{"id":47477,"date":"2023-11-24T10:00:00","date_gmt":"2023-11-24T09:00:00","guid":{"rendered":"https:\/\/www.fma.gv.at\/?page_id=47477"},"modified":"2025-07-29T10:10:30","modified_gmt":"2025-07-29T08:10:30","slug":"tiber-at","status":"publish","type":"page","link":"https:\/\/www.fma.gv.at\/en\/tiber-at\/","title":{"rendered":"Threat Intelligence-Based Ethical Red Teaming in Austria (TIBER-AT)"},"content":{"rendered":"

Threat-Led Penetration Testing<\/span> zur Bekämpfung von Cyber<\/span>risiken<\/h2>

Die Abwehr von Cyber<\/span>angriffen und der Umgang mit Cyber<\/span>risiken sind ein wichtiger Bestandteil des Risikomanagements von Finanzunternehmen.<\/p>

Mit dem Inkrafttreten des “Digital Operational Resilience Act<\/span>” (DORA) Anfang 2023 wurden auf europäischer Ebene klare Vorgaben für das Management von Cyber<\/span>risiken im Finanzsektor definiert. Insbesondere wird ab 2025 mit DORA<\/abbr> auch in Österreich die Durchführung von “Threat-Led Penetration Testing<\/span>” (TLPT), einem spezifischen IT<\/span>-Sicherheitstest, verpflichtend als Werkzeug des Risikomanagements und zur Bekämpfung von Cyber<\/span>risiken eingeführt.<\/p>

Die konkrete Methodik, die für diese Tests gemäß DORA<\/abbr> anzuwenden ist, beruht auf dem Rahmenwerk TIBER<\/abbr> -EU.<\/p>

TIBER-EU – einheitliches Rahmenwerk auf EU-Ebene für Threat-Led Penetration Testing<\/span><\/h2>

TIBER-EU ist ein vom Europäischen System der Zentralbanken (ESZB) entwickeltes Rahmenwerk für TLPT<\/abbr> . TIBER steht für “Threat Intelligence-Based Ethical Red Teaming”<\/span>. Dabei simulieren “ethische Hacker” (Red Team<\/span>) einen Angriff auf die IT<\/span>-Systeme eines Finanzunternehmens und ermöglichen dadurch einen ganzheitlichen Blick auf das Sicherheitsniveau des Unternehmens.<\/p>

TIBER<\/abbr> -EU beinhaltet umfassende Vorgaben und Leitlinien für die Zusammenarbeit der jeweiligen Behörden, Finanzunternehmen und externen Cyber<\/span>angriff-Spezialisten, um die Cyber<\/span>resilienz der Finanzunternehmen durch kontrollierte Cyber<\/span>angriffe zu testen und zu verbessern.<\/p>

Bei der Simulation realitätsnaher Angriffe zielt TIBER<\/abbr> -EU auf die kritischen Produktionssysteme eines Finanzunternehmens ab. Folglich werden die Tests unter strengen Sicherheitsvorkehrungen durchgeführt. Das getestete Finanzunternehmen ergreift dabei alle erforderlichen Maßnahmen, um sicherzustellen, dass keine Risiken für das Finanzunternehmen selbst oder seine Kunden entstehen.<\/p>

TIBER-AT – Die nationale Umsetzung von TIBER-EU<\/h2>

TIBER<\/abbr> -AT stellt die nationale Umsetzung des europäischen Rahmenwerkes TIBER<\/abbr> -EU in Österreich dar. Der nationale “TIBER<\/abbr> -AT Implementation Guide<\/span>” definiert die wesentlichen Elemente eines TIBER<\/abbr> -AT-Tests und erläutert nationale Besonderheiten der Umsetzung von TIBER<\/abbr> -EU in Österreich. Damit können auch in Österreich TLPT<\/abbr> mit Finanzunternehmen nach dem standardisierten TIBER<\/abbr> -EU-Verfahren durchgeführt werden.<\/p>

Der “TIBER<\/abbr> -AT Implementation Guide<\/span>” reflektiert und berücksichtigt die Vorgaben aus DORA<\/abbr> zu TLPT<\/abbr> bereits weitgehend. Relevante Spezifizierungen, die sich aus dem für Mitte 2024 erwarteten technischen Regulierungsstandard (Verordnung (EU) 2022\/2554, Artikel 26(11)) ergeben, werden gegen Ende des Jahres 2024 in den “TIBER<\/abbr> -AT Implementation Guide<\/span>” eingearbeitet.<\/p>

