Warum Unternehmen ein TIBER-Testverfahren durchführen sollten

Steve Gortol

15 min read
Warum Unternehmen ein TIBER-Testverfahren durchführen sollten

Einführung

In einer Zeit zunehmender Cyberangriffe und strenger werdender regulatorischer Anforderungen stellen sich viele Unternehmen die Frage, wie sie ihre Cyber-Resilienz – also die Widerstandsfähigkeit gegen IT-Angriffe – realistisch einschätzen und verbessern können. Klassische Sicherheitsmaßnahmen und Standard-Penetrationstests reichen oft nicht aus, um moderne, gezielte Angriffe zu simulieren. Hier kommt das TIBER-Testverfahren ins Spiel. TIBER steht für Threat Intelligence-Based Ethical Red Teaming und bezeichnet ein anspruchsvolles Testframework, bei dem spezialisierte Teams kontrollierte Angriffe auf ein Unternehmen durchführen, die dem Vorgehen echter Cyberkrimineller nachempfunden sind. Das Ziel ist nicht, einen “Test zu bestehen” oder zu scheitern – vielmehr sollen Stärken und Schwächen der bestehenden Sicherheitsmaßnahmen aufgedeckt werden, um daraus zu lernen und das Sicherheitsniveau gezielt zu erhöhen.

Die Motivation dahinter ist klar: Erfolgreiche Cyberattacken können enorme Schäden verursachen – finanziell, operativ und reputativ. Gerade im hochvernetzten Finanz- und Unternehmenssektor können erfolgreiche Angriffe sogar systemische Auswirkungen haben und Dritte in Mitleidenschaft ziehen. TIBER-Tests bieten einen modernen Ansatz, solchen Gefahren präventiv zu begegnen, indem Unternehmen ihre Abwehr kontinuierlich und unter realistischen Bedingungen prüfen und verbessern. Dieses Whitepaper liefert einen praxisnahen Leitfaden für IT-Entscheider und Einkäufer mit begrenztem technischem Vorwissen. Es zeigt wirtschaftliche Vorteile (inklusive ROI-Betrachtungen) auf, erläutert an Beispielen, wie TIBER-Tests Sicherheitslücken enthüllen, gibt Einblick in die technische Durchführung (Threat Intelligence und Red Teaming) und beleuchtet den Einfluss auf Cyber-Versicherungen.

Was ist TIBER und wie funktioniert es?

TIBER wurde 2018 von der Europäischen Zentralbank (EZB) initiiert, um einen einheitlichen Rahmen für bedrohungsgeleitete Penetrationstests in Europa zu schaffen . Ein TIBER-Test unterscheidet sich deutlich von herkömmlichen Sicherheitstests: Threat Intelligence-Experten sammeln zunächst unternehmensspezifische Bedrohungsinformationen – z.B. welche Hackergruppen und Angriffsmethoden für die Branche und das konkrete Unternehmen besonders relevant sind  . Auf Basis dieser Erkenntnisse entwickelt ein Red Team (ein Team ethischer Hacker, das vom Unternehmen beauftragt wird) ein maßgeschneidertes Angriffsszenario. Dieses Szenario orientiert sich an den Taktiken, Techniken und Prozessen (Tactics, Techniques & Procedures, TTPs) echter Angreifer und fokussiert auf die kritischen Geschäftsprozesse und Systeme des Unternehmens . Wichtig: Nicht nur technische Schwachstellen werden ins Visier genommen, sondern auch der “Faktor Mensch” – etwa durch Social Engineering oder Phishing-Angriffe auf Mitarbeiter . Dadurch deckt ein TIBER-Test Lücken in Technik, Prozessen und Mitarbeiterawareness auf, während klassische Pentests oft nur Technik prüfen.

Ein vollständiger TIBER-Test läuft typischerweise in drei Phasen ab  :

