringerten die Widerstandsfähigkeit zusätzlich.
Die Tests von CBEST ergaben, dass einige Unternehmen keine strengen Verfahren zum Identitätsmanagement durchsetzten. Häufige Probleme waren:
- Schwache Passwörter oder mangelhafte Durchsetzung von Passwortstandards
- Unsichere Passwortspeicherung, einschließlich Klartextdateien
- Zugriffsmodelle, die mehr Berechtigungen gewährten als nötig
Mangelhafte Kontrollen von Administrator- und Dienstkonten erleichterten es Angreifern, ihre Berechtigungen zu erweitern und sich nach dem Eindringen in die Umgebung lateral zu bewegen .
Diese Ergebnisse zeigen, dass Identitätskontrollen zwar auf dem Papier existieren, in der Praxis aber nicht mit genügend Disziplin durchgesetzt werden. Eine konsequentere Durchsetzung der Gesetze würde dazu beitragen, die Möglichkeiten der Angreifer nach einem ersten erfolgreichen Angriff einzuschränken.
Netzwerksicherheit
Netzwerksicherheit und -architektur erwiesen sich als deutliche Schwachstelle.
CBEST stellte fest, dass es einigen Unternehmen an einer effektiven Segmentierung zwischen kritischen Systemen mangelte. In mehreren Fällen waren Entwicklungs- und Produktionsumgebungen nicht ordnungsgemäß getrennt. Dies erhöhte das potenzielle Risiko, dass ein Sicherheitsverstoß Auswirkungen auf den Geschäftsbetrieb haben könnte.
Erkennung und Reaktion
CBEST identifizierte zudem ein besorgniserregendes Muster bei Organisationen, die auf Endpoint Detection and Response (EDR) -Tools angewiesen sind. CBEST stellte Lücken in der Erkennung fest, darunter Schwächen bei der Erkennung von Angriffen durch ungeeignet abgestimmte EDR-Systeme und bei der Erkennung von Datenexfiltration. Ineffektive Netzwerküberwachung und eingeschränkte Verkehrsprüfung ermöglichten es, dass Aktivitäten sich in den legitimen Datenverkehr einfügten und ausgehende Verbindungen von nicht überwachten Geräten ermöglichten.
Angreifer entgingen der Entdeckung, indem sie Zugangsdaten missbrauchten, auf integrierte Systemtools zurückgriffen und sich lateral im Netzwerk bewegten, ohne Alarme auszulösen. Dies war möglich, weil die Netzwerkarchitektur zu viel implizites Vertrauen zuließ.
Die eingeschränkte Nutzung von Least-Privilegien-Kontrollen auf Netzwerk- und Dienstebene erhöhte die Anzahl der Systeme, die Angreifer erreichen konnten. Schwache Netzwerküberwachung und eingeschränkte Verkehrsprüfung verschlimmerten das Problem.
In Simulationen versteckten die Angreifer ihre Aktivitäten im normalen Datenverkehr und stellten ausgehende Verbindungen von Systemen her, die nicht genau überwacht wurden.
Diese Ergebnisse weisen auf eine Diskrepanz zwischen dem theoretischen Verständnis von Segmentierung und dem Prinzip der minimalen Privilegierung und deren tatsächlicher Umsetzung in realen Produktionsnetzwerken hin.
Die Fähigkeiten zur Erkennung und Reaktion entsprachen ebenfalls nicht den Bedrohungsmodellen, die in den CBEST-Übungen verwendet wurden. Unternehmen mit schlecht konfigurierten Warnsystemen hatten Schwierigkeiten, Angriffe frühzeitig zu erkennen. Schwache EDR-Konfigurationen reduzierten die Transparenz hinsichtlich böswilligen Verhaltens und Datenexfiltration. Mangelhafte Netzwerküberwachung ermöglichte es Angreifern, sich unauffällig in den legitimen Netzwerkverkehr einzufügen.
Mitarbeiterkultur und Bewusstsein
CBEST hebt außerdem die Mitarbeiterkultur, die Schulung und das Bewusstsein als anhaltende Schwächen hervor.
Die Mitarbeiter waren häufig anfällig für Social Engineering. Zugangsdaten wurden häufig an ungesicherten Orten wie Tabellenkalkulationen oder gemeinsam genutzten Dateisystemen gespeichert. Helpdesk-Prozesse mit eingeschränkten Identitätsprüfungen ermöglichten es simulierten Angreifern, Zugangsdaten zu erlangen oder zu missbrauchen und ihren Zugriff zu erweitern.
Das eigentliche Problem: unkontrollierte Seitwärtsbewegung
Ein roter Faden verbindet die Schwächen, die bei den CBEST-Ergebnissen zu erkennen sind. Es fehlt eine zuverlässige Methode, um eine seitliche Ausbreitung nach einem Durchbruch zu verhindern .
Angreifer stahlen Zugangsdaten und wechselten zwischen verschiedenen Systemen. Sie haben ihre Zugangsberechtigungen erhöht. In vielen Fällen geschah dies, bevor die Erkennungswerkzeuge überhaupt ungewöhnliche Aktivitäten meldeten.
Bei flachen oder nahezu flachen Netzwerken stoßen Angreifer auf wenig Widerstand. Sie können sich schnell und leise bewegen, ohne Verzögerungen, die den Verteidigern Zeit zum Reagieren geben.
Hier wird das Risiko systemisch. Wenn ein einzelnes Benutzerkonto oder ein einzelner Server kritische Dienste erreichen kann, können auch umfangreiche Patches oder verbesserte Warnmeldungen das zugrunde liegende Designproblem nicht beheben.