Das TIBER<\/abbr> Cyber<\/span> Team der Österreichischen Nationalbank ist für die Umsetzung von TIBER<\/abbr> -EU in Österreich zuständig und begleitet in Kooperation mit der FMA<\/abbr> jeden TIBER<\/abbr> -AT-Test. Finanzunternehmen, die TIBER<\/abbr> -AT-Tests durchführen möchten, können sich an das TIBER<\/abbr> Cyber Team der OeNB<\/abbr> wenden.<\/p>

Das TIBER<\/abbr> Cyber<\/span> Team der OeNB<\/abbr> ist zudem für die Ausarbeitung und Weiterentwicklung des “TIBER<\/abbr> -AT Implementation Guide<\/span>” verantwortlich und Mitglied des TIBER<\/abbr> -EU Knowledge Centers<\/span> des ESZB<\/abbr> , dass für die Erstellung und kontinuierliche Weiterentwicklung des entsprechenden Rahmenwerks auf europäischer Ebene zuständig ist.<\/p>

Externe Links<\/h2>

<\/span>Rechtsakte<\/h3>

<\/p>

Digital Operational Resilience Act (DORA) – Verordnung (EU) 2022\/2554<\/a><\/p><\/div>

<\/span>Links<\/h3>

<\/p>

What is TIBER-EU?<\/a> – Website of the ECB on TIBER-EU<\/span> (in englischer Sprache)<\/p><\/div>

<\/span>Downloads<\/h3>

<\/p>

TIBER-AT Implementation Guide<\/a> – PDF-Anleitung zum Download (in englischer Sprache)<\/p>\n

TIBER-EU Framework<\/a> – European framework for Threat Intelligence-based Ethical Red Teaming<\/span> (in englischer Sprache)<\/p><\/div>

<\/span>Kontakt Box<\/h3>

<\/p>

<\/p>\n

TIBER Cyber Team Österreich<\/p>\n

<\/p>\n

tct@oenb.at<\/a><\/p>\n

<\/p><\/div>\n","protected":false},"excerpt":{"rendered":"

