TIBER-AT

Threat-Led Penetration Testing zur Bekämpfung von Cyberrisiken

Die Abwehr von Cyberangriffen und der Umgang mit Cyberrisiken sind ein wichtiger Bestandteil des Risikomanagements von Finanzunternehmen.

Mit dem Inkrafttreten des „Digital Operational Resilience Act“ (DORA) Anfang 2023 wurden auf europäischer Ebene klare Vorgaben für das Management von Cyberrisiken im Finanzsektor definiert. Insbesondere wird ab 2025 mit DORA auch in Österreich die Durchführung von "Threat-Led Penetration Testing" (TLPT), einem spezifischen IT-Sicherheitstest, verpflichtend als Werkzeug des Risikomanagements und zur Bekämpfung von Cyberrisiken eingeführt.

Die konkrete Methodik, die für diese Tests gemäß DORA anzuwenden ist, beruht auf dem Rahmenwerk TIBER-EU.

TIBER-EU – einheitliches Rahmenwerk auf EU-Ebene für Threat-Led Penetration Testing

TIBER-EU ist ein vom Europäischen System der Zentralbanken (ESZB) entwickeltes Rahmenwerk für TLPT. TIBER steht für „Threat Intelligence-Based Ethical Red Teaming“. Dabei simulieren „ethische Hacker“ (Red Team) einen Angriff auf die IT-Systeme eines Finanzunternehmens und ermöglichen dadurch einen ganzheitlichen Blick auf das Sicherheitsniveau des Unternehmens.

TIBER-EU beinhaltet umfassende Vorgaben und Leitlinien für die Zusammenarbeit der jeweiligen Behörden, Finanzunternehmen und externen Cyberangriff-Spezialisten, um die Cyberresilienz der Finanzunternehmen durch kontrollierte Cyberangriffe zu testen und zu verbessern.

Bei der Simulation realitätsnaher Angriffe zielt TIBER-EU auf die kritischen Produktionssysteme eines Finanzunternehmens ab. Folglich werden die Tests unter strengen Sicherheitsvorkehrungen durchgeführt. Das getestete Finanzunternehmen ergreift dabei alle erforderlichen Maßnahmen, um sicherzustellen, dass keine Risiken für das Finanzunternehmen selbst oder seine Kunden entstehen.

TIBER-AT – Die nationale Umsetzung von TIBER-EU

TIBER-AT stellt die nationale Umsetzung des europäischen Rahmenwerkes TIBER-EU in Österreich dar. Der nationale „TIBER-AT Implementation Guide“ definiert die wesentlichen Elemente eines TIBER-AT-Tests und erläutert nationale Besonderheiten der Umsetzung von TIBER-EU in Österreich. Damit können auch in Österreich TLPT mit Finanzunternehmen nach dem standardisierten TIBER-EU-Verfahren durchgeführt werden.

Der TIBER-AT Implementation Guide reflektiert und berücksichtigt die Vorgaben aus DORA zu TLPT bereits weitgehend. Relevante Spezifizierungen, die sich aus dem für Mitte 2024 erwarteten technischen Regulierungsstandard (Verordnung (EU) 2022/2554, Artikel 26(11)) ergeben, werden gegen Ende des Jahres 2024 in den TIBER-AT Implementation Guide eingearbeitet.

Das TIBER Cyber Team der OeNB ist für die Umsetzung von TIBER-EU in Österreich zuständig und begleitet in Kooperation mit der FMA jeden TIBER-AT-Test. Finanzunternehmen, die TIBER-AT-Tests durchführen möchten, können sich an das TIBER Cyber Team der OeNB wenden.

Das TIBER Cyber Team der OeNB ist zudem für die Ausarbeitung und Weiterentwicklung des TIBER-AT Implementation Guide verantwortlich und Mitglied des TIBER-EU Knowledge Centres des ESZB, dass für die Erstellung und kontinuierliche Weiterentwicklung des entsprechenden Rahmenwerks auf europäischer Ebene zuständig ist.