Finanzbranche & Risiken. „Team Red“ erprobt demnächst die Cybersecurity der österreichischen Banken und Versicherer, sein Hauptquartier ist die OeNB: Grund ist das Euro-Rahmenwerk „TIBER-AT“.
Das Euro-Rahmenwerk „TIBER-AT“ verpflichtet Banken und Versicherer ab 2025 zu Penetration Tests, so die Finanzmarktaufsicht FMA: Mit TIBER-AT wird das Rahmenwerk des Eurosystems zur Simulation von Cyberangriffen in Österreich umgesetzt. Die Oesterreichische Nationalbank (OeNB) und die FMA haben dazu heute den gemeinsam entwickelten „TIBER-AT Implementation Guide“ publiziert (nähere Informationen gibt es bei der OeNB).
Mit TIBER-AT werde das vom Europäischen System der Zentralbanken (ESZB) entwickelte Rahmenwerk TIBER-EU für die Simulation realitätsnaher Cyberangriffe in Österreich umgesetzt. So soll die Finanzmarktstabilität auch im digitalen Raum gesichert werden.
Banken-IT als Ziel von Cyberangriffen
Angesichts der steigenden Abhängigkeit des Finanzsektors von Informations- und Kommunikationstechnologien ist dieser zu einem besonders attraktiven Ziel für Cyberangriffe geworden. Mit dem Inkrafttreten des „Digital Operational Resilience Act“ (DORA) im Jänner 2023 wurden europaweit einheitliche Anforderungen festgelegt, um die operative Betriebsstabilität von Finanzunternehmen zu stärken. Ab 2025 wird damit insbesondere die Durchführung von „Threat-Led Penetration Testing“ (TLPT) für ausgewählte Finanzunternehmen verpflichtend.
Die konkrete Ausgestaltung von TLPT werde aktuell auf europäischer Ebene erarbeitet und orientiert sich eng am TIBER-Standard. TIBER steht für „Threat Intelligence-Based Ethical Red Teaming“. Dabei simulieren sogenannte „ethische Hacker“ (Red Team) unter streng kontrollierten Bedingungen einen realitätsnahen Cyberangriff auf ein Finanzunternehmen. Dies ermögliche einen ganzheitlichen Blick auf dessen Cyber-Resilienz.
Die OeNB wird zum Hacker-Hauptquartier
Die zukünftigen TIBER-Tests werden von den Finanzunternehmen selbst beauftragt und in eigener Verantwortung durchgeführt. OeNB und FMA implementieren deshalb mit TIBER-AT bereits jetzt einen im europäischen Finanzsektor etablierten Standard, um den österreichischen Finanzunternehmen eine adäquate Vorbereitung auf TLPT zu ermöglichen, heißt es dazu.
Das bei der OeNB angesiedelte TIBER Cyber Team Österreich soll in Kooperation mit der FMA die Tests koordinieren und begleiten, um deren konsistente und regelkonforme Durchführung sicherzustellen. Nach Abschluss des Tests gibt es für das betreffende Finanzunternehmen eine entsprechende Attestierung durch die FMA.