zur Bekämpfung von risiken Die Abwehr von angriffen und der Umgang mit risiken sind ein wichtiger Bestandteil des Risikomanagements von …<\/p>\n","protected":false},"author":60,"featured_media":0,"parent":0,"menu_order":100,"comment_status":"closed","ping_status":"closed","template":"","meta":{"inline_featured_image":false,"footnotes":""},"class_list":["post-47477","page","type-page","status-publish","hentry"],"yoast_head":"\nThreat Intelligence-Based Ethical Red Teaming in Austria (TIBER-AT) - FMA \u00d6sterreich<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.fma.gv.at\/en\/tiber-at\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Threat Intelligence-Based Ethical Red Teaming in Austria (TIBER-AT) - FMA \u00d6sterreich\" \/>\n<meta property=\"og:description\" content=\"zur Bekämpfung von risiken Die Abwehr von angriffen und der Umgang mit risiken sind ein wichtiger Bestandteil des Risikomanagements von ...\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.fma.gv.at\/en\/tiber-at\/\" \/>\n<meta property=\"og:site_name\" content=\"FMA \u00d6sterreich\" \/>\n<meta property=\"article:modified_time\" content=\"2025-07-29T08:10:30+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.fma.gv.at\/wp-content\/uploads\/2017\/05\/FMA_FB_Logo.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"925\" \/>\n\t<meta property=\"og:image:height\" content=\"524\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:site\" content=\"@FMA_AT\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"4 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/tiber-at\\\/\",\"url\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/tiber-at\\\/\",\"name\":\"Threat Intelligence-Based Ethical Red Teaming in Austria (TIBER-AT) - FMA \u00d6sterreich\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/#website\"},\"datePublished\":\"2023-11-24T09:00:00+00:00\",\"dateModified\":\"2025-07-29T08:10:30+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/tiber-at\\\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/tiber-at\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/tiber-at\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Threat Intelligence-Based Ethical Red Teaming in Austria (TIBER-AT)\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/#website\",\"url\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/\",\"name\":\"FMA \u00d6sterreich\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/#organization\",\"name\":\"FMA - Finanzmarktaufsicht\",\"url\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.fma.gv.at\\\/wp-content\\\/uploads\\\/2017\\\/05\\\/FMA_Logo_Twitter_400x400.png\",\"contentUrl\":\"https:\\\/\\\/www.fma.gv.at\\\/wp-content\\\/uploads\\\/2017\\\/05\\\/FMA_Logo_Twitter_400x400.png\",\"width\":400,\"height\":400,\"caption\":\"FMA - Finanzmarktaufsicht\"},\"image\":{\"@id\":\"https:\\\/\\\/www.fma.gv.at\\\/en\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/x.com\\\/FMA_AT\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Threat Intelligence-Based Ethical Red Teaming in Austria (TIBER-AT) - FMA \u00d6sterreich","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.fma.gv.at\/en\/tiber-at\/","og_locale":"en_US","og_type":"article","og_title":"Threat Intelligence-Based Ethical Red Teaming in Austria (TIBER-AT) - FMA \u00d6sterreich","og_description":"zur Bekämpfung von risiken Die Abwehr von angriffen und der Umgang mit risiken sind ein wichtiger Bestandteil des Risikomanagements von ...","og_url":"https:\/\/www.fma.gv.at\/en\/tiber-at\/","og_site_name":"FMA \u00d6sterreich","article_modified_time":"2025-07-29T08:10:30+00:00","og_image":[{"width":925,"height":524,"url":"https:\/\/www.fma.gv.at\/wp-content\/uploads\/2017\/05\/FMA_FB_Logo.jpg","type":"image\/jpeg"}],"twitter_card":"summary_large_image","twitter_site":"@FMA_AT","twitter_misc":{"Est. reading time":"4 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.fma.gv.at\/en\/tiber-at\/","url":"https:\/\/www.fma.gv.at\/en\/tiber-at\/","name":"Threat Intelligence-Based Ethical Red Teaming in Austria (TIBER-AT) - FMA \u00d6sterreich","isPartOf":{"@id":"https:\/\/www.fma.gv.at\/en\/#website"},"datePublished":"2023-11-24T09:00:00+00:00","dateModified":"2025-07-29T08:10:30+00:00","breadcrumb":{"@id":"https:\/\/www.fma.gv.at\/en\/tiber-at\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.fma.gv.at\/en\/tiber-at\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.fma.gv.at\/en\/tiber-at\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.fma.gv.at\/en\/"},{"@type":"ListItem","position":2,"name":"Threat Intelligence-Based Ethical Red Teaming in Austria (TIBER-AT)"}]},{"@type":"WebSite","@id":"https:\/\/www.fma.gv.at\/en\/#website","url":"https:\/\/www.fma.gv.at\/en\/","name":"FMA \u00d6sterreich","description":"","publisher":{"@id":"https:\/\/www.fma.gv.at\/en\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.fma.gv.at\/en\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.fma.gv.at\/en\/#organization","name":"FMA - Finanzmarktaufsicht","url":"https:\/\/www.fma.gv.at\/en\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.fma.gv.at\/en\/#\/schema\/logo\/image\/","url":"https:\/\/www.fma.gv.at\/wp-content\/uploads\/2017\/05\/FMA_Logo_Twitter_400x400.png","contentUrl":"https:\/\/www.fma.gv.at\/wp-content\/uploads\/2017\/05\/FMA_Logo_Twitter_400x400.png","width":400,"height":400,"caption":"FMA - Finanzmarktaufsicht"},"image":{"@id":"https:\/\/www.fma.gv.at\/en\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/x.com\/FMA_AT"]}]}},"toolset-meta":[],"publishpress_future_action":{"enabled":false,"date":"2026-07-01 14:28:34","action":"change-status","newStatus":"draft","terms":[],"taxonomy":"translation_priority","extraData":[]},"publishpress_future_workflow_manual_trigger":{"enabledWorkflows":[]},"_links":{"self":[{"href":"https:\/\/www.fma.gv.at\/en\/wp-json\/wp\/v2\/pages\/47477","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.fma.gv.at\/en\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.fma.gv.at\/en\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.fma.gv.at\/en\/wp-json\/wp\/v2\/users\/60"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fma.gv.at\/en\/wp-json\/wp\/v2\/comments?post=47477"}],"version-history":[{"count":22,"href":"https:\/\/www.fma.gv.at\/en\/wp-json\/wp\/v2\/pages\/47477\/revisions"}],"predecessor-version":[{"id":11823732,"href":"https:\/\/www.fma.gv.at\/en\/wp-json\/wp\/v2\/pages\/47477\/revisions\/11823732"}],"wp:attachment":[{"href":"https:\/\/www.fma.gv.at\/en\/wp-json\/wp\/v2\/media?parent=47477"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}