  1. Vorbereitung: Zusammen mit der zuständigen Aufsichtsbehörde (falls erforderlich) wird der genaue Scope festgelegt – welche Geschäftsbereiche und Systeme sind “kritisch” und sollen getestet werden? Die involvierten Parteien (Threat Intelligence Provider, Red Team Provider und ein kleiner interner Personenkreis – das sogenannte White Team – im Unternehmen) vereinbaren Spielregeln, sodass der Test sicher und kontrolliert abläuft.
  2. Angriffsphase (Red Teaming): Über mehrere Wochen hinweg versucht das Red Team, die zuvor definierten Ziele zu kompromittieren – ohne dabei entdeckt zu werden. Sie nutzen reale Angriffswege: vom unauffälligen digitalen Eindringen in Netzwerke, über das Einschleusen von Malware bis hin zu physischen Zutrittsversuchen, je nach Szenario. Die Verteidiger (das interne Blue Team, z.B. Security Operations Center) wissen nicht, dass es sich um einen Test handelt, damit ihre Erkennungs- und Reaktionsfähigkeiten authentisch geprüft werden  . Gelingt es dem Blue Team, die Angreifer zu enttarnen, wird dies als Erfolg verbucht – der Test wird dann ggf. angepasst, um weitere Schwachstellen zu prüfen, anstatt einfach abgebrochen zu werden .
  3. Auswertung und Closure: Am Ende werden die Ergebnisse offen gelegt. Red Team, Blue Team und ggf. Vertreter der Aufsicht setzen sich zusammen (Closure Meeting). Jede erkannte Schwachstelle und jeder erfolgreiche Abwehrschritt werden analysiert. Oft findet eine “Purple Team”-Session statt, in der Red und Blue Team gemeinsam das Angriffsgeschehen noch einmal durchspielen, um daraus zu lernen  . Das Resultat ist ein detaillierter Bericht mit allen identifizierten Lücken, erfolgreichen Verteidigungsmaßnahmen und konkreten Empfehlungen zur Verbesserung der Sicherheitsmaßnahmen. Ein TIBER-Test gilt dabei als erfolgreich, wenn er durchgeführt wurde und Erkenntnisse liefert – es gibt kein klassisches Bestehen oder Durchfallen  . Entscheidend ist der Lerneffekt: Das Unternehmen soll dadurch einen höheren Reifegrad in seiner Cybersicherheit erreichen .

Zusammenarbeit mit Behörden: In Branchen wie dem Finanzwesen sind Aufsichtsbehörden oft in das TIBER-Programm eingebunden, allerdings ohne in operative Details einzugreifen. In Deutschland etwa koordiniert die Deutsche Bundesbank über das TIBER Cyber Team (TCT) das Rahmenwerk TIBER-DE, hält aber einen Abstand zur eigentlichen Bankenaufsicht, da die Teilnahme freiwillig ist  . Freiwillig heißt jedoch nicht unverbindlich: Von den größten Instituten im Finanzsektor wird erwartet, dass sie dieses Instrument nutzen, um ihren Beitrag zur Stabilität des Gesamtsystems zu leisten . Das zeigt die Bedeutung, die solche Tests inzwischen genießen.

TIBER in Europa – ein wachsender Standard: Seit der Einführung von TIBER-EU haben mehrere Länder eigene Umsetzungen gestartet (z.B. TIBER-NL in den Niederlanden, TIBER-BE in Belgien, TIBER-IE in Irland, TIBER-DK in Dänemark und TIBER-DE in Deutschland) . Erste Erfahrungen – etwa aus den Niederlanden – zeigen, dass dieses Konzept sehr erfolgreich ist und inzwischen auch auf andere Sektoren erweitert wird . So wurde in NL TIBER anfangs nur bei Banken und Marktinfrastrukturen angewendet, später aber auf Versicherungen, Pensionskassen und sogar in einem Pilotprojekt im Energiesektor eingesetzt . Das verdeutlicht, dass TIBER-Tests branchenübergreifend Mehrwert bieten, wo immer kritische Infrastrukturen und Prozesse vor Cyberangriffen geschützt werden müssen.

Wirtschaftliche Vorteile und ROI einer TIBER-Übung

Eine Kernfrage für Entscheider lautet: Lohnt sich der finanzielle und organisatorische Aufwand eines TIBER-Tests? Die klare Antwort: Ja, in den meisten Fällen überwiegen die mittel- und langfristigen Vorteile die Kosten deutlich. Hier einige wirtschaftliche Argumente:

