TIBER-EU vs. TIBER-DE – Unterschiede der Cyber-Resilienz-Frameworks

Steve Gortol

8 min read
TIBER-EU vs. TIBER-DE – Unterschiede der Cyber-Resilienz-Frameworks

Die Skyline von Frankfurt am Main – Finanzzentrum Deutschlands – steht sinnbildlich für die im Fokus von TIBER stehenden kritischen Finanzinstitute. In Zeiten zunehmend komplexer Cyberangriffe auf Banken und andere Finanzakteure werden robuste Cyber-Resilienz-Strategien immer wichtiger. TIBER-EU und TIBER-DE sind Rahmenwerke für bedrohungsgeleitete “Red Team”-Tests, mit denen Finanzinstitute ihre Abwehrfähigkeiten durch realitätsnahe Angriffssimulationen überprüfen und verbessern können.

Was ist TIBER-EU?

TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) ist ein europäisches Rahmenwerk der Europäischen Zentralbank (EZB) für threat-intelligence-basierte ethische Hacking-Übungen. Es liefert umfassende Leitlinien, wie Behörden, Unternehmen sowie Threat-Intelligence-Anbieter und Red-Teaming-Tester zusammenarbeiten, um durch kontrollierte Cyberangriffe die Cyber-Resilienz von Institutionen zu testen und zu verbessern . Im Kern handelt es sich um einen einheitlichen Standard für fortgeschrittene, inteligenzgestützte Penetrationstests, die die Taktiken und Techniken echter Angreifer simulieren. Das Rahmenwerk wurde 2018 vom Eurosystem (EZB und nationale Zentralbanken) veröffentlicht und 2024 aktualisiert, um es an neue regulatorische Vorgaben wie DORA anzupassen .

Was ist TIBER-DE?

TIBER-DE ist die deutsche nationale Umsetzung des TIBER-EU-Rahmenwerks. Es wurde 2019 vom Bundesministerium der Finanzen und der Deutschen Bundesbank eingeführt, um die Cyber-Abwehrfähigkeit des deutschen Finanzsektors zu stärken . TIBER-DE (Threat Intelligence-basierte ethische Red Teaming-Tests) bietet einen Rahmen für realitätsnahe Angriffssimulationen auf freiwilliger Basis im deutschen Finanzsektor . Banken, Versicherer, Finanzmarktinfrastrukturen (z. B. Börsen, Zahlungsverkehrssysteme) und wichtige IT-Dienstleister dieser Institute können an TIBER-DE-Tests teilnehmen, um ihre Cyber-Resilienz unter realen Bedingungen zu überprüfen . Die Teilnahme ist grundsätzlich freiwillig, allerdings wird von bedeutenden Instituten erwartet, dass sie dieses Instrument nutzen, um ihren Beitrag zur Resilienz des gesamten Sektors zu leisten .

Geltungsbereich und Zielgruppen

TIBER-EU richtet sich vorrangig an große, systemrelevante Organisationen auf europäischer Ebene. Insbesondere zielt es auf Betreiber kritischer Finanzmarktinfrastrukturen und andere zentrale Finanzinstitutionen ab – einschließlich solcher, die grenzüberschreitend tätig sind oder unter die Aufsicht mehrerer Behörden fallen . Das Rahmenwerk kann prinzipiell aber in allen kritischen Sektoren angewendet werden, nicht nur im Finanzsektor . Neben Finanzinstituten können also auch nationale Behörden und Aufsichtsinstanzen TIBER-EU einsetzen. TIBER-EU stellt einen EU-weit harmonisierten Ansatz bereit, enthält jedoch neben verbindlichen Vorgaben auch optionale Elemente, die an nationale Besonderheiten angepasst werden können .

TIBER-DE adressiert vornehmlich den deutschen Finanzsektor. Die Zielgruppe umfasst Banken, Versicherungen, Zahlungsdienstleister, Börsen, zentrale Gegenparteien und andere Finanzmarktinfrastruktur-Betreiber sowie deren kritische IT-Dienstleister . Die Teilnahme an TIBER-DE ist – anders als in manchen anderen Ländern – (noch) nicht gesetzlich vorgeschrieben, sondern erfolgt freiwillig . Gleichwohl haben die Deutsche Bundesbank und BaFin deutlich gemacht, dass sie insbesondere von systemrelevanten Großbanken und bedeutenden Finanzdienstleistern erwarten, an TIBER-DE teilzunehmen . Damit soll sichergestellt werden, dass die zentralen Akteure des Finanzplatzes Deutschland ihre Cyber-Resilienz regelmäßig auf die Probe stellen und gemeinsam ein hohes Sicherheitsniveau gewährleisten.

