Threat-Led Penetration Testing zur Bekämpfung von Cyberrisiken
Die Abwehr von Cyberangriffen und der Umgang mit Cyberrisiken sind ein wichtiger Bestandteil des Risikomanagements von Finanzunternehmen.
Mit dem Inkrafttreten des „Digital Operational Resilience Act“ (DORA) Anfang 2023 wurden auf europäischer Ebene klare Vorgaben für das Management von Cyberrisiken im Finanzsektor definiert. Insbesondere wird ab 2025 mit DORA auch in Österreich die Durchführung von „Threat-Led Penetration Testing“ (TLPT), einem spezifischen IT-Sicherheitstest, verpflichtend als Werkzeug des Risikomanagements und zur Bekämpfung von Cyberrisiken eingeführt.
Die konkrete Methodik, die für diese Tests gemäß DORA anzuwenden ist, beruht auf dem Rahmenwerk TIBER -EU.
TIBER-EU – einheitliches Rahmenwerk auf EU-Ebene für Threat-Led Penetration Testing
TIBER-EU ist ein vom Europäischen System der Zentralbanken (ESZB) entwickeltes Rahmenwerk für TLPT . TIBER steht für „Threat Intelligence-Based Ethical Red Teaming“. Dabei simulieren „ethische Hacker“ (Red Team) einen Angriff auf die IT-Systeme eines Finanzunternehmens und ermöglichen dadurch einen ganzheitlichen Blick auf das Sicherheitsniveau des Unternehmens.
TIBER -EU beinhaltet umfassende Vorgaben und Leitlinien für die Zusammenarbeit der jeweiligen Behörden, Finanzunternehmen und externen Cyberangriff-Spezialisten, um die Cyberresilienz der Finanzunternehmen durch kontrollierte Cyberangriffe zu testen und zu verbessern.
Bei der Simulation realitätsnaher Angriffe zielt TIBER -EU auf die kritischen Produktionssysteme eines Finanzunternehmens ab. Folglich werden die Tests unter strengen Sicherheitsvorkehrungen durchgeführt. Das getestete Finanzunternehmen ergreift dabei alle erforderlichen Maßnahmen, um sicherzustellen, dass keine Risiken für das Finanzunternehmen selbst oder seine Kunden entstehen.
TIBER-AT – Die nationale Umsetzung von TIBER-EU
TIBER -AT stellt die nationale Umsetzung des europäischen Rahmenwerkes TIBER -EU in Österreich dar. Der nationale „TIBER -AT Implementation Guide“ definiert die wesentlichen Elemente eines TIBER -AT-Tests und erläutert nationale Besonderheiten der Umsetzung von TIBER -EU in Österreich. Damit können auch in Österreich TLPT mit Finanzunternehmen nach dem standardisierten TIBER -EU-Verfahren durchgeführt werden.
Der „TIBER -AT Implementation Guide“ reflektiert und berücksichtigt die Vorgaben aus DORA zu TLPT bereits weitgehend. Relevante Spezifizierungen, die sich aus dem für Mitte 2024 erwarteten technischen Regulierungsstandard (Verordnung (EU) 2022/2554, Artikel 26(11)) ergeben, werden gegen Ende des Jahres 2024 in den „TIBER -AT Implementation Guide“ eingearbeitet.
Das TIBER Cyber Team der Österreichischen Nationalbank ist für die Umsetzung von TIBER -EU in Österreich zuständig und begleitet in Kooperation mit der FMA jeden TIBER -AT-Test. Finanzunternehmen, die TIBER -AT-Tests durchführen möchten, können sich an das TIBER Cyber Team der OeNB wenden.
Das TIBER Cyber Team der OeNB ist zudem für die Ausarbeitung und Weiterentwicklung des „TIBER -AT Implementation Guide“ verantwortlich und Mitglied des TIBER -EU Knowledge Centers des ESZB , dass für die Erstellung und kontinuierliche Weiterentwicklung des entsprechenden Rahmenwerks auf europäischer Ebene zuständig ist.
Externe Links
Links
What is TIBER-EU? – Website of the ECB on TIBER-EU (in englischer Sprache)
Downloads
TIBER-AT Implementation Guide – PDF-Anleitung zum Download (in englischer Sprache)
TIBER-EU Framework – European framework for Threat Intelligence-based Ethical Red Teaming (in englischer Sprache)