OeNB und FMA erhöhen Schutzmaßnahmen gegen Cyberangriffe im Finanzsektor

Die OeNB und die FMA haben ihre gemeinsamen Schutzmaßnahmen gegen Cyberangriffe im Finanzsektor verstärkt und den Threat Intelligence-Based Ethical Red Teaming (TIBER-AT) Implementation Guide veröffentlicht. TIBER-AT ist ein Rahmenwerk des Eurosystems zur Simulation von Cyberangriffen in Österreich, das auf dem europäischen Standard TIBER basiert. Dieses Rahmenwerk ermöglicht es, realitätsnahe Cyberangriffe auf Finanzunternehmen zu simulieren, wobei „ethische Hacker“ unter streng kontrollierten Bedingungen agieren.
Angesichts der wachsenden Abhängigkeit des Finanzsektors von Informations- und Kommunikationstechnologien sowie der zunehmenden Bedrohung durch Cyberangriffe haben die OeNB und die FMA diese Maßnahmen ergriffen. DORA, im Januar 2023 europaweit in Kraft getreten, legt einheitliche Anforderungen fest, um die operative Betriebsstabilität von Finanzunternehmen zu stärken. Ab 2025 wird insbesondere die Durchführung von “Threat-Led Penetration Testing“ (TLPT) für ausgewählte Finanzunternehmen verpflichtend, wobei TIBER-EU als relevanter Standard gilt.
TIBER-AT ermöglicht es den Finanzunternehmen in Österreich, sich frühzeitig auf diese TLPT-Anforderungen vorzubereiten. Das Rahmenwerk umfasst drei Hauptphasen: Vorbereitungsphase, Testphase und Abschlussphase. Die Vorbereitungsphase beinhaltet unter anderem die Festlegung des Testumfangs, die Beschaffung von externen Dienstleistern und eine Risikobewertung. Während der Testphase werden gezielte Threat-Intelligence-Aktivitäten durchgeführt, und ein externes Red-Teaming-Team simuliert realistische Cyberangriffe. Die Abschlussphase konzentriert sich auf die Analyse der Ergebnisse, die Erstellung eines Remediation-Plans und die formale Bestätigung der Einhaltung von TIBER-AT.
Die Implementierung von TIBER-AT in Österreich trägt dazu bei, die Cyberresilienz des Finanzsektors zu stärken und die Sicherheit im digitalen Raum zu gewährleisten. Die Tests werden von den Finanzunternehmen selbst beauftragt und in eigener Verantwortung durchgeführt, wobei die Durchführung von TLPT ab 2025 verpflichtend wird. TIBER-AT wird voraussichtlich Ende 2024 aktualisiert, um vollständige Konformität mit DORA und den regulatorischen technischen Standards für TLPT sicherzustellen.