Diese dreiteilige Artikelserie bietet einen strukturierten Einblick in das Threat Intelligence-based Ethical Red Teaming – European Union Framework (TIBER-EU-Framework).
Die Blogserie startet mit einer umfassenden Einführung ins TIBER-EU-Framework:
Was steckt dahinter, welche Ziele werden mit der Anwendung verfolgt, wer sind die entscheidenden Akteure, wie unterscheidet es sich von Penetrationstests oder klassischen Red-Teaming-Methoden und welche Risiken gibt es und wie können diese adressiert werden.
Im zweiten Teil geht es tief in die Praxis: Welche Meetings und Deliverables prägen den Projektverlauf, und wer trägt welche Verantwortung?
Den Abschluss bildet ein Blick hinter die Kulissen mit einem konkreten Szenario, das den Ablauf eines TIBER-EU-Tests anschaulich und greifbar macht.
Am Ende haben Sie ein klares, praxisnahes Bild davon, wie ein TIBER-EU-Test abläuft – und welche Schritte entscheidend sind, um ihn erfolgreich umzusetzen.
Inhaltsangabe:
TL;DR:
|
Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) rückt die Cyber-Resilienz der Finanzbranche endgültig ins Zentrum der Regulierung. Bestimmte Finanzinstitute, insbesondere solche mit systemischer Relevanz, sind künftig verpflichtet, regelmäßig sogenannte Threat-Led Penetration Tests (TLPT) durchzuführen.
Hier kommt das TIBER-EU-Framework ins Spiel. Es liefert die Vorgaben für die Durchführung solcher realitätsnaher Sicherheitstests, von der Bedrohungsanalyse bis zur kontrollierten Angriffssimulation.
TIBER-EU-Framework wurde von den Notenbanken des Europäischen Systems der Zentralbanken (ESZB) definiert und 2018 eingeführt. Ziel ist eine standardisierte, vertrauenswürdige Methode, mit der kritische Finanzinstitute in ganz Europa ihre Abwehr auf die Probe stellen können.
Das Besondere an TIBER ist, dass Tests nicht aus der Luft gegriffen werden. Sie orientieren sich an echten Angreifermethoden und -gruppen. So identifizieren Threat‑Intelligence‑Analysen wahrscheinliche Angriffsvektoren, Taktiken und Ziele und die Red‑Teams handeln dementsprechend.
Das Ergebnis sind keine abstrakten Szenarien, sondern Angriffe, die Motivation, Fähigkeiten und Zielverfolgung eines real existierenden Akteurs als Fundament des Tests haben.
|
Infobox - TIBER prüft nicht nur einzelne Server oder Anwendungen. Im Mittelpunkt stehen: ⚙️ Kritische Geschäfts und Unterstützungsfunktionen (z. B. Zahlungsabwicklung) |
Kurz: Mensch - Prozess - Technik. Nur wenn alle drei Bestandteile halten, ist ein Unternehmen wirklich widerstandsfähig.
Klar, gesetzliche Vorgaben wie DORA machen TIBER-EU in bestimmten Fällen zur Pflicht. Aber die eigentliche Frage lautet: Warum sollte ein Unternehmen solche Tests überhaupt durchführen wollen, selbst ohne regulatorischen Druck?
| Die Antwort ist einfach: Sicherheit entsteht für Sie nicht durch Hoffnung, sondern durch Vorbereitung. |
Die folgende Grafik spricht für sich:
Abbildung 1: https://www.ransomware.live/stats#donut
Cyberangriffe, insbesondere Ransomware-Attacken, haben in den letzten Jahren deutlich zugenommen. Besonders auffällig: Schon im ersten Quartal 2025 wurden mehr erfolgreiche Angriffe gemeldet als im gesamten Jahr 2023 und auch 2024 wird, voraussichtlich übertroffen.
