Wien (OTS) – Die Oesterreichische Nationalbank (OeNB) und die
österreichische
Finanzmarktaufsicht (FMA) haben heute den Startschuss für die
verpflichtende Durchführung von simulierten Cyberangriffen mit Hilfe
von „ethischen Hacker:innen“ als Schutzmaßnahmen für ausgewählte
Finanzunternehmen in Österreich gegeben. Mit diesem Schritt leisten
OeNB und FMA einen weiteren wesentlichen Beitrag zur Stärkung der
Finanzmarktstabilität in einem zunehmend vernetzten und
digitalisierten Umfeld.
Mit der Veröffentlichung des aktualisierten TIBER-AT
Implementation Guide setzen OeNB und FMA eine wesentliche Vorgabe des
Digital Operational Resilience Act (DORA) um. TIBER steht für Threat
Intelligence-Based Ethical Red Teaming und ist ein vom Europäischen
System der Zentralbanken (ESZB) entwickeltes Rahmenwerk zur
Bekämpfung von Cyberrisiken. Dabei simulieren „ethische Hacker:innen“
Cyberangriffe auf die IT-Systeme von Finanzunternehmen.
Mit der Anwendbarkeit von DORA sowie des technischen
Regulierungsstandards der Europäischen Finanzaufsichtsbehörden zu
diesem sogenannten Threat-Led Penetration Testing (TLPT) wird die
Durchführung von simulierten Cyberangriffen für systemrelevante
Finanzunternehmen, die zentrale Finanzdienstleistungen anbieten, in
der EU grundsätzlich in einem Drei-Jahres-Zyklus verpflichtend. Dabei
geht es darum, reale Cyberangriffe unter streng kontrollierten
Bedingungen zu simulieren und dadurch Schwachstellen in kritischen IT
-Systemen von Finanzunternehmen zu erkennen.
Mit der Veröffentlichung des TIBER-AT Implementation Guide im
November 2023 wurde das europäische TIBER-Rahmenwerk (TIBER-EU)
erstmals in Österreich umgesetzt und im Rahmen einer Pilotphase
angewandt. Es konnten somit bereits einige Finanzunternehmen mit
ihrer freiwilligen Teilnahme an einem TIBER-AT Test wertvolle
Erfahrungen sammeln und ihre Cyberresilienz stärken. Aufgrund der
neuen regulatorischen Anforderungen gemäß DORA wurden sowohl das
TIBER-EU-Rahmenwerk als auch der TIBER-AT Implementation Guide
aktualisiert.
Das TIBER Cyber Team Österreich (TCT-AT) der OeNB wird die
Cyberresilienz-Tests engmaschig begleiten und damit deren konsistente
und regelkonforme Durchführung sicherstellen. Nach Testabschluss
erfolgt eine offizielle Attestierung durch die FMA bzw. die
Europäischen Zentralbank (EZB), womit auch die Konformität der Tests
mit den gesetzlichen Anforderungen bestätigt wird.
Weitere Informationen finden sich auf den Webseiten der FMA und
der OeNB .