Praxishandbuch Digital Operational Resilience Act | DORA
1. Aufl. 2025
Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
S. 1276. Threat-Led Penetration Testing in der Praxis: Die Umsetzung von TIBER in Österreich
6.1. Testen der Cyber-Resilienz von Finanzunternehmen in der EU
Mit der Anwendung von DORA wird ab 2025 die Durchführung von „Threat-Led Penetration Testing“ (TLPT) für ausgewählte Finanzunternehmen verpflichtend. Die konkrete Ausgestaltung von TLPT orientiert sich dabei eng am EU-weit etablierten TIBER-Standard. TIBER steht für „Threat Intelligence-Based Ethical Red Teaming“. Dabei simulieren „ethische Hacker“ (die sogenannten „Red Team Tester“) auf Basis einer Vorbereitungsphase, in der das zu testende Finanzunternehmen ausgespäht wird, einen realitätsnahen Angriff auf die kritischen IT-Systeme des Finanzunternehmens und ermöglichen dadurch einen ganzheitlichen Blick auf dessen Sicherheitsniveau. Dieses Kapitel gibt einen Hintergrund zu TIBER und zu den Anpassungen, die auf Grund von DORA erforderlich wurden.
6.1.1. Ursprung von TIBER
Die Ursprünge von TIBER finden sich in den Niederlanden. Gemeinsam mit den wichtigsten niederländischen Finanzinstituten entwickelte die niederländische Zentralbank (De Nederlandsche Bank, DNB) das erste entsprechende Rahmenwerk in der EU und startete Mitte 2016 mit d...