Ein Mitarbeiter öffnet ein Dokument, welches er vermeintlich von seinem Geschäftsführer per E-Mail erhalten hat. Unbemerkt installiert sich daraufhin ein Programm auf seinem Computer, breitet sich über das gesamte IT-Netzwerk des Unternehmens aus und verschlüsselt alle Dateien. Am nächsten Tag können sich die Beschäftigten nicht mehr an ihren Geräten anmelden. Stattdessen erscheint auf ihren Computerbildschirmen eine Lösegeldforderung: Gegen Zahlung eines Betrags wird die Entschlüsselung der Unternehmensdaten versprochen.

Für viele deutsche Unternehmen ist dies längst keine Fiktion mehr. So haben laut einer Umfrage des Branchenverbands Bitkom 86 Prozent der befragten deutschen Unternehmen im Jahr 2021 Schaden durch einen Cyberangriff erlitten. Eine besonders bedrohte Zielgruppe sind dabei die kritischen Infrastrukturen, darunter auch die des Finanzsystems. Die Deutsche Bundesbank und das Bundesministerium der Finanzen halten diese Entwicklung für besorgniserregend. Ein schwerer Cyberangriff kann zum Beispiel eine Geschäftsbank in Schwierigkeiten bringen, wenn das Online-Banking gestört wird oder eigene Zahlungen nicht mehr geleistet werden können. Im schlimmsten Fall könnte dies die Existenz der Bank gefährden. Zudem blieben die Auswirkungen eines solchen Angriffs aufgrund der hohen Vernetzung im Finanzsektor nicht auf einzelne Banken beschränkt. Ähnlich wie in der Finanzkrise von 2008 könnten Schwierigkeiten einer Bank schnell auf andere Banken und Versicherungen überspringen und somit zu einer Krise des gesamten Finanzsystems führen. 

Um solche Szenarien zu vermeiden, wollen die Bundesbank und das Bundesfinanzministerium den Finanzsektor widerstandsfähiger gegenüber Cyberangriffen machen. Dies wird zum einen durch bereits bestehende aufsichtliche Vorgaben an die IT-Sicherheit der Finanzinstitute erreicht, deren Einhaltung von den Finanzaufsichtsbehörden überprüft wird. Für größere Banken und Versicherungen gibt es seit dem Jahr 2019 zudem die Möglichkeit, sich freiwillig einem TIBER-DE-Test (Threat Intelligence Based Ethical Redteaming Deutschland) zu unterziehen und sich gezielt „hacken“ zu lassen. Dabei beauftragt das betroffene Unternehmen ein spezialisiertes IT-Dienstleistungsunternehmen mit dem Angriff auf sich selbst. 

Diese Angriffe sind nicht immer auf das IT-Netzwerk des Unternehmens beschränkt. Die Hacker können die Bürogebäude auch betreten, um so Zugriff auf die IT-Systeme zu erlangen. Die für die IT-Sicherheit zuständigen Mitarbeiterinnen und Mitarbeiter der Unternehmen werden vorab nicht über den Test informiert und müssen die Angriffe unter realistischen Bedingungen erkennen und abwehren. 

TIBER-DE-Tests müssen den hohen Standards des TIBER-EU Rahmenwerkes genügen, welches das Eurosystem im Jahr 2018 verabschiedet hat. Zur Unterstützung begleitet das TIBER-Kompetenzzentrum der Bundesbank die Unternehmen bei den Tests. Damit gehören wir in Europa zu den Vorreitern. 

Das Programm ist ein voller Erfolg. Für die Unternehmen liefern diese freiwilligen Tests wertvolle Hinweise zur Verbesserung ihrer IT-Sicherheit. Oftmals werden Schwachstellen in den IT-Systemen gefunden, welche noch nicht erkannt oder sogar vermeintlich schon geschlossen wurden. Doch nicht alle Schwachstellen sind technischer Natur. Der Mensch ist regelmäßig eine der größten Schwachstellen. Oft „unterstützen“ die Beschäftigten der Unternehmen die Hacker unwissentlich, wenn sie zum Beispiel auf Links in betrügerischen E-Mails klicken, unbekannte Dateianhänge öffnen oder den Hackern gar die Tür zum Bürogebäude aufhalten. 

Im Anschluss an die Tests werden die Ergebnisse durch die Unternehmen und die beauftragten Dienstleister in Workshops ausgewertet und Verbesserungen aufgezeigt. Dadurch konnten viele Lücken in der Cyberabwehr von Unternehmen des deutschen Finanzsektors geschlossen werden. Außerdem steigen bei den getesteten Unternehmen die Bereitschaft und die Einsicht, noch mehr in das Erkennen von und den Schutz vor Cyberangriffen zu investieren.

Die Welt der Cyberkriminellen ist schnelllebig und verändert sich ständig. Um damit Schritt zu halten, muss sich auch das TIBER-Kompetenzzentrum der Bundesbank ständig weiterentwickeln. Eine wichtige Rolle wird dabei der bald in Kraft tretende Digital Operational Resilience Act (DORA) der EU spielen. Mit DORA möchte der Gesetzgeber die Cyberresilienz des europäischen Finanzsektors stärken. Eine neue Anforderung darin ist, dass diese Tests nicht mehr nur freiwillig sind, sondern für große Unternehmen im Finanzsektor verpflichtend. Sie müssen nunmehr regelmäßig TIBER-Tests durchführen. Damit werden diese Tests zu einem Instrument der Finanzaufsicht. Das stärkt den vom Bundesfinanzministerium vorangetriebenen Prozess der Digitalisierung des Finanzsektors, der mit immensen Vorteilen für die Verbraucherinnen und Verbraucher verbunden ist. 

Durch die vorhandene Expertise, die gesammelte Erfahrung und die enge Vernetzung mit den anderen TIBER-Kompetenzzentren in Europa ist die Bundesbank bestens darauf vorbereitet, die TIBER-Aktivitäten in Zukunft auch unter DORA erfolgreich fortzusetzen. Ergänzend wird die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihre aufsichtliche Expertise einbringen, um die Umsetzung zu begleiten. Damit gehen wir weiterhin gemeinsam und entschlossen gegen die stetig steigende Bedrohung aus dem Cyberraum vor