Von Tobias Fischer, FrankfurtNachdem sich zu Jahresbeginn die erste Bank in Deutschland einem unter Aufsicht stehenden Cybertest (Tiber) gestellt hat, wird sich in den kommenden Wochen ein zweites Institut dem Verfahren unterziehen. Das teilte die Deutsche Bundesbank auf Anfrage mit. Um welche Institute es sich handelt, gibt sie angesichts der Sensibilität des Themas nicht preis. “Es werden zurzeit Gespräche mit mehreren Interessenten aus dem Finanzsystem geführt, um zukünftige Tiber-DE-Tests vorzubereiten”, berichtete darüber hinaus die Leiterin des Tiber Cyber Teams bei der Notenbank, Miriam Sinn. Ergebnisse aus dem ersten Test sind ihr zufolge Ende dieses Jahres zu erwarten.Tiber-DE ist die Kurzform für Threat Intelligence-based Ethical Red Teaming Deutschland und setzt hierzulande ein von der Europäischen Zentralbank (EZB) und den nationalen Zentralbanken der EU-Staaten ins Leben gerufenes Rahmenwerk vom Mai 2018 um. Tiber gibt auf EU-Ebene harmonisierte Spielregeln für kontrollierte Cyberangriffe auf Finanzdienstleister wie Banken, Versicherungen, Payment-Gesellschaften oder Börsen vor. Spezielle externe Dienstleister, sogenannte Red Teams, testen IT und Cyberabwehr in einem aufwendigen Verfahren, das sich über etwa ein halbes Jahr hinzieht (siehe Grafik). Teil eines NetzwerksIn Deutschland laufen die Fäden für solche Tests bei der Bundesbank zusammen, und zwar im Tiber Cyber Team, dem Sinn vorsteht. Dieses für nationale Implementierung und Weiterentwicklung zuständige Gremium ist wiederum gemeinsam mit anderen nationalen Cyber Teams Teil eines europäischen Netzwerks unter Leitung des bei der EZB angesiedelten Tiber Knowledge Centre (TKC). Es unterstützt die Teams bei der Umsetzung des Programms, fördert den Austausch, bietet Trainings an und passt auf, dass die Pflichtbestandteile der Tiber-Implementierung berücksichtigt werden.Das Tiber-Rahmenwerk beschreibt auch die Möglichkeit, Sicherheitsbehörden in den Prozess einzubinden. “Die Bundesbank ist mit den in Frage kommenden Sicherheitsbehörden im Gespräch”, machte Sinn deutlich. Es dürfte sich zumindest um das Bundesamt für Sicherheit in der Informationstechnik (BSI) handeln, das sich als Cybersicherheitsbehörde des Bundes bezeichnet und bereits an der Ausarbeitung des nationalen Implementierungsleitfadens für Tiber mitbeteiligt war, und um das Bundeskriminalamt.Die Coronakrise hat sich Sinn zufolge insofern auf den Aufbau von Tiber-DE und die Vorbereitung möglicher weiterer Tests ausgewirkt, als beispielsweise keine persönlichen Treffen mit Vertretern interessierter Finanzinstitute in größerer Runde möglich waren. “Neben vielen bilateralen Absprachen wurde dies durch alternative Formate wie Webinare, Video- und Telefonkonferenzen kompensiert”, berichtet Sinn. Außerdem seien wegen der starken Belastungen der Unternehmen durch die Pandemie Verzögerungen in der Testdurchführung möglich.Das Rahmenwerk zur Harmonisierung von Cybertests ist bereits – von Deutschland abgesehen – in Belgien, Dänemark, Irland und den Niederlanden umgesetzt worden. Weitere EU-Staaten sollen folgen. Bundesbank und Finanzministerium gaben im September den “größten Finanzunternehmen” Deutschlands in einem allgemeinen Aufruf mit auf den Weg, sich auf freiwilliger Basis an Tiber zu beteiligen (vgl. BZ vom 18.9.2019). Wer sich daraufhin noch nicht angesprochen fühlt, der wird gegebenenfalls gezielt angesprochen. “Die Bundesbank kann darüber hinaus gezielt systemrelevante Unternehmen bitten, einen Tiber-Test durchzuführen”, sagt Sinn. Bewusstsein für IT-SicherheitTiber solle aber nicht als Instrument der Aufsicht zur Überwachung einzelner Institute dienen, sondern ein Bewusstsein für IT-Sicherheit schaffen, hatte sie zu einem früheren Zeitpunkt gesagt. Deshalb sei die Federführung für Tiber bei der Bundesbank und nicht bei der Finanzaufsicht BaFin angesiedelt.Wie viele Tests parallel laufen könnten, hängt maßgeblich von testspezifischen Rahmenbedingungen ab, wie etwa der Größe des Unternehmens oder dem Umfang des Tests. Beispielsweise dauerten länderübergreifende Tests erfahrungsgemäß etwas länger, sagt Sinn.