Rechtlicher Rahmen und regulatorischer Kontext

TIBER-EU ist formal eine Empfehlung bzw. ein Rahmenwerk des Eurosystems, kein bindendes Gesetz. Es wurde jedoch bewusst so konzipiert, dass es mit regulatorischen Anforderungen vereinbar ist. So werden z. B. die Anforderungen an „Threat Led Penetration Tests“ (TLPT) der EU-Verordnung 2022/2554 (Digital Operational Resilience Act, DORA) durch einen nach TIBER-EU durchgeführten Test erfüllt . Die Aktualisierung des TIBER-EU-Frameworks im Jahr 2024 stellt sicher, dass TIBER-Tests den technischen Regulierungsstandards von DORA entsprechen . Dadurch kann ein Institut mit einem TIBER-EU-Test gleichzeitig seinen gesetzlichen Pflichten zur Durchführung solcher fortgeschrittenen Penetrationstests nachkommen.

TIBER-DE ist in Deutschland derzeit kein verpflichtendes Prüfverfahren, sondern ein freiwilliges Angebot der Behörden . Die Durchführung eines TIBER-DE-Tests erfolgt „aufsichtsfern“, das heißt die Deutsche Bundesbank hat das Programm bewusst außerhalb der direkten Bankenaufsicht angesiedelt . So sollen Institute ohne regulatorischen Druck teilnehmen können, wobei die Vertraulichkeit sensibler Ergebnisse gewahrt bleibt – das TIBER Cyber Team teilt keine Detailergebnisse mit der BaFin oder anderen Aufsehern, solange keine gravierenden Risiken für das Finanzsystem bestehen. Perspektivisch gewinnt TIBER-DE jedoch an Bedeutung als Instrument zur Erfüllung regulatorischer Anforderungen: Da DORA für bedeutende Finanzunternehmen regelmäßige Bedrohungstests vorschreibt, dürfte TIBER-DE in Zukunft de facto zum Standard werden, um diese Pflicht in Deutschland zu erfüllen. Die Deutsche Bundesbank und BaFin haben TIBER-DE gemeinsam entwickelt  und stimmen es auf die europäischen Vorgaben ab, sodass ein nach TIBER-DE durchgeführter Test alle EU-weit geforderten Kriterien erfüllt.

Umsetzung und Koordination

TIBER-EU sieht vor, dass jedes Land das Rahmenwerk durch eine nationale zuständige Behörde umsetzt. In der Praxis haben bereits mehrere EU-Staaten eigene TIBER-Programme aufgelegt (z. B. TIBER-NL in den Niederlanden, TIBER-BE in Belgien, TIBER-DK in Dänemark) . Die EZB fungiert übergreifend als Koordinator und stellt mit dem TIBER-EU Knowledge Centre zentrale Ressourcen und Updates bereit. Die konkrete Durchführung eines TIBER-EU-Tests erfolgt in enger Zusammenarbeit zwischen dem getesteten Unternehmen, externen Dienstleistern (für Threat Intelligence und Red Team) und dem jeweiligen TIBER Cyber Team der zuständigen Behörde . Dieses TIBER Cyber Team überwacht den Testablauf und stellt sicher, dass alle Anforderungen des TIBER-EU-Rahmenwerks eingehalten werden . Dadurch wird unter anderem die gegenseitige Anerkennung der Testergebnisse in verschiedenen Jurisdiktionen ermöglicht. TIBER-EU legt großen Wert auf diese grenzüberschreitende Koordination, um Doppeltestungen zu vermeiden und den Aufwand für international tätige Institute zu reduzieren .