  • Vermeidung kostspieliger Sicherheitsvorfälle: Die durchschnittlichen Schäden durch Cyberangriffe befinden sich auf einem Rekordhoch. Laut einer IBM-Studie betragen die weltweiten Durchschnittskosten eines einzigen schweren Datenlecks inzwischen rund 4,9 Millionen US-Dollar (über 4,5 Mio. Euro) . Hinzu kommen schwer messbare Folgekosten durch Imageverlust, Kundenabwanderung oder Betriebsunterbrechungen. Demgegenüber steht der einmalige Aufwand für einen TIBER-Test, der – je nach Umfang – im niedrigen bis mittleren sechsstelligen Euro-Bereich liegen kann. Die Rendite einer verhinderten einzigen großen Sicherheitsverletzung ist damit enorm. Ein erfolgreich durchgeführter TIBER-Test, der eine kritische Schwachstelle behebt, kann potenziell Millionen sparen, indem er einen zukünftigen erfolgreichen Angriff vereitelt.
  • Gezielterer Mitteleinsatz durch Risiko-Priorisierung: TIBER liefert einen detaillierten Threat Assessment-Report, der Entscheidungsträgern schwarz auf weiß zeigt, wo die größten Risiken im Unternehmen liegen . Investitionen in Sicherheit können daraufhin gezielter erfolgen. Anstatt pauschal in jeder Abteilung ein bisschen zu verbessern, wissen Sie nach einem TIBER-Test genau, welche Systeme und Prozesse priorisiert abgesichert werden müssen. Das optimiert den ROI des IT-Sicherheitsbudgets, weil die richtigen Stellen gestärkt werden.
  • Optimierung von Betriebsabläufen: Die Ergebnisse eines TIBER-Tests betreffen nicht nur die IT-Abteilung. Oft decken sie Prozesslücken auf, die auch betriebswirtschaftliche Auswirkungen haben (z.B. ineffiziente Berechtigungsvergabe, fehlende Notfallpläne oder unklare Zuständigkeiten im Incident Response). Durch die Umsetzung der empfohlenen Maßnahmen verbessern Unternehmen nicht nur ihre Sicherheit, sondern auch ihre operativen Abläufe. So können z.B. klar definierte Prozesse zur Reaktion auf Angriffe gleichzeitig die allgemeine Krisenreaktionsfähigkeit der Organisation erhöhen – was auch bei anderen Störungen (Serverausfall, Lieferkettenproblem etc.) Vorteile bringt.
  • Nachweis gegenüber Stakeholdern und Regulatoren: Ein TIBER-Test demonstriert proaktiv, dass das Management Cyberrisiken ernst nimmt und State-of-the-Art-Methoden zu deren Beherrschung einsetzt. Dieser Nachweis kann bei Prüfungen durch Aufsichtsbehörden von Vorteil sein und das Vertrauen von Investoren, Geschäftspartnern und Kunden stärken  . Insbesondere im Finanzsektor achten Regulatoren zunehmend auf regelmäßige Resilienz-Übungen. Unternehmen, die hier aktiv sind, untermauern ihre Compliance und können in Audits entsprechend punkten. TIBER-Tests bieten messbare Kennzahlen (KPIs) zur Cyber-Resilienz – etwa Mean Time to Detect/Respond (MTTD/MTTR) oder Erfolgsquote des Red Teams –, die das Management für strategische Entscheidungen heranziehen kann .
  • Kulturwandel und Sensibilisierung: Die Durchführung eines solch umfassenden Tests sendet intern ein starkes Signal: Sicherheit ist Chefsache. Mitarbeiter erleben hautnah (im Rahmen der Nachbesprechung), wie ein Angriff ablaufen könnte und wo ihre Rolle dabei ist. Das fördert eine Sicherheitskultur, in der jeder aufmerksam ist. Oft führen TIBER-Erkenntnisse zu verstärkten Schulungen und Bewusstseinsmaßnahmen für Mitarbeiter, was das Risiko menschlichen Fehlverhaltens (immer noch eine Hauptursache vieler Vorfälle) reduziert. Dieser “Lerneffekt” ist schwer in Euro zu beziffern, aber von hohem Wert. Eine informierte Belegschaft macht Fehler, die zu Sicherheitsvorfällen führen, weniger wahrscheinlich.

Natürlich stehen den genannten Vorteilen zunächst Kosten (Anbieterauswahl, Testvorbereitung, interne Ressourcenbindung) gegenüber. Doch angesichts der Schadenssummen, die ein einziger erfolgreicher Cyberangriff verursachen kann, lässt sich der Return on Security Investment (ROSI) eines TIBER-Tests meist überzeugend darstellen. Branchenexperten empfehlen, solche intensiven Red-Team-Übungen periodisch (z.B. alle 1–3 Jahre) einzuplanen – als festen Bestandteil des Risiko-Managements. So behalten Unternehmen den sich verändernden Bedrohungsstand im Blick und können ihre Sicherheitsmaßnahmen kontinuierlich justieren, bevor echte Angreifer zuschlagen.

Praxisbeispiel: Wie ein TIBER-Test Schwachstellen aufdeckt

Ein fiktives Beispiel soll veranschaulichen, wie ein TIBER-Test Unternehmen ganz konkret helfen kann. Angenommen, die mittelgroße Bank ABC-Bank AG entschließt sich freiwillig zu einem TIBER-DE Test. In der Vorbereitung ermittelt der Threat-Intelligence-Dienstleister, dass sogenannte Ransomware-Gruppen verstärkt Banken ihrer Größenordnung ins Visier nehmen und dabei oft über Phishing E-Mails und anschließend lateral im Netzwerk vorgehen. Als kritische Funktionen werden der Kernbanking-Server sowie das SWIFT-Zahlungssystem der ABC-Bank definiert – hier hätte ein erfolgreicher Angriff besonders gravierende Folgen.

