Zum Inhalt springen
cyber-security.eu
DEEN

TIBER-EU

TIBER-EU ist das europäische Rahmenwerk für bedrohungsgeführte Resilienztests in kritischen Funktionen. Diese Seite erklärt die Grundidee, Phasen und den Bezug zu DORA und TLPT - bewusst auf hoher Ebene und ohne Anleitung zu konkreten Angriffstechniken.

Für wen ist diese Seite relevant?

Diese Seite richtet sich an Verantwortliche aus IT-Risikomanagement, Operational Resilience, Cyber Security und Aufsichtsfunktionen im Finanzsektor sowie an Detection- und SOC-Verantwortliche, die ihre Reife messen wollen.

Was ist TIBER-EU?

TIBER-EU steht für Threat Intelligence-based Ethical Red Teaming im europäischen Kontext. Es ist ein Rahmenwerk, das beschreibt, wie realitätsnahe, bedrohungsgeführte Tests an produktiven Systemen koordiniert, beaufsichtigt und sauber dokumentiert ablaufen.

Ziel ist nicht ein einzelnes Audit-Ergebnis, sondern ein belastbares Bild der Resilienz kritischer Funktionen gegen realistische Bedrohungen.

Wozu dienen bedrohungsgeführte Tests?

Bedrohungsgeführte Tests prüfen, wie gut Erkennung, Reaktion und Wiederherstellung im realen Betrieb funktionieren. Sie zeigen Lücken in Telemetrie, Playbooks, Eskalation, Kommunikation und Zusammenspiel von SOC, IT und Geschäft.

Im Unterschied zu rein technischen Penetrationstests geht es weniger um einzelne Schwachstellen, sondern um die Wirksamkeit der gesamten Verteidigungslinie.

Abgrenzung zu Pentest, Audit und klassischem Red Team

Klassischer Pentest: prüft Anwendungen oder Systeme auf Schwachstellen.

Audit: prüft Konformität gegen Vorgaben.

Klassisches Red Teaming: simuliert Angreifer breit, oft im Auftrag der Sicherheitsorganisation.

TIBER-EU: kombiniert Threat Intelligence, Red Team und enge Aufsicht durch die zuständige Behörde. Der Blue Team-Bereich wird in der Regel nicht vorab informiert, um realistische Reaktion zu messen.

Rollen und Phasen auf hoher Ebene

Auf hoher Ebene umfasst ein TIBER-EU-Test typischerweise:

1. Vorbereitung mit Scope-Definition kritischer Funktionen
2. Threat Intelligence-Phase mit einem Bericht zu realistischen Akteuren und Vorgehensweisen
3. Red-Team-Phase mit bedrohungsgeführter Übung
4. Closure-Phase mit Auswertung, Lessons Learned und Maßnahmenplan

Beteiligt sind ein White Team aufseiten der getesteten Organisation, ein Red Team-Dienstleister, ein Threat-Intelligence-Provider und die zuständige Behörde.

Zusammenhang mit DORA und TLPT

DORA sieht erweiterte Resilienztests vor. Threat-Led Penetration Testing (TLPT) übernimmt zentrale Elemente von TIBER-EU und macht sie für kritische Finanzfunktionen verbindlich. TIBER-EU bleibt der etablierte methodische Rahmen, an dem sich TLPT orientiert.

Warum auch SOC und Detection profitieren

Selbst Organisationen, die selbst kein TIBER-EU-Programm fahren, profitieren von den Lessons Learned anderer: Realistische Tests zeigen wiederkehrende Lücken in Detection, Eskalation und Identitätsschutz. Wer SOC und Incident Response weiterentwickelt, kann diese Erkenntnisse aufnehmen, ohne selbst sofort eine TLPT zu beauftragen.

Was diese Seite bewusst nicht ist

Diese Seite ist eine Einordnung von TIBER-EU. Konkrete Angriffstechniken, Payloads, Detection Rules, Sigma- oder KQL-Beispiele werden hier bewusst nicht vertieft. Diese technische Tiefe gehört in spezialisierte Red- und Purple-Team-Quellen.

Weiterführende technische Inhalte sollen perspektivisch auf einer dedizierten Plattform stattfinden.

Checkliste

  • Kritische Funktionen klar definiert
  • Scope und Schutzmaßnahmen früh festgelegt
  • Erfahrener Threat-Intelligence- und Red-Team-Partner ausgewählt
  • White Team mit klaren Eskalationswegen benannt
  • Geübte Detection und Incident-Response-Prozesse
  • Lessons Learned strukturiert dokumentiert und priorisiert

Häufige Fragen

+Ist TIBER-EU verpflichtend?

TIBER-EU als Rahmenwerk ist freiwillig. Über DORA-TLPT wird es für viele Finanzinstitute methodisch jedoch faktisch maßgeblich.

+Wer führt die Tests durch?

Spezialisierte Red Teams mit dokumentierter Erfahrung in bedrohungsgeführten Übungen, in Kombination mit einem Threat-Intelligence-Provider und unter Aufsicht der zuständigen Behörde.

+Ist das wie ein Pentest?

Nein. Ein Pentest sucht Schwachstellen, eine TIBER-EU-Übung prüft die Wirksamkeit der gesamten Verteidigung gegen realistische Bedrohungen.

Verwandte Themen

DORA - digitale Resilienz im Finanzsektor

DORA bündelt die europäischen Anforderungen an digitale operationale Resilienz im Finanzsektor. Diese Seite ordnet die wichtigsten Bausteine ein - sachlich und ohne Rechtsberatung.

NIS2 - was Unternehmen wissen müssen

Die NIS2-Richtlinie hebt die Anforderungen an Cyber Security in der EU spürbar an. Diese Seite ordnet die wichtigsten Punkte redaktionell ein, ohne Rechtsberatung zu sein.

Was ist ein SOC?

Ein Security Operations Center bündelt Menschen, Prozesse und Technik, um Cyber-Vorfälle früh zu erkennen, strukturiert zu behandeln und nachhaltig zu lernen. Diese Seite zeigt Aufgaben, Modelle und typische Fallstricke.

SIEM

Ein SIEM bündelt Log- und Telemetriedaten, korreliert sie und liefert die Grundlage für Detection und Incident Response. Diese Seite erklärt Funktion, wichtige Datenquellen und typische Fehler.

Incident Response

Ein Sicherheitsvorfall verlangt einen klaren Prozess, geübte Rollen und vorbereitete Kommunikation. Wer im Ernstfall improvisiert, verliert Zeit und macht Fehler. Diese Seite zeigt die Phasen, Verantwortlichkeiten und typischen Stolpersteine.

Cyber Security für Unternehmen

Wirksame Unternehmenssicherheit verbindet Governance mit konkreten technischen und organisatorischen Maßnahmen. Diese Seite zeigt, worauf Entscheider und IT-Verantwortliche zuerst achten sollten - sachlich, ohne Panik und mit klarer Priorisierung.