TIBER-DE wird von der Deutschen Bundesbank in Zusammenarbeit mit der BaFin als nationales Kompetenzzentrum betrieben. Das sogenannte TIBER Cyber Team Deutschland (TCT) ist bei der Bundesbank (im Bereich Zahlungsverkehr und Abwicklungssysteme) angesiedelt und fungiert als zentrale Stelle für Planung und Betreuung der Tests . Das TCT begleitet jedes teilnehmende Unternehmen durch den gesamten Testprozess, unterstützt mit fachlichem Know-how, überwacht die Einhaltung der TIBER-Standards und dient als Kommunikationsschnittstelle nach außen . Für jeden TIBER-DE-Test stellt die Bundesbank einen TIBER Test Manager (TTM) aus dem Cyber Team bereit, der als fester Ansprechpartner das Unternehmen während des gesamten Ablaufs betreut . Zu Beginn eines Tests findet ein Launch-Meeting mit dem Unternehmen, dem TIBER Cyber Team und optional der BaFin statt, um den Scope (Umfang und Ziele) festzulegen . Das getestete Unternehmen stellt wiederum ein internes White Team auf, das den Test intern steuert und mit dem TTM kommuniziert . Insgesamt erfolgt die Umsetzung in Deutschland in enger Anlehnung an das europäische Framework . Das TIBER-DE-Umsetzungsdokument basiert auf dem TIBER-EU-Rahmenwerk und beschreibt detailliert alle Phasen, Aktivitäten und Berichtsvorgaben eines Tests .

Rollen und Akteure in TIBER-Tests

Ein TIBER-Test umfasst mehrere definierte Rollen, die im europäischen Rahmenwerk klar beschrieben sind und auch in TIBER-DE identisch zum Einsatz kommen. Diese Rollen verteilen Verantwortlichkeiten zwischen dem getesteten Unternehmen, externen Dienstleistern und der Aufsichts- bzw. Begleitbehörde:
• Blue Team – die IT-Sicherheits- und Abwehrteams der Ziel-Organisation, deren Präventions-, Detektions- und Reaktionsfähigkeiten getestet werden, ohne dass sie vorab über den Test informiert sind . Das Blue Team agiert also wie in einem Ernstfall, ohne zu wissen, dass es sich um eine Übung handelt.
• Threat Intelligence Provider (TI-Anbieter) – ein externer Dienstleister, der im Vorfeld Informationen über potenzielle Angreifer und Schwachstellen des Zielunternehmens recherchiert und ein maßgeschneidertes Bedrohungsbild erstellt . Diese Aufklärung stellt sicher, dass die simulierten Angriffe realistisch und für das Unternehmen relevant sind.
• Red Team (Angreifer-Team) – ein spezialisiertes ethisches Hacking-Team (häufig extern beauftragt), das den simulierten Cyberangriff durchführt . Das Red Team versucht mit Techniken echter Cyberkrimineller die zuvor definierten kritischen Funktionen des Unternehmens zu kompromittieren, um Schwachstellen aufzudecken.
• White Team (Kontrollteam) – eine kleine Gruppe innerhalb der getesteten Organisation, die als einzige intern über den geplanten Test Bescheid weiß und diesen autorisiert. Das White Team koordiniert den Test intern, legt in Abstimmung mit der Geschäftsleitung den genauen Umfang und die Ziele fest und arbeitet eng mit dem TIBER Cyber Team zusammen . Es stellt sicher, dass der Test sicher durchgeführt wird und die richtigen Bereiche geprüft werden, ohne unnötige Risiken für den Geschäftsbetrieb einzugehen.
• TIBER Cyber Team – das Team bei der zuständigen Behörde (z. B. Bundesbank für TIBER-DE), welches den Test überwacht und als neutraler Moderator fungiert . Das TIBER Cyber Team stellt die Einhaltung des TIBER-Rahmenwerks sicher und prüft am Ende, ob alle Vorgaben erfüllt wurden. Nur wenn dies der Fall ist, wird ein Test als „TIBER-konform“ attestiert, was die gegenseitige Anerkennung durch andere Aufsichtsbehörden ermöglicht .

Durch diese Rollenaufteilung ist gewährleistet, dass einerseits die Vertraulichkeit und Sicherheit des Tests gewahrt bleibt (Blue Team bleibt ahnungslos, Ergebnisse verbleiben intern), andererseits aber eine robuste Kontrollinstanz besteht (White Team und TIBER Cyber Team), die die Qualität und Sicherheit der Übung sicherstellt.

