Die Oesterreichische Nationalbank (OeNB) und die Finanzmarktaufsicht (FMA) setzen mit der verpflichtenden Einführung von simulierten Cyberangriffen einen weiteren Schritt zur Stärkung der Cyberresilienz im österreichischen Finanzsektor. Grundlage ist der aktualisierte TIBER-AT Implementation Guide, der die nationale Umsetzung des europäischen TIBER-Rahmenwerks darstellt. TIBER steht für „Threat Intelligence-Based Ethical Red Teaming“ und wurde vom Europäischen System der Zentralbanken (ESZB) entwickelt. Ziel ist es, durch gezielte Simulationen realer Cyberangriffe Schwachstellen in kritischen IT-Systemen aufzudecken.
Im Fokus stehen systemrelevante Finanzunternehmen, die zentrale Dienstleistungen im Finanzmarkt erbringen. Dazu zählen insbesondere Banken mit kritischer Infrastruktur, Versicherungen mit systemischer Bedeutung, Zahlungs- und E-Geldinstitute, zentrale Marktinfrastrukturanbieter wie Börsen und Clearingstellen sowie IT-Dienstleister. Für diese Unternehmen wird die Durchführung von Threat-Led Penetration Tests (TLPT) im Drei-Jahres-Zyklus verpflichtend. Die Tests erfolgen unter kontrollierten Bedingungen durch sogenannte „ethische Hacker“ und orientieren sich an den technischen Regulierungsstandards der europäischen Finanzaufsichtsbehörden im Rahmen von DORA, dem Digital Operational Resilience Act.
Bereits im November 2023 wurde der ursprüngliche TIBER-AT Implementation Guide im Rahmen einer Pilotphase eingeführt. Einige Finanzunternehmen haben seither freiwillig an Testdurchläufen teilgenommen und konnten dadurch wertvolle Erfahrungen sammeln. Auf Basis der daraus gewonnenen Erkenntnisse wurden sowohl das europäische TIBER-Rahmenwerk als auch die nationale Umsetzung in Österreich überarbeitet.
Die Durchführung der Tests wird vom TIBER Cyber Team Österreich (TCT-AT) der OeNB eng begleitet, um eine konsistente und regelkonforme Umsetzung sicherzustellen. Nach Abschluss eines Tests erfolgt eine offizielle Attestierung durch die FMA oder – im Falle grenzüberschreitender Relevanz – durch die Europäische Zentralbank (EZB). Damit wird die Einhaltung der gesetzlichen Anforderungen formell bestätigt. Weitere Informationen sind auf den Webseiten der FMA und der OeNB abrufbar.