Die Bedrohungslandschaft hat sich tiefgreifend verändert: Angreifer organisieren sich professioneller oder agieren mit staatlicher Unterstützung, teilen Know‑how und bieten spezialisierte Dienste an, von Ransomware‑Kits über kompletten „Crime‑as‑a‑Service“-Angeboten bis hin zur Verbreitung von Stealer-Logs.
Gleichzeitig werden Informationen und Tools leicht zugänglich: Tutorials, Exploits und Vorlagen sind nicht mehr nur dem kleinen Hacker‑Kosmos vorbehalten, sondern über Marktplätze und Foren breit verfügbar.
Und dann ist da die Künstliche Intelligenz (KI), ein echter Gamechanger. KI wird von Angreifern heute unteranderem genutzt, um:
• Phishing‑Kampagnen realistischer, ohne sprachliche oder fachliche Barriere zu gestalten
• Malware und Exploits effizienter zu entwickeln
• Deepfakes für Social‑Engineering oder CEO‑Fraud zu erzeugen
Hier setzt TIBER EU an, sie prüfen die Cyber-Resilienz eines Unternehmens auf Basis einer realitätsnahen Bedrohungsanalyse entlang der gesamten Cyber-Kill-Chain unter kontrollierten Bedingungen. Durchgeführt wird dies im Rahmen szenariobasierter Angriffssimulationen, die echte Advanced Persistent Threats (APTs), imitieren und gezielt auf die kritischsten Dienste, Systeme und Prozesse („Crown Jewels“) Ihres Unternehmens abzielen. Dabei wird stehts höchsten Wert daraufgelegt, dass der Produktivbetrieb nicht eingeschränkt wird.
|
Infobox - Im Fokus stehen dabei die zentralen Aspekte: 🎯 Reale Angriffssimulationen bewerten –Echte Taktiken, Techniken und Prozeduren (TTPs) |
Die folgende Abbildung veranschaulicht, wie sich TIBER-EU von anderen gängigen Testmethoden wie dem klassischen Penetrationstest oder einem isolierten Red Teaming unterscheidet. Ziel ist es, dem Leser ein klareres Verständnis für die Einordnung und den Mehrwert des TIBER-Ansatzes zu geben.
Beim Vergleich der typischen Testarten wird klar, dass Penetrationstests vor allem ausgewählte Assets auf technische Schwachstellen durchleuchten, ohne dass die Detektion der Angriffe eine Rolle spielt, während Red-Teams-Tests einen Schritt weitergehen und umfassende, realitätsnahe Angriffssimulationen über das gesamte Unternehmen hinweg durchführen, inklusiven Prozessen und Menschen. Detektion ist hier ein wesentlicher Bestandteil des Tests. Es geht dabei nicht um Erkenntnisse in der Breite, sondern darum, ob eine Cyber-Kill-Chain bis zum definierten Ziel erfolgreich durchlaufen werden kann.
TIBER-EU‑Tests heben das Ganze aber auf ein neues Level: Hier werden szenariobasierte Angriffe gezielt auf die kritischsten Funktionen eines Unternehmens ausgelegt, basierend auf sorgfältig abgestimmter Threat Intelligence. Es geht also nicht nur darum zu prüfen, ob das Red Team ein bestimmtes Objective erreicht, sondern darum, ob wahrscheinliche Ziele eines realen Akteurs innerhalb einer Cyber-Kill-Chain durch die zu erwartenden Techniken tatsächlich erreicht werden.
Beim Vergleich der typischen Testarten wird klar, dass Penetrationstests vor allem ausgewählte Assets auf technische Schwachstellen durchleuchten, ohne dass die Detektion der Angriffe eine Rolle spielt, während Red-Teams-Tests einen Schritt weitergehen und umfassende, realitätsnahe Angriffssimulationen über das gesamte Unternehmen hinweg durchführen, inklusiven Prozessen und Menschen. Detektion ist hier ein wesentlicher Bestandteil des Tests. Es geht dabei nicht um Erkenntnisse in der Breite, sondern darum, ob eine Cyber-Kill-Chain bis zum definierten Ziel erfolgreich durchlaufen werden kann.
