TIBER-DE Threat Intelligence-based Ethical Red Teaming in Deutschland

Cyberwiderstandsf?higkeit des Finanzsystems

Das Finanzsystem ist aufgrund der zunehmenden Digitalisierung und des hohen Vernetzungsgrades besonders anf?llig für Cyberrisiken. Gleichzeitig k?nnen erfolgreiche Angriffe erhebliche Sch?den verursachen, die potenziell weit über das betroffene Unternehmen und die Branche hinausgehen k?nnen und damit sowohl einen systemischen Effekt als auch ernste Folgen für die Realwirtschaft und die ?ffentlichkeit mit sich bringen k?nnen. Daher ist es insbesondere für Finanzunternehmen wichtig, ihre eigene Widerstandsf?higkeit gegenüber Cyberangriffen st?ndig und pr?ventiv zu erh?hen und diese auch konsequent mit modernen Methoden auf den Prüfstand zu stellen.

TIBER-EU: Ein Rahmenwerk für bedrohungsgeleitete Penetrationstests

Die Notenbanken des Europ?ischen Systems der Zentralbanken haben im Jahr 2018 mit TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ein Rahmenwerk zu bedrohungsgeleiteten Penetrationstests verabschiedet. Hierin werden Regeln und Mindeststandards festgelegt, nach welchen Unternehmen ihre Cyber-Abwehrf?higkeit durch beauftragte Hacker überprüfen lassen k?nnen. Motivation dieser Tests ist es, Schwachstellen in der Sicherheit des Unternehmens aufzuzeigen, um gezielt Verbesserungsbedarf identifizieren und Sicherheitslücken schlie?en zu k?nnen. Ein TIBER-EU-Test kann somit nicht bestanden werden und gilt als erfolgreich, sofern er regelkonform durchgeführt wurde. Innerhalb der Mitgliedsstaaten, die das TIBER-EU-Rahmenwerk umgesetzt haben, ist eine wechselseitige Anerkennung der Testteilnahme durch das Rahmenwerk vorgegeben.

TIBER-DE: Implementierung in Deutschland

Im Sommer 2019 haben das Bundesministerium der Finanzen (BMF) und die Deutsche Bundesbank beschlossen, das Rahmenwerk in Deutschland als Leistungsangebot der Deutschen Bundesbank umzusetzen. Es richtet sich in erster Linie an Banken, Versicherungen, Finanzmarktinfrastrukturen und wichtige Dienstleister der vorgenannten Unternehmen. Dabei ist die Teilnahme an TIBER-DE-Tests freiwillig: TIBER-DE ist nicht als aufsichtliches Instrument zu verstehen. Interessierte Unternehmen k?nnen sich unverbindlich über die Modalit?ten der Tests informieren (Kontakt siehe rechte Spalte).