Mit der Digitalisierung der Finanzmärkte gehen auch zunehmend Risiken einher. Cyberangriffe haben das Potenzial, das gesamte Finanzsystem zu erschüttern. Fällt zum Beispiel eine Börse oder ein Zahlungsverkehrssystem aus, sind davon sofort tausende Teilnehmer betroffen.

So steht Cybersicherheit auch für die Bundesbank und die EZB hoch auf der Agenda. Am 2. Mai 2018 veröffentlichte die EZB erstmals ein europäisches Rahmenwerk zur Prüfung der Cyberwiderstandsfähigkeit des Finanzsektors mittels Ethical Hacking: Threat Intelligence-based Ethical Red-Teaming EU (TIBER-EU).

Ethical Hacking gilt als umfassendste Prüfung, um die Widerstandsfähigkeit gegen Cyberattacken zu testen und geht in ihrem Umfang über herkömmliche Penetrationstests hinaus. Unter dieser Form des Hackens versteht man abgesprochene, simulierte Angriffe von Spezialisten (dem Red-Team), die unter Verwendung der Taktiken und Vorgehensweisen professioneller Hacker versuchen, in den Kern eines IT-Systems einzudringen.

TIBER-EU, an dessen Erstellung Experten der Bundesbank beteiligt waren, erleichtert einen europaweit harmonisierten Ansatz für solche Red-Team-Übungen. Der Rahmen zielt unter anderem darauf ab, den Akteuren Einsichten darüber zu verschaffen, inwieweit sie in der Lage sind, sich vor Cyberangriffen zu schützen, diese aufzuspüren und darauf zu reagieren.

Entworfen wurde das Rahmenwerk für nationale und europäische Behörden und Finanzmarktakteure, die die zentrale Finanzmarktinfrastruktur bilden, wie Zentralverwahrer, zentrale Gegenparteien oder Zahlungsverkehrssysteme wie TARGET2. Das Rahmenwerk ist gleichzeitig sehr allgemein gehalten, so dass es sich für alle Arten von Unternehmen der Finanzbranche, jedoch auch für andere Industrien eignet.

Nationale und europäische Behörden können nun auf freiwilliger Basis eigene Implementierungen des TIBER-EU-Rahmenwerks vornehmen. Es bietet einerseits ein gewisses Maß an Flexibilität, damit nationalen Besonderheiten Rechnung getragen werden kann. Andererseits beinhaltet TIBER-EU verpflichtende Elemente, damit eine gegenseitige internationale Anerkennung der Tests möglich ist.

Insbesondere für paneuropäische Infrastrukturen, wie z. B. TARGET2, ist ein europäisches Rahmenwerk für Red-Team-Übungen zu begrüßen. Hierdurch kann verhindert werden, dass Regulatoren verschiedener Mitgliedstaaten unterschiedliche Anforderungen im Hinblick auf die Durchführung von Penetrationstests stellen. Derzeit erörtern die BaFin, das BSI und die Bundesbank gemeinsam, wie TIBER-EU in Deutschland umgesetzt werden kann.