TIBER-AT (Threat Intelligence-Based Ethical Red Teaming Austria) ist die österreichische Implementierung des europäischen TIBER-EU-Frameworks. Es definiert, wie regulierte Finanzinstitute Red Teaming Assessments unter realen Bedingungen durchführen lassen können - geleitet von realer Threat Intelligence und gegen ihre produktiven Systeme.

Für wen ist TIBER-AT relevant?

TIBER-AT richtet sich primär an systemrelevante Finanzinstitute in Österreich, die unter Aufsicht der FMA oder der OeNB stehen. Mit DORA (Digital Operational Resilience Act) wird Threat-Led Penetration Testing für eine deutlich größere Gruppe von Finanzentitäten in der EU verpflichtend.

Wie lange dauert ein TIBER-AT Assessment?

Ein vollständiger TIBER-AT Zyklus dauert in der Regel 6 bis 9 Monate. Die Threat-Intelligence-Phase beansprucht etwa 4-6 Wochen, die aktive Red-Teaming-Phase 10-12 Wochen, gefolgt von Replay-, Closure- und Remediation-Phasen.

TIBER-AT - Threat-Led Penetration Testing in Österreich

Q: Was kostet ein TIBER-AT Test?

TIBER-AT Assessments sind umfangreiche, mehrmonatige Engagements mit Threat Intelligence, Red Teaming und Replay. Realistische Budgets beginnen bei etwa 150.000 EUR und gehen je nach Scope, Anzahl der getesteten Critical Functions und Komplexität der Organisation deutlich höher.

Q: Wer darf TIBER-AT Assessments durchführen?

TIBER-AT verlangt zwei getrennte Provider: einen Threat Intelligence Provider (TIP) und einen Red Team Provider (RTP). Beide müssen die Anforderungen des TIBER-EU Service Provider Frameworks erfüllen - inklusive nachweisbarer Erfahrung, Methodenkompetenz und Vertraulichkeitsverpflichtungen.

Was ist TIBER-AT?

TIBER-AT ist die österreichische Adaption des europäischen TIBER-EU-Frameworks und steht für Threat Intelligence-Based Ethical Red Teaming Austria. Es ist ein strukturierter Rahmen, der definiert, wie Threat-Led Penetration Testing in regulierten Unternehmen - vor allem im Finanzsektor - durchgeführt werden soll.

Das Framework wurde von der Europäischen Zentralbank (EZB) entwickelt und in Österreich von der Finanzmarktaufsicht (FMA) und der Oesterreichischen Nationalbank (OeNB) in Kraft gesetzt. Es schreibt vor, dass Red Teaming Assessments:

auf realer Threat Intelligence basieren (nicht auf generischen Angriffsszenarien),
gegen die produktive Live-Umgebung durchgeführt werden,
die Blue-Team-Verteidigung aktiv testen,
und einen strukturierten Replay mit dem Verteidigungsteam zur Schließung der gefundenen Lücken enthalten.

TIBER-AT ist kein Pentest und keine Vulnerability-Scan-Initiative. Es ist eine Adversary Simulation auf Vorstandsebene - mit dem Ziel, die operative Widerstandsfähigkeit gegen reale Bedrohungsakteure zu messen und kontinuierlich zu verbessern.

Anwendungsbereich: Wer braucht TIBER-AT?

Primär: Systemrelevante Finanzinstitute

TIBER-AT richtet sich zunächst an Finanzinstitute, die unter Aufsicht der FMA oder der OeNB stehen und als systemrelevant klassifiziert sind. Das umfasst typischerweise:

Große österreichische Banken (G-SIBs und O-SIBs)
Versicherungskonzerne
Zentrale Marktinfrastruktur-Betreiber (Clearing- und Settlement-Häuser)
Zahlungsverkehrsdienstleister mit hoher kritischer Relevanz

Erweiterter Anwendungsbereich durch DORA

Mit dem Digital Operational Resilience Act (DORA), der seit Januar 2025 vollständig anwendbar ist, wird Threat-Led Penetration Testing (TLPT) auf einen deutlich größeren Kreis von Finanzentitäten in der EU ausgedehnt. Die wichtigsten DORA-TLPT-Anforderungen orientieren sich eng an TIBER-EU - in Österreich bedeutet das, dass viele Banken, Versicherungen und Zahlungsdienstleister, die bisher nicht TIBER-AT-pflichtig waren, jetzt mindestens alle drei Jahre einen TLPT-Zyklus durchlaufen müssen.

