Ein EU-Rahmenwerk für simulierte Hackerangriffe auf Finanzinstitute ist in einigen Mitgliedstaaten schon umgesetzt. Hierzulande hat das Finanzministerium eine Arbeitsgruppe bei der Finanzaufsicht eingesetzt. Diese steht noch am Anfang. Für die FDP verpasst Berlin in der EU den Anschluss bei Cybersicherheit. wf Berlin – Deutsche Banken müssen sich auch hierzulande auf Cyber-Stresstests durch die Finanzaufsicht einstellen. Die Bundesregierung arbeitet seit vergangenem Herbst an der nationalen Implementierung des Rahmenwerks von Tiber-EU (European Framework for Threat Intelligence-based Ethical Red Teaming). Dies teilte das Bundesfinanzministerium auf eine parlamentarische Anfrage der FDP-Fraktion mit. Im Oktober 2018 hat eine eigens dafür eingerichtete Arbeitsgruppe ihre Arbeit aufgenommen, schreibt die parlamentarische Finanzstaatssekretärin Christine Lambrecht an den Bundestag. Das Schreiben liegt der Börsen-Zeitung vor. FDP-Finanzexperte Frank Schäffler kritisierte, das Vorhaben komme viel zu spät.Bereits im Mai 2018 hatte die Europäische Zentralbank das “Tiber-EU-Framework'” veröffentlicht. Es soll Cybertests im Finanzwesen in Europa harmonisieren und für Vergleichbarkeit in der EU sorgen (vgl. BZ vom 16. Januar). Im Oktober hatten die G 7-Finanzminister und -Notenbankgouverneure für die Industrieländer die “G 7-Fundamental Elements for Threat-Led Penetration Testing” verabschiedet. Dies ist ein Leitfaden für die Finanzindustrie, wie sie mit simulierten Cyberattacken ihre Widerstandsfähigkeit besser beurteilen kann. Auch diese Leitlinien werden bei der Umsetzung in deutsches Rahmenwerk berücksichtigt, schreibt Lambrecht.In Europa haben Belgien und die Niederlande bereits Rechtsrahmen für die Cybertests gesetzt, in Dänemark ist die Zentralbank tätig geworden. “Deutschland verpasst in einer zentralen Thematik wie der Cybersicherheit des Finanzmarkts den Anschluss an andere EU-Länder”, warnte Schäffler. Er verwies auf die EU-Länder, die ihre Konzepte längst in Kraft gesetzt haben. Dass die Bundesregierung bislang lediglich eine Arbeitsgruppe eingesetzt hat, reicht ihm nicht aus. “Das ist zu wenig”, konstatierte der FDP-Abgeordnete. Das Bundesfinanzministerium erklärte, die nationale Implementierung sei nicht verpflichtend. Zudem sei die Ausgangslage hierzulande anders als in Belgien, den Niederlanden und Dänemark. Der deutsche Finanzsektor sei mit Blick auf Größe und Art der Institute sehr heterogen.Mit den Cybertests werden bedeutende Banken kontrollierten und simulierten Hackerangriffen von professionellen Dienstleistern ausgesetzt, um ihre Widerstandsfähigkeit und die Belastbarkeit des Finanzsystems insgesamt zu erproben. Während in Dänemark die Cybertests in den Jahren 2019 bis 2021 geplant sind, ist hierzulande nicht nur der Zeithorizont offen, sondern auch, wer von staatlicher Seite die Tests verantworten wird. Zur Umsetzung des Rahmenwerks hat das Bundesfinanzministerium die Finanzaufsicht BaFin in Kooperation mit der Bundesbank beauftragt. Der Finanzaufsicht steht das Bundesamt für Sicherheit in der Informationstechnik (BSI) beratend zu Seite. Die Arbeitsgruppe werde auch die Frage behandeln, welche Behörde oder Institution für die Threat-Led-Penetration-Tests am besten geeignet sein wird, teilte das Ministerium mit. Davon und von der Frage, wie viele Tests pro Jahr begleitet werden sollen, hänge die personelle Größe der Teams ab. Professionelle Unternehmen oder Personen für die Hackerangriffe sind bislang nach Auskunft des Ministeriums noch nicht angesprochen worden.