Unternehmen des Finanzsektors sind aufgrund der zunehmenden Digitalisierung und des hohen Vernetzungsgrades besonders anfällig für Cyberrisiken. Daher ist es wichtig, die eigene Widerstandsfähigkeit gegenüber Cyberangriffen ständig und präventiv zu erhöhen, beispielsweise mit Hilfe von bedrohungsgeleiteten Penetrationstests. Das europäische Rahmenwerk TIBER-EU bietet hierfür Mindeststandards und definiert Best Practices.

Um TIBER-Tests auch dem deutschen Finanzsektor zugänglich zu machen, hat die Deutsche Bundesbank gemeinsam mit dem Bundesministerium der Finanzen beschlossen, das europäische Rahmenwerk als TIBER-DE in Deutschland umzusetzen. Das Implementierungsdokument wurde nun auf der Webseite der Deutschen Bundesbank veröffentlicht. 

TIBER-DE richtet sich an besonders relevante Akteure der Finanzindustrie in Deutschland. Geleitet vom Prinzip der freiwilligen Selbstverpflichtung sollen sich kritische deutsche Finanzinstitute, Versicherer, Marktinfrastrukturen und deren IT-Dienstleister in den nächsten Jahren einem TIBER-Test unterziehen. Ziel ist eine nachhaltige Stärkung der Cyberwiderstandsfähigkeit und damit die Stabilität des deutschen Finanzsektors.

Die konkrete Ausgestaltung von TIBER-DE sieht explizit keine Nutzung als aufsichtliches Instrument vor. Vielmehr soll ein TIBER-DE-Test dem getesteten Unternehmen konkrete Schwachstellen aufzeigen, um gezielt Verbesserungsbedarf zu identifizieren und Sicherheitslücken zeitnah schließen zu können. Hierfür dient etwa ein sogenannter Purple Teaming Workshop zum Abschluss eines TIBER-DE-Tests. Der Workshop stellt einen hohen Lerneffekt für die Unternehmen sicher, indem Angreifer (Red Team) und Verteidiger (Blue Team) den Test gemeinsam Schritt für Schritt rekapitulieren und Verbesserungspotential identifizieren. 

Zur Identifikation von Sicherheitslücken und industrieweiten Bedrohungsszenarien wird zudem ein Bericht zur nationalen Bedrohungslage unter Einbezug des Marktes erstellt, welcher allen Unternehmen zur Verfügung gestellt wird, die sich einem TIBER-DE-Test unterziehen. Weiterhin wird derzeit diskutiert, ob und in welcher Form die Sicherheitsbehörden einbezogen werden.

Zur Begleitung von TIBER-DE-Tests wurde ein nationales Kompetenzzentrum (TIBER Cyber Team – TCT) gegründet. Das TCT steht interessierten Unternehmen vor, während und nach dem Test als fachlicher Ansprechpartner und Berater zur Verfügung. 

Mit TIBER-DE stellt die Deutsche Bundesbank dem deutschen Finanzsektor ein wertvolles Tool zur Validierung der eigenen Cybersicherheit zur Verfügung. Mit einer Durchführung eines TIBER-DE-Tests können teilnehmende Unternehmen unmittelbar zur Sicherheit des Finanzplatzes Deutschlands beitragen.