Freiwillige Anwendung außerhalb des Finanzsektors

Auch Unternehmen, die nicht unter DORA oder TIBER-AT fallen, übernehmen das Framework zunehmend freiwillig - z. B. KRITIS-Betreiber, große Energieversorger und Konzerne mit hoher Cyber-Risiko-Exposition. Der Grund: TIBER-AT liefert ein praxiserprobtes Drehbuch für realitätsnahe Red Teaming Assessments.

Die drei Phasen eines TIBER-AT Assessments

Ein vollständiger TIBER-AT Zyklus besteht aus drei Hauptphasen, eingebettet in eine Vorbereitungs- und eine Closure-Phase. Insgesamt erstreckt sich ein Assessment über 6 bis 9 Monate.

Phase 1: Threat Intelligence (TI)

Die TI-Phase wird von einem Threat Intelligence Provider (TIP) durchgeführt. Ziel ist es, ein Targeted Threat Intelligence Report (TTI-Report) zu erstellen, der drei Fragen beantwortet:

Welche Bedrohungsakteure sind realistisch motiviert, das jeweilige Institut anzugreifen?
Welche Critical Functions und Assets würden diese Akteure ins Visier nehmen?
Welche TTPs (Tactics, Techniques, Procedures) sind für diese Akteure typisch?

Der TTI-Report bildet die Grundlage für die Test Scenarios, die im Anschluss vom Red Team Provider umgesetzt werden. Er stützt sich auf reale OSINT-Recherche, Dark-Web-Analysen, Branchen-spezifische ISACs und proprietäre Intel-Quellen.

Phase 2: Red Teaming (RT)

In der RT-Phase greift ein Red Team Provider (RTP) das Institut über mehrere Monate aktiv an - basierend auf den im TTI-Report definierten Szenarien. Das Vorgehen ist stealthy und realistisch: Das Blue Team (Security Operations) wird nicht vorab informiert, mit Ausnahme einer kleinen White-Team-Gruppe (Vorstand, CISO, ggf. Compliance).

Typische Aktivitäten in dieser Phase:

Reconnaissance: OSINT, Mitarbeiter-Mapping, Tech-Stack-Fingerprinting
Initial Access: Spear-Phishing, OSINT-basierte Social Engineering Calls, Watering-Hole-Angriffe, Supply-Chain-Vektoren
Persistence & Privilege Escalation: Custom Malware, Active Directory-Angriffe, Cloud-Pivoting
Lateral Movement: in Richtung der definierten Critical Functions
Actions on Objective: Demonstration des potenziellen Impacts ohne tatsächliche Schädigung der Produktivumgebung

Während der gesamten RT-Phase werden alle Aktivitäten dokumentiert und mit dem White Team abgestimmt. Bei kritischen Schritten gibt es definierte Stop-Conditions und Leg-Up-Verfahren, falls das Red Team an einer Stelle blockiert wird (z. B. künstliche Bereitstellung eines Zugangs, um die nachfolgenden Phasen testen zu können).

Phase 3: Replay & Closure

Nach Abschluss der aktiven RT-Phase folgt der Replay: Red Team, Blue Team und White Team treffen sich zu einer ausführlichen Nachbesprechung. Das Red Team rekonstruiert die Angriffskette Schritt für Schritt - das Blue Team prüft, an welchen Stellen Erkennung möglich gewesen wäre, was funktioniert hat und wo Lücken bestehen.

Das Ergebnis ist ein detaillierter Maßnahmenkatalog für Detection Engineering, Process Improvements und ggf. Investitionen in zusätzliche Tooling. Die Ergebnisse werden schließlich an die FMA/OeNB übermittelt - in aggregierter, anonymisierter Form, um den Sektor als Ganzes weiterzuentwickeln.

Anforderungen an Provider: Wer darf TIBER-AT durchführen?