Angriffsverlauf (aus Sicht des Red Teams): Per Spear-Phishing schafft es das Red Team, einen Mitarbeiter im Zahlungsverkehr dazu zu bringen, einen präparierten Anhang zu öffnen. Darüber gelangen die Tester in das interne Netz. Sie finden heraus, dass auf einem veralteten File-Server ein Admin-Konto mit einem schwachen Passwort existiert – ein Überbleibsel einer früheren Migration. Über dieses lokale Admin-Konto erhalten sie erhöhte Rechte und bewegen sich unentdeckt auf den SWIFT-Server zu. Dort bemerkt das Red Team, dass keine Multifaktor-Authentifizierung für Remote-Zugriffe eingerichtet ist. Es gelingt ihnen, in einer Nachtaktion eine gefälschte Überweisung zu initiieren. Am nächsten Morgen simulieren sie außerdem eine Ransomware-Attacke auf den Kernbanking-Server, um zu testen, ob die Notfallprozesse greifen.

Entdeckung und Reaktion (aus Sicht des Blue Teams): Das Security Operations Center der Bank registriert tatsächlich in der Nacht verdächtige Zugriffe, stuft diese aber zunächst fälschlich als Fehlalarm ein. Erst am Morgen, als Systeme verschlüsselte Dateien aufweisen (die simulierte Ransomware), schlägt der Incident Response-Plan an. Das Blue Team isoliert betroffene Server und informiert das Management. Zu diesem Zeitpunkt hat das Red Team seine Aktivitäten bereits eingestellt.

Ergebnisse und Lerneffekte: In der Auswertung zeigt sich, dass mehrere Schwachstellen aufgedeckt wurden: Ein unnötiges Admin-Konto mit schwachem Passwort, fehlende MFA an kritischer Stelle, sowie Mängel in der Detection & Response – der nächtliche Alarm wurde vom SOC-Team übersehen. Dieses Zusammenspiel von Lücken hätte ein echter Gegner ausnutzen können, um Millionenbeträge zu stehlen und die Bank lahmzulegen. Die gute Nachricht: Durch den TIBER-Test wurden diese Punkte nun erkannt, ohne dass realer Schaden entstanden ist. Die Bank ABC schließt umgehend das alte Admin-Konto, setzt striktere Passwort-Policies durch und aktiviert MFA auf allen sensiblen Systemen. Zudem wird das SOC-Team zusätzlich geschult, Alarme besser zu priorisieren, und der Notfallplan wird angepasst (inklusive klarerer Nachtschicht-Regeln). Einige Wochen nach dem Test führen Red und Blue Team gemeinsam ein Replay des Angriffs durch, um sicherzustellen, dass die Maßnahmen greifen – eine Art Generalprobe für den Ernstfall.

Dieses Beispiel zeigt eindrucksvoll den Mehrwert: Die Bank erlangte ohne tatsächlichen Angriff klare Erkenntnisse darüber, wo sie verletzlich war, und konnte rechtzeitig gegensteuern. Tatsächlich berichten auch reale Teilnehmer von TIBER-Programmen von solchen Aha-Erlebnissen. So fanden niederländische Banken in frühen TIBER-NL-Übungen mehrfach Schwachstellen, die bei allen internen Audits und Standard-Pentests zuvor übersehen worden waren . In einem Fall (in der Realität meistens vertraulich, aber sinngemäß bekannt) konnten Tester sich bis in kritische Zahlungsverkehrssysteme vorkämpfen, weil ein selten genutzter Dienstaccount nicht von der Passwortrichtlinie erfasst war – ein klassisches “blinder Fleck”. Durch TIBER wurden diese blinden Flecken sichtbar gemacht. Auch positive Erkenntnisse ergeben sich: Oft stellt ein Red Team fest, dass bestimmte Sicherheitsmaßnahmen sehr wohl effektiv funktionieren – das bestätigt Investitionen und kann intern als Best Practice hervorgehoben werden. Kurz gesagt, ein TIBER-Test bietet einen geschützten Rahmen, in dem Unternehmen aus ihren Fehlern lernen können, ohne dass ein echter Gegner diese ausnutzt. Genau darin liegt der unschätzbare Wert solcher Übungen.

Technischer Tiefgang: Threat Intelligence und Red Teaming in der Praxis

Für technisch weniger Versierte mag ein TIBER-Test mysteriös klingen. Deshalb beleuchtet dieser Abschnitt die zentralen Akteure und Methoden etwas genauer – ohne zu sehr ins Fachchinesisch abzudriften.

