TIBER-AT

Threat Intelligence-Based Ethical Red Teaming in Österreich

Cyberresilienz des Finanzsektors durch bedrohungsorientierte Penetrationstests (Threat-Led Penetration Testing – TLPT) stärken

Mit der 2025 in Kraft getretenen Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act – DORA) wurden die Anforderungen für den Umgang mit Cyberrisiken im Finanzsektor in der gesamten EU harmonisiert. DORA verpflichtet systemrelevante Finanzunternehmen, die zentrale Finanzdienstleistungen anbieten, u. a. zur Durchführung bedrohungsorientierter Penetrationstests (Threat-Led Penetration Testing – TLPT) grundsätzlich in einem Drei-Jahres-Zyklus. Dadurch sollen diese Unternehmen ihre Widerstandsfähigkeit gegen technisch ausgereifte Cyberangriffe testen und verbessern.

Die gemäß DORA in Österreich angewandte TLPT-Methode beruht auf dem europäischen Rahmenwerk TIBER-EU.

TIBER-EU – harmonisierter EU-Rahmen für bedrohungsorientierte Penetrationstests

Das TIBER-EU-Rahmenwerk wurde 2018 gemeinsam vom Europäischen System der Zentralbanken (ESZB) entwickelt und im Jänner 2025 aktualisiert, um den DORA-Anforderungen und den technischen Regulierungsstandards für TLPT zu entsprechen. TIBER steht für „Threat Intelligence-Based Ethical Red Teaming“. Im Rahmen von TIBER-EU simulieren „ethische Hacker“ (Red Team) einen Angriff auf die Live-Produktionssysteme eines Finanzunternehmens. Folglich werden die Tests unter strengen Sicherheitsvorkehrungen durchgeführt. Das getestete Finanzunternehmen muss dabei alle erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass keine Risiken für das Unternehmen selbst oder seine Kund:innen entstehen.

Dabei werden die Tests nicht im Sinne von „bestanden“ oder „nicht bestanden“ bewertet, sondern sind als Lernerfahrung konzipiert, die dem getesteten Finanzunternehmen maximalen Nutzen bringen und zu mehr Cyberreife verhelfen soll.

TIBER-AT – die nationale Umsetzung von TIBER-EU

TIBER-AT stellt die Umsetzung von TIBER-EU in Österreich dar und erläutert nationale Besonderheiten. Dadurch ermöglicht TIBER-AT die Durchführung von TLPT gemäß DORA nach standardisierten TIBER-EU-Verfahren. Bis zur Anwendung der neuen regulatorischen Anforderungen gemäß DORA konnten bereits einige Finanzunternehmen im Rahmen eines freiwilligen TIBER-AT-Tests wertvolle Erfahrungen sammeln und damit ihre Cyberresilienz stärken.

Das TIBER Cyber Team der OeNB (TCT-AT) ist für TIBER-AT verantwortlich und begleitet alle Tests in Kooperation mit der Finanzmarktaufsicht (FMA) oder, im Fall bedeutender Kreditinstitute, mit der Europäischen Zentralbank (EZB).