Logo: TIBER-DE

TIBER-DE Threat Intelligence-based Ethical Red Teaming in Deutschland

Cyberwiderstandsfähigkeit des Finanzsystems

Das Finanzsystem ist aufgrund der zunehmenden Digitalisierung und des hohen Vernetzungsgrades besonders anfällig für Cyberrisiken. Gleichzeitig können erfolgreiche Angriffe erhebliche Schäden verursachen, die potenziell weit über das betroffene Unternehmen und die Branche hinausgehen können und damit sowohl einen systemischen Effekt als auch ernste Folgen für die Realwirtschaft und die Öffentlichkeit mit sich bringen können. Daher ist es insbesondere für Finanzunternehmen wichtig, ihre eigene Widerstandsfähigkeit gegenüber Cyberangriffen ständig und präventiv zu erhöhen und diese auch konsequent mit modernen Methoden auf den Prüfstand zu stellen.

TIBER-EU: Ein Rahmenwerk für bedrohungsgeleitete Penetrationstests

Die Notenbanken des Europäischen Systems der Zentralbanken haben im Jahr 2018 mit TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ein Rahmenwerk zu bedrohungsgeleiteten Penetrationstests verabschiedet. Hierin werden Regeln und Mindeststandards festgelegt, nach welchen Unternehmen ihre Cyber-Abwehrfähigkeit durch beauftragte Hacker überprüfen lassen können. Motivation dieser Tests ist es, Schwachstellen in der Sicherheit des Unternehmens aufzuzeigen, um gezielt Verbesserungsbedarf identifizieren und Sicherheitslücken schließen zu können. Ein TIBER-EU-Test kann somit nicht bestanden werden und gilt als erfolgreich, sofern er regelkonform durchgeführt wurde. Innerhalb der Mitgliedsstaaten, die das TIBER-EU-Rahmenwerk umgesetzt haben, ist eine wechselseitige Anerkennung der Testteilnahme durch das Rahmenwerk vorgegeben.

TIBER-DE: Implementierung in Deutschland

Im Sommer 2019 haben das Bundesministerium der Finanzen (BMF) und die Deutsche Bundesbank beschlossen, das Rahmenwerk in Deutschland als Leistungsangebot der Deutschen Bundesbank umzusetzen. Es richtet sich in erster Linie an Banken, Versicherungen, Finanzmarktinfrastrukturen und wichtige Dienstleister der vorgenannten Unternehmen. Dabei ist die Teilnahme an TIBER-DE-Tests freiwillig: TIBER-DE ist nicht als aufsichtliches Instrument zu verstehen. Das TIBER-DE-Umsetzungsdokument („Implementierung von TIBER-DE“) wurde im Herbst 2021 angepasst, um die praktischen Erfahrungen aus den ersten durchgeführten TIBER-DE-Tests zu berücksichtigen. In Version 2.0 des Dokuments wurden dabei insbesondere Änderungen vorgenommen, die sowohl den Testablauf als auch das Risikomanagement bei der Testdurchführung weiter optimieren sollen. Interessierte Unternehmen können sich unverbindlich über die Modalitäten der Tests informieren.