  • Threat Intelligence (TI): Stellen Sie sich vor, Sie wollen Ihr Haus sichern. Ein normaler Sicherheitscheck prüft Fenster und Türen. Threat Intelligence geht einen Schritt weiter: Man versetzt sich in die Lage eines Einbrechers und recherchiert vorab, welche Häuser in der Gegend zuletzt Ziel von Einbrüchen waren, welche Methoden genutzt wurden und wo Ihr Haus Schwachstellen aus Sicht eines Diebes hat. Übertragen auf IT bedeutet das: TI-Experten sammeln Informationen über aktuelle Bedrohungen speziell für Ihr Unternehmen. Dazu gehören z.B. Hinweise aus dem Dark Web, ob dort jemand Zugänge zu Ihrer Firma anbietet, bekannte Schwachstellen in den von Ihnen eingesetzten Softwaresystemen, oder typische Angriffswege auf Ihre Branche (etwa Banking-Malware im Finanzsektor). Diese Bedrohungsaufklärung fließt in den Test ein, sodass das Red Team sehr realistische und relevante Angriffe simulieren kann  . Ohne diese vorbereitende Intelligence würde man “im Nebel stochern”. Im TIBER-Konzept werden i.d.R. externe spezialisierte TI-Dienstleister beauftragt, um eine unabhängige Sicht von außen zu gewährleisten.
  • Red Team: Das Red Team ist das “Angreifer-Team” – hochqualifizierte ethische Hacker, die im Auftrag handeln. Sie simulieren die Rolle einer echten Bedrohungsgruppe. Wichtig im TIBER-Rahmen: Das Red Team arbeitet streng getrennt vom Threat Intelligence Team (oft stammen beide von unterschiedlichen Firmen). Diese Trennung soll sicherstellen, dass keine Befangenheit entsteht und die Ergebnisse neutral bleiben  . Während der Angriffsphase nutzt das Red Team eine Vielzahl von Tools und Techniken – von selbst entwickelten Hacks bis hin zu bekannten Exploits –, um in das System einzudringen. Sie versuchen oft eine Kette von Verwundbarkeiten zu nutzen: z.B. erst einen Fuß in die Tür bekommen (Phishing oder offene Serverlücke), dann Berechtigungen ausweiten, sich seitlich durchs Netzwerk bewegen (Lateral Movement), und schließlich die Kronjuwelen zu erreichen. Ein Bericht der Bank für Internationalen Zahlungsausgleich (BIZ) betont, dass gerade dieses Aufdecken von verketteten Schwachstellen ein großer Vorteil von Red-Team-Tests ist  . Oft werden Probleme gefunden, die bei isolierten Kontrollen nie auffielen, z.B. unscheinbare Konfigurationsfehler, die in Kombination exploitiert werden können. Das Red Team dokumentiert alle Schritte genau, damit im Nachgang nachvollziehbar ist, wie es etwas geschafft hat.
  • Blue Team: Das Blue Team repräsentiert die Verteidiger – meist die interne IT-Security-Abteilung des Unternehmens (z.B. das Security Operations Center, SOC). Im TIBER-Test weiß das Blue Team nicht, wann und wie der Angriff erfolgt (nur wenige Eingeweihte im Management – White Team – kennen den Testplan, um im Notfall eingreifen zu können). Das Blue Team soll unter Realbedingungen zeigen, ob es Angriffe erkennt und adäquat reagiert. Ihre Aktivitäten (Logs prüfen, Alarm schlagen, Incident Response einleiten) werden während des Tests vom TIBER-Koordinationsteam beobachtet, aber nicht gesteuert. So kann am Ende evaluiert werden, wo die Erkennungsrate gut war und wo evtl. Lücken bestehen. Für das Blue Team ist das eine wertvolle Übung: Es lernt, Angriffsindikatoren besser zu verstehen, und erhält im Nachgang Feedback vom Red Team, was übersehen wurde. Dieser Austausch mündet oft in konkrete Verbesserungen – z.B. Tuning der Alarmierungssysteme, Erweiterung von Monitoring-Regeln oder zusätzliche Schulungen. Im Prinzip ist ein TIBER-Test somit auch ein fortgeschrittenes Training für das Security-Team des Unternehmens.
  • White Team: Dies ist eine kleine Gruppe innerhalb des Unternehmens (typischerweise CISO und ausgewählte Vertraute), die über den Test informiert ist und als Schnittstelle dient. Das White Team sorgt für die Einhaltung der Spielregeln – etwa dass das Red Team nicht unabsichtlich zu weit geht und kritische Geschäftsprozesse gefährdet. Außerdem koordiniert es intern Termine und stellt dem Red Team erforderliche Informationen initial bereit (z.B. IP-Adressbereiche, damit die Simulation auf das Ziel fokussiert bleibt). Wichtig ist, dass das White Team dicht hält und keine Infos ans Blue Team leaken – sonst wäre der Test verfälscht.