TIBER-EU‑Tests heben das Ganze aber auf ein neues Level: Hier werden szenariobasierte Angriffe gezielt auf die kritischsten Funktionen eines Unternehmens ausgelegt, basierend auf sorgfältig abgestimmter Threat Intelligence. Es geht also nicht nur darum zu prüfen, ob das Red Team ein bestimmtes Objective erreicht, sondern darum, ob wahrscheinliche Ziele eines realen Akteurs innerhalb einer Cyber-Kill-Chain durch die zu erwartenden Techniken tatsächlich erreicht werden.
Das folgende Schaubild bietet einen übersichtlichen Überblick über die zentralen Akteure und deren Zuständigkeitsbereiche innerhalb des TIBER-EU-Tests. Jede Rolle trägt maßgeblich dazu bei, realistische Bedrohungsszenarien zu simulieren, regulieren und die Sicherheit auf ein neues Level zu heben
Der TI-Provider analysiert die aktuelle Bedrohungslage, sammelt und bewertet relevante Daten aus offenen und geschlossenen Quellen und entwickelt darauf basierend realistische Angriffsszenarien. Seine Arbeit bildet die Grundlage für Umfang, Techniken und Ziele des Tests.
Das Red Team führt die technischen Angriffe durch, es handelt sich um die offensiven Spezialisten, die die vom TI entwickelten Szenarien umsetzen.
Das Blue Team ist der defensive Gegenpart: Es verantwortet die operative Sicherheit des Unternehmens im laufenden Betrieb. Im Sinne der realistischen Emulation, hat das BT keine Kenntnis über die Durchführung des TIBER-EU-Tests.
Das Control‑Team fungiert als zentrale Kontaktstelle im Unternehmen. Es überwacht den Testfortschritt, steuert Kommunikationsflüsse, übernimmt das Risikomanagement und stellt sicher, dass betriebliche Abläufe geschützt werden.
Diese Instanz repräsentiert die Aufsicht und überwacht die Einhaltung des TIBER‑EU‑Frameworks. Sie stellt sicher, dass Regeln und Anforderungen eingehalten werden, und greift im Notfall steuernd ein.
Die genauen Anforderungen an die externen Dienstleister für Threat Intelligence und Red Team können ,Stand 2025, im folgenden offiziellen Dokument „Guidance for Service Provider Procurement“ nachgelesen werden.
So durchdacht ein TIBER-Test auch geplant ist, wo echte Angriffssimulationen stattfinden, besteht immer ein Restrisiko. Besonders das Red-Team agiert zwar mit höchster Vorsicht und Präzision, doch unvorhergesehene Ereignisse lassen sich nie ganz ausschließen. Zum Beispiel der Zugriff auf besonders sensible Daten oder Auswirkungen auf produktive Systeme. Solche Szenarien verlangen ein umsichtiges, strukturiertes Vorgehen.
Wichtig ist daher: Risiken gehören zum Test dazu, der Umgang damit ist entscheidend. Unternehmen müssen im Vorfeld klare Eskalationsstufen, Kommunikationswege und Verantwortlichkeiten definieren. Wann wird das Control-Team aktiv in der Eskalation? Wann werden Leg-Ups eingesetzt, wenn das Risiko zu hoch ist, um den Erkenntnisgewinn zu maximieren, ohne unverhältnismäßige Risiken einzugehen?
Die folgende Grafik gibt einen Überblick über typische Risiken, die im Verlauf eines TIBER-Tests auftreten können und zeigt, wie diese gezielt erkannt, gemanagt und mitigiert werden können.
Lassen Sie uns gemeinsam Ihre IT-Sicherheit auf das nächste Level heben. Die Security Consultants von Cyfidelity steht Ihnen als Partner mit Erfahrung, Weitblick und technologischem Know-how zur Seite.