Umfang, Ablauf und formale Anforderungen

Testumfang (Scope): Sowohl TIBER-EU als auch TIBER-DE legen den Fokus auf die sogenannten kritischen Funktionen eines Instituts – also die wichtigsten Geschäftsprozesse, Systeme und Assets, deren Ausfall ein erhebliches Risiko darstellen würde  . In der Scoping-Phase eines TIBER-Tests werden diese kritischen Prozesse definiert und die Rahmenbedingungen des Angriffs festgelegt. Typischerweise umfasst der Test alle relevanten Komponenten: Technologie (Netzwerke, Server, Anwendungen), Mensch (Mitarbeiter, Prozesse) und physische Sicherheitsaspekte, sofern zutreffend. Der Umfang wird vom White Team des Unternehmens in Abstimmung mit dem TIBER Cyber Team festgelegt und von der Geschäftsleitung genehmigt .

Ablauf in Phasen: Der TIBER-Framework definiert einen mehrstufigen Ablauf. In beiden Varianten – EU und DE – durchläuft ein Test folgende Phasen:
1. Vorbereitung (Preparation): Planung des Tests, Zusammenstellung des White Teams, Auswahl und Beauftragung der externen Dienstleister (TI-Provider und Red Team) sowie ein Kick-off/Launch-Meeting mit allen Beteiligten . Zudem kann optional vorab eine Generische Bedrohungslage (Generic Threat Landscape) erstellt werden, um allgemeine branchenspezifische Bedrohungen zu sammeln .
2. Threat Intelligence (Aufklärung): Der TI-Provider sammelt detaillierte Informationen über das Zielunternehmen und erstellt einen Threat Intelligence Report mit empfohlenen Szenarien für den Angriff. Diese Phase liefert die Grundlage für die anschließende Angriffssimulation.
3. Red Team Test (Angriffssimulation): Das Red Team plant auf Basis der TI-Erkenntnisse konkrete Angriffswege (Red Team Test Plan) und führt dann den simulierten Angriff durch, der sich über einen längeren Zeitraum erstrecken kann. Dabei werden verschiedene Techniken eingesetzt, um in die kritischen Systeme einzudringen – möglichst ohne vom Blue Team entdeckt zu werden. Die Handlungen des Red Teams werden eng durch das White Team und das TIBER Cyber Team kontrolliert, um reale Schäden zu vermeiden.
4. Abschluss und Auswertung (Closure): Nach Abschluss des simulierten Angriffs wertet das Red Team gemeinsam mit dem White Team die Ergebnisse aus. Das Blue Team erstellt unabhängig einen Bericht über die detektierten Ereignisse (Blue Team Report). Alle Erkenntnisse fließen in einen umfassenden Testbericht zusammen . Abschließend wird ein Remediation Plan (Maßnahmenplan) entwickelt, der beschreibt, wie die gefundenen Schwachstellen behoben werden sollen . Das TIBER Cyber Team stellt eine Zusammenfassung (Test Summary Report) sowie eine formale TIBER-Attestierung aus, die bestätigt, dass der Test gemäß den Rahmenwerks-Vorgaben durchgeführt wurde .

Formale Anforderungen und Dokumentation: Um als TIBER-konform zu gelten, müssen bestimmte Dokumente und Prozesse eingehalten werden. Dazu gehören unter anderem:
• ein schriftlich fixierter Scope (Scoping-Dokument),
• ein Threat Intelligence Report (TI-Report) mit aktuellem Bedrohungsprofil,
• ein Red Team Test Plan (Angriffsplan) und später ein detaillierter Red Team Report mit den Ergebnissen,
• ein Blue Team Report (Sicht des Verteidigungsteams auf den Vorfall),
• sowie ein abschließender Testbericht und eine Management-Präsentation der Ergebnisse .

Beide Frameworks stellen Vorlagen und Leitfäden für diese Artefakte bereit, um eine hohe Einheitlichkeit sicherzustellen . Insbesondere TIBER-EU liefert umfangreiche Templates, die in TIBER-DE meistens direkt übernommen oder geringfügig lokal angepasst werden . Die formalen Anforderungen sind somit weitgehend identisch – TIBER-DE nutzt die von TIBER-EU vorgegebenen Mindeststandards, ergänzt um deutsche Übersetzungen und ggf. kleinere prozessuale Anpassungen, ohne die Substanz zu ändern. Wichtig ist, dass am Ende ein TIBER-Attest steht, das vom TIBER Cyber Team erteilt wird und bestätigt, dass alle Pflichtanforderungen erfüllt sind . Dieses Attest ist Grundlage dafür, dass andere Aufsichtsbehörden in der EU das Testergebnis anerkennen.