Realitätsnähe vs. Sicherheit: Ein häufiger Diskussionspunkt ist: Wie stellt man sicher, dass ein so realistischer Test nicht selbst Schaden anrichtet? Schließlich greifen die Tester Live-Systeme an. Hier kommen strenge Kontrollmechanismen zum Tragen  . Jeder Schritt des Red Teams ist sorgfältig geplant; hochriskante Aktionen werden ggf. simuliert, statt tatsächlich ausgeführt (z.B. Daten werden zwar kopiert, aber nicht gelöscht). Zudem kann das White Team einen Test abbrechen oder pausieren, sollte etwas Unvorhergesehenes passieren – etwa wenn eine Schwachstelle so gravierend ist, dass sofortiges Schließen priorisiert wird  . Insgesamt haben sich TIBER-Tests in der Praxis als sehr sicher erwiesen: Es gab bislang keine bekannten Vorfälle, wo ein solcher Test einen echten Ausfall verursacht hätte. Die Beteiligung der Aufsicht (z.B. Bundesbank TIBER Cyber Team) schafft zusätzlich Vertrauen, dass alles in geordneten Bahnen bleibt.

Einfluss von TIBER-Tests auf Cyber-Versicherungen

Neben der direkten Erhöhung der IT-Sicherheit stellt sich für viele Unternehmen auch die Frage: Bringt ein TIBER-Test etwas im Kontext von Cyber-Versicherungen? Diese Policen, die finanzielle Schäden durch Cyberangriffe abdecken, sind in den letzten Jahren verbreitet – und teils teurer – geworden. Versicherer achten bei der Risikoprüfung genau auf die Sicherheitsvorkehrungen eines Unternehmens, bevor sie einen Vertrag zeichnen.

Ein TIBER-Test kann hier auf mehrere Arten positiv wirken:

  • Verbesserte Versicherungsfähigkeit: Versicherer fordern in der Regel Mindeststandards an die IT-Sicherheit, bevor sie überhaupt eine Deckung anbieten. Dazu gehören oft Fragen nach vorhandenen Sicherheitskonzepten, regelmäßigen Audits und Tests der Systeme  . Ein Unternehmen, das einen umfangreichen TIBER-Test nachweisen kann, signalisiert damit, dass es seine Cyberrisiken sehr ernst nimmt und proaktiv managt. Zwar verlangen Policen (noch) nicht explizit TIBER-Tests, doch die Tatsache, dass Sie eine derart umfassende Prüfung durchgeführt haben, kann bei der Risikobewertung durch den Versicherer ein deutliches Plus sein. Im Klartext: Ihr Unternehmen wird als professionell und risikobewusst wahrgenommen – was die Chancen erhöht, überhaupt eine Police zu vernünftigen Konditionen zu erhalten. In einem Markt, in dem einige Versicherer angesichts steigender Schadensfälle zögerlicher werden, Risiken zu zeichnen, kann das ein wichtiger Vorteil sein.
  • Prämienvorteile durch Risiko-Minimierung: Viele Versicherer belohnen ein niedriges Risikoprofil mit Rabatten auf die Prämie. Ähnlich wie ein Auto mit modernen Assistenzsystemen günstiger versichert wird, gewähren Cyber-Versicherer Rabatte, wenn nachgewiesen wird, dass regelmäßig Sicherheitsüberprüfungen stattfinden. So geben einige Anbieter Abschläge, wenn z.B. jährlich Penetrationstests oder vergleichbare Maßnahmen durchgeführt werden . Ein TIBER-Test ist gewissermaßen der “König” unter den Penetrationstests – der Nachweis darüber könnte also helfen, einen Discount auf die Versicherungsprämie zu verhandeln. Konkrete Zahlen variieren je nach Versicherer, aber Sicherheitszertifikate und -tests sind zunehmend ein Wettbewerbsfaktor in der Versicherungsbranche. Es lohnt sich, beim Abschluss aktiv darauf hinzuweisen und gegebenenfalls zu verhandeln.
  • Besserer Schadensfall-Handling und geringere Selbstbehalte: Manche Cyber-Policen enthalten Klauseln, die im Schadenfall eine Mitwirkung des Versicherungsnehmers voraussetzen – sogenannte Obliegenheiten. Dazu kann gehören, dass der Versicherungsnehmer angemessene Sicherheitsmaßnahmen betrieben hat, sonst kann die Leistung gekürzt werden  . Ein durchgeführter TIBER-Test mit erfolgten Nachbesserungen untermauert, dass das Unternehmen seine Obliegenheiten erfüllt hat. Im Ernstfall ließe sich so argumentieren, dass man alle zumutbaren Präventionsmaßnahmen ergriffen hatte. In einzelnen Fällen mag ein Versicherer sogar bereit sein, einen geringeren Selbstbehalt oder höhere Deckungssummen anzubieten, wenn die IT-Sicherheitsinfrastruktur überdurchschnittlich gut ist – was ein TIBER-Test attestiert. Auch hier gilt: Transparenz gegenüber dem Versicherer zahlt sich aus.
  • Schnellere Schadenerkennung und -begrenzung: Ein etwas indirekter, aber wichtiger Punkt: Wenn durch TIBER-Tests die Detektions- und Reaktionszeit des Unternehmens verbessert wird, sinkt im Falle eines echten Angriffs die zu erwartende Schadenshöhe. Versicherer wissen aus Statistiken, dass schnelle Reaktion den Schaden begrenzt – z.B. je früher ein Leak entdeckt wird, desto geringer die Kosten. Das wiederum beeinflusst langfristig die Versicherungsprämien am Markt. Kurz gesagt tragen TIBER-Übungen dazu bei, dass Versicherungsfälle weniger gravierend ausfallen, was perspektivisch in die Tarifierung einfließt.