CBEST 2025 zeigt, wie Lücken in den Bereichen Identität, Infrastruktur, Netzwerkdesign, Überwachung und Personalpraktiken zusammenwirken, um laterale Bewegung zu ermöglichen.
Sobald Angreifer sich innerhalb des Netzwerks frei bewegen können, können Perimeterverteidigungen und reaktive Erkennungsmechanismen die Ausbreitung nicht mehr verhindern oder den Schaden begrenzen.
Wie Illumio die Lücke bei der lateralen Mobilität im Bankwesen schließt
Illumio funktioniert im CBEST-Kontext aus einem ganz bestimmten Grund. Es behebt genau das Problem, auf das die Regulierungsbehörden immer wieder stoßen: Angreifer können sich frei bewegen, sobald sie in das Netzwerk eingedrungen sind.
CBEST zeigt, dass Unternehmen stark in Identitätsmanagement-Tools, Infrastruktursicherheit, Firewalls und Überwachung investieren. Trotzdem sind die Angreifer immer noch erfolgreich. Sie erkunden Systeme, bewegen sich im Netzwerk und erweitern nach dem Eindringen den Zugriff.
Illumio ist für diese Realität geschaffen. Es schafft starke Grenzen innerhalb des Netzwerks, wo viele Kontrollmechanismen am schwächsten sind.
Anstatt sich auf perfekte Identitätskontrollen, perfektes Patching oder perfekte Erkennung zu verlassen, schränkt Illumio die Bewegungsfreiheit von Grund auf ein. CBEST macht deutlich, dass Perfektion unter realem Druck nicht standhält.
Darum sticht Illumio hervor.
1. Es verhindert seitliche Bewegungen, egal wie ein Angreifer Zugang erlangt.
Falls Zugangsdaten gestohlen, die Multi-Faktor-Authentifizierung (MFA) umgangen oder ein Gerät kompromittiert wird, verhindert Illumio, dass Angreifer über das erste System hinauskommen.
Im Gegensatz zu Firewalls oder Identitätsmanagementsystemen ist Illumio nicht auf eine fehlerfreie Konfiguration an anderer Stelle angewiesen.
2. Es ermöglicht die Segmentierung, ohne das Netzwerk neu zu gestalten.
CBESTzeigt, dass viele Unternehmen Schwierigkeiten bei der Umsetzung der Segmentierung haben, weil netzwerkbasierte Ansätze langsam und riskant sind.
Illumio trennt die Segmentierung vom Netzwerk selbst. Organisationen können die Kommunikation nach dem Prinzip der minimalen Berechtigungen zwischen Workloads durchsetzen, ohne VLANs, Firewall-Regeln oder Netzwerk-Layouts zu ändern.
3. Es macht den internen Datenverkehr sichtbar
Die Tester von CBESTnutzen häufig tote Winkel im Ost-West-Verkehr aus. Illumio bietet Echtzeit-Einblicke in die tatsächliche Kommunikation von Systemen. Dadurch werden versteckte Abhängigkeiten, riskante Pfade und unnötiges Vertrauen offengelegt, auf das Angreifer setzen.
4. Es ergänzt EDR, indem es das enthält, was die Erkennung übersieht.
EndpointDetection and Response (EDR)-Tools sind besonders gut darin, bösartige Aktivitäten auf einzelnen Endpunkten zu erkennen. Allerdings können sie Angreifer mit gültigen Zugangsdaten nicht daran hindern, sich seitlich zu bewegen.
Illumio schließt diese Lücke, indem es die Wege blockiert, die Angreifer benötigen. Selbst wenn Endpoint-Tools frühe Anzeichen einer Kompromittierung übersehen, verhindert Illumio, dass sich ein kleines Problem in der gesamten Umgebung ausbreitet.
Kurz gesagt, Illumio geht direkt auf die strukturellen Schwächen ein, die CBEST aufdeckt. Dadurch werden die Auswirkungen verringert, wenn andere Kontrollmechanismen versagen.
CBEST zeigt, wie angreifbar viele Institutionen heute sind. Illumio zeigt, wie man diese Belastung überstehen kann.
Illumio ersetzt keine bestehenden Sicherheitskontrollen. Es gleicht ihre Einschränkungen aus. Wenn Angreifer andere Verteidigungsmechanismen umgehen oder aushebeln, stellt Illumio sicher, dass die Umgebung beständig bleibt. Es behebt die Sicherheitslücke, begrenzt den Schaden und unterstützt die Wiederherstellung.
Warum bewährte Resilienz von der Eindämmung von Sicherheitslücken abhängt
Das Lesen von CBEST von Anfang bis Ende offenbart ein klares Muster. Ein Großteil des Finanzsystems beruht nicht auf bewährter Widerstandsfähigkeit, sondern auf der Annahme, dass die Sicherheitskontrollen wie geplant funktionieren werden.
CBEST stellt klar, dass die Regulierungsbehörden erwarten, dass Sicherheit messbar, testbar und in das Systemdesign integriert ist. Obwohl der Begriff „Fragilität“ nicht direkt genannt wird, deuten die Ergebnisse im gesamten Bericht darauf hin.
Am Ende ist die Botschaft einfach. Die Eindämmung von Sicherheitslücken ist die einzig praktikable Methode, um diesem Risiko zu begegnen.
Entdecken Sie Illumio Insights kostenlos heute, um die Art von Sicherheitsproblemen aufzudecken, die CBEST immer wieder feststellt.
.webp)
.webp)
.webp)