EU-weite Anerkennung und Vergleichbarkeit

Ein zentrales Anliegen von TIBER-EU ist die gegenseitige Anerkennung der Testergebnisse über Ländergrenzen hinweg. Wenn ein Institut einen TIBER-Test erfolgreich durchführt und alle vom Rahmenwerk geforderten Elemente erfüllt, wird dieser Test grundsätzlich von den relevanten Behörden in anderen EU-Staaten akzeptiert . Das bedeutet: Eine Bank, die in Deutschland einen TIBER-DE-Test absolviert hat, muss nicht in jedem weiteren Land einen separaten ähnlichen Test durchführen, sondern kann das erlangte Testzertifikat bzw. die Dokumentation bei den dortigen Aufsehern vorlegen. Voraussetzung ist, dass der Test alle pflichtigen Kernkomponenten des TIBER-EU-Frameworks eingehalten hat – daher die enge Einbindung des TIBER Cyber Teams, das die Einhaltung bestätigt .

TIBER-DE ist so gestaltet, dass seine Ergebnisse vollständig TIBER-EU-kompatibel sind. Die Bundesbank aktualisiert das deutsche Rahmenwerk entsprechend den Weiterentwicklungen auf EU-Ebene fortlaufend . Dadurch ist sichergestellt, dass ein nach TIBER-DE durchgeführter Test den gleichen Qualitäts- und Sicherheitsstandards entspricht wie ein TIBER-EU-Test. Unterschiede in der Anerkennung gibt es daher nicht: Ein TIBER-DE-Test ist faktisch ein TIBER-EU-Test unter nationaler Regie und genießt EU-weite Anerkennung, sofern die genannten Bedingungen erfüllt sind.

Abschließend lässt sich festhalten, dass TIBER-EU und TIBER-DE in einem engen Verhältnis stehen: TIBER-EU liefert den übergeordneten Standard und sorgt für Konsistenz und Vergleichbarkeit in ganz Europa, während TIBER-DE diesen Standard in die Praxis des deutschen Finanzsektors übersetzt und operativ umsetzt. Für Finanzinstitute und Entscheider bedeutet dies, dass sie mit TIBER-DE einen international abgestimmten Testansatz nutzen, der nicht nur die eigene Cyber-Resilienz stärkt, sondern auch gegenüber Aufsehern im In- und Ausland als Best Practice anerkannt wird. Dieses Wissen kann bei Ausschreibungen und Entscheidungen im Bereich der IT-Sicherheit einen echten Mehrwert bieten, da TIBER-getestete Institute ihr erhöhtes Sicherheitsniveau glaubhaft nachweisen können.

Quellen: Europäische Zentralbank     ; Deutsche Bundesbank  ; BaFin ; BaFinPerspektiven  .

Read more

Warum Unternehmen ein TIBER-Testverfahren durchführen sollten

Warum Unternehmen ein TIBER-Testverfahren durchführen sollten

Einführung In einer Zeit zunehmender Cyberangriffe und strenger werdender regulatorischer Anforderungen stellen sich viele Unternehmen die Frage, wie sie ihre Cyber-Resilienz – also die Widerstandsfähigkeit gegen IT-Angriffe – realistisch einschätzen und verbessern können. Klassische Sicherheitsmaßnahmen und Standard-Penetrationstests reichen oft nicht aus, um moderne, gezielte Angriffe zu simulieren. Hier kommt das TIBER-Testverfahren ins

By Steve Gortol
alt text 2025-05-21 12:12

TIBER-DE: Das Rahmenwerk für realistische Cyber-Resilienztests im deutschen Finanzsektor

Was ist TIBER-DE? TIBER-DE steht für „Threat Intelligence-based Ethical Red Teaming – Deutschland“. Es handelt sich um ein Rahmenwerk, das realitätsnahe Cyberangriffe simuliert, um die Widerstandsfähigkeit (Cyber-Resilienz) von Unternehmen im Finanzsektor zu testen. Dabei werden gezielte Angriffsszenarien auf kritische Geschäftsprozesse durchgeführt, um Schwachstellen in Technik, Prozessen und beim Personal aufzudecken. Die

By Steve Gortol