In Summe können TIBER-Tests also auch aus Versicherungs- und Finanzsicht empfohlen werden. Sie sollten zwar primär als Sicherheitsmaßnahme betrachtet werden, doch das “Sahnehäubchen” ist, dass man damit auch bei Versicherern und Finanzprüfern punkten kann. Einige Versicherungsmakler raten Unternehmen mittlerweile aktiv, Red-Team-Penetrationstests in ihre Cybersecurity-Strategie aufzunehmen, um besser versicherbar zu sein und im Schadenfall handlungsfähig zu bleiben. Dieser Trend dürfte sich fortsetzen, da sowohl die Versicherungsbranche als auch die Unternehmen letztlich dasselbe Ziel haben: große Schäden zu vermeiden.

Fazit und Empfehlungen

TIBER-Tests sind ohne Zweifel ein anspruchsvolles Unterfangen – organisatorisch wie technisch. Doch der Nutzen, den sie stiften, ist für viele Unternehmen game-changing. Durch die realistische Simulation ernsthafter Angriffe erhalten Führungskräfte eine ehrliche Bestandsaufnahme ihrer Cyber-Resilienz. Die Erkenntnisse gehen weit über übliche Audit-Berichte hinaus: Man erfährt nicht nur, dass irgendwo ein Problem besteht, sondern auf welche Weise ein echter Gegner es ausnutzen würde und wie gut die eigenen Teams darauf vorbereitet sind. Dieses Wissen ist unbezahlbar in einer Zeit, in der Cyberbedrohungen allgegenwärtig sind.

Für Entscheider mit wenig technischem Hintergrund mag das Thema zunächst komplex wirken. Lassen Sie sich davon nicht abschrecken. Als Schritte zum Vorgehen empfehlen sich:

