Ab 2025 müssen gewisse Finanzunternehmen in Österreich in geleiteten Cyberangriffen testen lassen, ob ihre IT den Bedrohungen der digitalen Welt standhält. Das teilen die Österreichische Nationalbank (OeNB) und die Finanzmarktaufsicht (FMA) mit.

Die gezielten Angriffe werden laut den Angaben von den Unternehmen selbst beauftragt und in eigener Verantwortung durchgeführt. Sie laufen nach dem sogenannten Tiber-Standard (Threat Intelligence-Based Ethical Red Teaming) ab. Dabei simulieren "ethische Hacker" (Red Team) unter kontrollierten Bedingungen einen realitätsnahen Cyberangriff.

FMA vergibt Bestätigungsvermerk
Ein bei der OeNB angesiedeltes Tiber Cyber Team Österreich koordiniert und begleitet in Kooperation mit der FMA die Tests. Die Behörden sollen die "konsistente und regelkonforme Durchführung" sicherstellen. Im Anschluss erhalten die Unternehmen ein Attest der FMA. Finanzunternehmen, die Tests durchführen möchten, können sich an das Tiber Cyber Team der OeNB wenden.

Ab 2025 werden die Tests laut OeNB verpflichtend. Das verlangt die EU-Regulierung Dora (Digital Operational Resilience Act), die einen IT-Sicherheitstest, ein sogenanntes Threat-Led Penetration Testing (TLPT), verlangt. Die konkrete Methodik dafür gibt das EU-Tiber-Rahmenwerk vor. Mit der Veröffentlichung des "Tiber-AT Implementation Guide" (externer Link) haben FMA und OeNB diesen Rahmen nun in Österreich umgesetzt. (eml)