Die Bedrohung durch Cyberangriffe ist für Unternehmen nach wie vor als sehr hoch einzuschätzen. Dies ist zum einen auf die zunehmende Vernetzung von Akteuren und die Konzentration von IT-Dienstleistungen auf wenige Unternehmen zurückzuführen. Zum anderen stellen jedoch auch professionelle und hochgradig organisierte Angreifer (sogenannte APTs, Advanced Persistent Threats) eine zunehmende Gefahr dar. Um sich vor Angriffen zu schützen ist es sinnvoll, aktuelle Verteidigungstechnologien zu beschaffen und eine unternehmensweite Sensibilisierung vorzunehmen. Ob dies jedoch den gewünschten Effekt erzielt, ist meist erst im Fall eines realen Angriffs zu erkennen. So können Implementierungsfehler oder menschliche Schwächen die getroffenen Sicherheitsvorkehrungen schnell unwirksam machen.

Bedrohungsgeleitete Penetrationstests adressieren diese Lücke, indem sie die Vorgehensweisen realer Angreifer imitieren und so eine realitätsnahe Überprüfung der Cyberwiderstandsfähigkeit eines Unternehmens unter kontrollierten Bedingungen ermöglichen. Um diese Tests in standardisierter Form auch dem deutschen Finanzsektor zugänglich zu machen, hat die Bundesbank gemeinsam mit dem BMF im August beschlossen, das europäische TIBER-Rahmerwerk (Threat Intelligence-based Ethical Red-Teaming) in Deutschland umzusetzen. Das Rahmenwerk mit der Bezeichnung TIBER-DE soll es großen Banken, Versicherern, Finanzmarktinfrastrukturen und kritischen Dienstleistern ermöglichen, in einem europaweit harmonisierten Prozess bedrohungsgeleitete Penetrationstests durchzuführen. Hierzu etabliert die Bundesbank gerade ein nationales Kompetenzzentrum (das TIBER-Cyber-Team, TCT), welches die in Deutschland durchgeführten Tests begleitet und deren Eignung im gesamten ESZB-Raum bescheinigt.

Ein Lenkungsausschuss unter Einbezug der BaFin steuert das nationale Kompetenzzentrum, setzt das Rahmenwerk um und legt strategische Vorgaben fest. Im Jahr 2020 sollen die ersten Tests beginnen. Dabei ist das Rahmenwerk auf eine nicht-verpflichtende Durchführung von TIBER-DE Tests und eine kooperative Zusammenarbeit zwischen dem nationalen Kompetenzzentrum und den Unternehmen ausgelegt. TIBER-DE ist ganz bewusst kein bankenaufsichtliches Instrument. So soll die nötige Offenheit und Bereitschaft sichergestellt werden, nicht nur Symptome zu kurieren, sondern grundlegende Schwächen in der Cyberabwehr der Unternehmen auszubessern.

TIBER-DE Tests werden in drei Phasen durchgeführt: Zunächst wird im Rahmen einer Vorbereitungsphase der Test eingeleitet und sein Umfang bestimmt. Er umfasst mindestens die kritischen Funktionen des Unternehmens. Außerdem wird das Vertragswerk mit externen Anbietern zur Informationsbeschaffung und Angriffsdurchführung geschlossen. In der darauffolgenden Testphase werden Informationen über das Unternehmen gesammelt und dieses kontrollierten – aber realitätsnahen – Angriffen ausgesetzt. Dabei sind die angegriffenen operativen Stellen nicht über die Tests informiert, sodass der Test einem realen Angriff gleichkommt. Die gewonnenen Erkenntnisse werden in der Abschlussphase ausgetauscht und aus der Perspektive der Angreifer sowie der operativen, verteidigenden Stellen des Unternehmens diskutiert. Gefundene Schwachstellen werden im Rahmen der Umsetzung eines Behebungsplans geschlossen.

Mit der Umsetzung einheitlicher TIBER-Tests in Deutschland stellt die Bundesbank sicher, dass die Widerstandsfähigkeit der Unternehmen nicht nur auf dem Papier existiert, sondern auch praktisch und realitätsnah überprüft wird. TIBER-DE Tests ergänzen somit auf effektive Weise die vielfältigen bisherigen Bemühungen von Regulatoren, Überwachern und Unternehmen und leisten einen essentiellen Beitrag zur nachhaltigen Verbesserung der Cyberwiderstandsfähigkeit des deutschen Finanzsektors.