  1. Informieren und Partner auswählen: Nutzen Sie Ressourcen von offiziellen Stellen – etwa die Bundesbank oder EZB – um sich einen Überblick zu verschaffen. Holen Sie Angebote von qualifizierten TIBER-Dienstleistern ein (Threat Intelligence und Red Team Anbieter). Achten Sie auf Erfahrung und Zertifizierungen in diesem Bereich. Die EZB hat Leitlinien veröffentlicht, worauf bei der Auswahl von Dienstleistern zu achten ist.
  2. Scope und Ziele definieren: Überlegen Sie intern, welche Prozesse und Systeme für Ihr Unternehmen geschäftskritisch sind. Genau dort sollte der Schwerpunkt des Tests liegen. Definieren Sie Erfolgsfaktoren: z.B. “Wir möchten überprüfen, ob unser SOC einen APT-Angriff erkennen kann” oder “Wie gut ist unser Notfallprozess wirklich eingespielt?”. Diese Ziele helfen, den Test zielgerichtet zu gestalten.
  3. Einbindung des Managements: Stellen Sie sicher, dass Geschäftsführung und ggf. Aufsichtsrat hinter dem Vorhaben stehen. Ein TIBER-Test ist auch eine Kulturfrage – er zeigt, dass das Unternehmen offen mit Schwachstellen umgeht und gewillt ist, daraus zu lernen. Dieses Commitment von oben ist wichtig für die Akzeptanz aller Beteiligten. Zudem müssen Verantwortliche z.B. im Datenschutz oder in kritischen Bereichen frühzeitig informiert (wenn auch nicht ins Detail eingeweiht) werden, um Unterstützung zu sichern.
  4. Test durchführen – und ernst nehmen: Während der Durchführung heißt es “Trust the process”. Lassen Sie dem Red Team kreativen Freiraum, aber stellen Sie via White Team sicher, dass Risikoaufsicht besteht. Wenn der Test vorbei ist, sollten die Ergebnisse zügig und ohne Abwehrhaltung angenommen werden. Keine Schwachstelle ist peinlich – peinlich wäre nur, nichts daraus zu machen. Planen Sie Budgets und Zeit ein, um die gefundenen Lücken zu schließen. Priorisieren Sie Maßnahmen nach Risiko: Kritisches zuerst, nice-to-have später.
  5. Nachbereitung und Wiederholung: Nach dem Test ist vor dem Test. Etablieren Sie einen Zyklus: Die Umsetzung der Empfehlungen sollte nachverfolgt werden. Viele Organisationen führen ein halbes Jahr nach dem TIBER-Test einen kleinen Nachtest durch (oft in Form eines Workshops oder einer fokussierten technischen Prüfung), um zu überprüfen, ob die Verbesserungen wirken. Außerdem kann es sinnvoll sein, TIBER-Übungen regelmäßig zu wiederholen – etwa alle paar Jahre oder bei wesentlich veränderter Bedrohungslage. Dies sorgt für Kontinuität und signalisiert auch extern: wir bleiben am Ball. Netzwerke von Unternehmen, die TIBER durchlaufen haben (in NL gibt es z.B. TIBER-Netzwerke zum Erfahrungsaustausch), können helfen, Best Practices zu teilen.

Schlussgedanke: Die Frage sollte am Ende nicht mehr lauten, warum man einen TIBER-Test durchführen sollte, sondern ob man es sich leisten kann, darauf zu verzichten. Die Risiken im Cyberraum sind real und hochdynamisch. Unternehmen investieren viel in Abwehr – doch ohne sie realitätsnah zu testen, bleibt ein Rest Unsicherheit. TIBER schließt diese Lücke, indem es einen sicheren Proberaum für den Ernstfall schafft. Für Einkäufer und IT-Entscheider, die strategisch denken, bietet dieser Leitfaden hoffentlich überzeugende Argumente, die Geschäftsleitung vom Wert eines TIBER-Tests zu überzeugen. Die wirtschaftlichen Vorteile – von potentiell eingesparten Millionen über optimierte Abläufe bis zu Versicherungsprämien – und die gestärkte Resilienz sprechen für sich. Wie ein altes Sprichwort im Sicherheitsbereich sagt: “Übung im Frieden gibt Sicherheit im Krieg.” TIBER ist diese Übung – nutzen wir sie.

Quellen: Offizielle Informationen der Deutschen Bundesbank, der Europäischen Zentralbank (EZB), Beiträge der Finanzaufsicht BaFin, Studien von IBM, sowie Branchenberichte (BIS, Versicherungsblogs) wurden für diesen Leitfaden herangezogen, um fundierte und aktuelle Empfehlungen zu geben.   

Read more

TIBER-EU vs. TIBER-DE – Unterschiede der Cyber-Resilienz-Frameworks

TIBER-EU vs. TIBER-DE – Unterschiede der Cyber-Resilienz-Frameworks

Die Skyline von Frankfurt am Main – Finanzzentrum Deutschlands – steht sinnbildlich für die im Fokus von TIBER stehenden kritischen Finanzinstitute. In Zeiten zunehmend komplexer Cyberangriffe auf Banken und andere Finanzakteure werden robuste Cyber-Resilienz-Strategien immer wichtiger. TIBER-EU und TIBER-DE sind Rahmenwerke für bedrohungsgeleitete “Red Team”-Tests, mit denen Finanzinstitute ihre Abwehrfähigkeiten durch

By Steve Gortol
alt text 2025-05-21 12:12

TIBER-DE: Das Rahmenwerk für realistische Cyber-Resilienztests im deutschen Finanzsektor

Was ist TIBER-DE? TIBER-DE steht für „Threat Intelligence-based Ethical Red Teaming – Deutschland“. Es handelt sich um ein Rahmenwerk, das realitätsnahe Cyberangriffe simuliert, um die Widerstandsfähigkeit (Cyber-Resilienz) von Unternehmen im Finanzsektor zu testen. Dabei werden gezielte Angriffsszenarien auf kritische Geschäftsprozesse durchgeführt, um Schwachstellen in Technik, Prozessen und beim Personal aufzudecken. Die

By Steve Gortol