TIBER-AT verlangt ausdrücklich zwei getrennte Provider:

Einen Threat Intelligence Provider (TIP) mit nachgewiesener Erfahrung in Cyber Threat Intelligence
Einen Red Team Provider (RTP) mit nachgewiesener Erfahrung in Adversary Simulation gegen produktive Umgebungen

Beide Provider müssen die Anforderungen des TIBER-EU Service Provider Framework erfüllen. Konkret bedeutet das:

Erfahrung: Mehrjährige Praxis in der jeweiligen Disziplin (TI bzw. RT)
Zertifizierungen: Die meisten Provider weisen branchenübliche Zertifikate (OSCP, OSEP, CRTO, CREST CCT/CCRT) nach
Methodenkompetenz: Dokumentierte Methoden und Qualitätssicherung
Vertraulichkeit: Strenge Geheimhaltungs- und Datenschutzanforderungen
Unabhängigkeit: Keine Interessenskonflikte mit dem getesteten Institut
Sicherheitsfreigaben des Personals, oft auch geografische Beschränkungen (EU-only)

Wie slashsec TIBER-AT umsetzt

Als spezialisierter Red Team Provider mit Hauptsitz in Wien bringt slashsec die Voraussetzungen für TIBER-AT und DORA-TLPT-Engagements mit. Unser Team:

verfügt über 20+ Jahre kumulierte Offensive-Security-Erfahrung
hält Branchenzertifizierungen wie OSCP, OSEP, OSWE, CRTO, CRTO2
ist in der Hall of Fame bei Google, Microsoft, Netflix und weiteren Fortune-500-Unternehmen vertreten
hat über 20 CVEs veröffentlicht und ist regelmäßig auf internationalen Konferenzen aktiv
arbeitet seit Gründung mit Banken, Versicherungen und kritischen Infrastrukturen im DACH-Raum

Wir kooperieren bei Bedarf mit etablierten Threat-Intelligence-Providern und können auch die White-Team-Begleitung für Institute übernehmen, die TIBER-AT zum ersten Mal durchlaufen.

Vertiefende Details zu unserer Methodik, dem Ablauf eines Red Teaming Assessments und den eingesetzten Techniken findest du im slashsec Red Teaming Whitepaper (kostenloser PDF-Download).

Kostenloses Erstgespräch zu TIBER-AT vereinbaren

TIBER-AT vs TIBER-DE vs TIBER-EU

TIBER existiert als europäisches Rahmenwerk (TIBER-EU) und wird von einzelnen Mitgliedsstaaten national umgesetzt:

TIBER-EU: Das Mutter-Framework der EZB, herausgegeben 2018, regelmäßig aktualisiert
TIBER-AT: Österreichische Umsetzung, getragen von FMA und OeNB
TIBER-DE: Deutsche Umsetzung, getragen von BaFin und Bundesbank
TIBER-NL, TIBER-IT, TIBER-IE, ...: Weitere nationale Implementierungen

Die Frameworks sind weitgehend identisch in Methode und Phasenstruktur. Unterschiede gibt es vor allem in:

den zuständigen Behörden
den Anwendungsbereichen (welche Institute pflichtig sind)
den Reporting-Pflichten gegenüber dem nationalen Regulator

Ein Institut, das in mehreren EU-Ländern aktiv ist, kann unter Umständen einen TIBER-EU-Test als gegenseitig anerkannt durchführen, statt für jedes Land separat zu testen - die Detailregeln dazu legt jeweils der nationale Regulator fest.

TIBER-AT und DORA: Was ändert sich 2025?

Mit dem Digital Operational Resilience Act (DORA), der ab 17. Januar 2025 unmittelbar anwendbar ist, erhält Threat-Led Penetration Testing einen rechtlich verbindlichen Charakter für viele Finanzentitäten in der EU. Die TLPT-Anforderungen in DORA orientieren sich eng an TIBER-EU, gehen aber in einigen Punkten weiter:

Pflicht statt Empfehlung: Für viele Entitäten wird TLPT verpflichtend, mit einem Mindest-Zyklus von 3 Jahren
Klarere Anforderungen an Provider, Methoden und Reporting
Strengere Konsequenzen bei Nichteinhaltung

Für slashsec-Kund:innen bedeutet das: Wenn euer Institut bisher freiwillig TIBER-AT durchgeführt hat, ist die Methode mit DORA jetzt aufsichtsrechtlich anerkannt. Wer noch nie ein TLPT durchgeführt hat, sollte spätestens 2026 mit der Vorbereitung beginnen.

Häufige Fragen zu TIBER-AT

Was kostet ein TIBER-AT Assessment?
Vollständige TIBER-AT Zyklen mit Threat Intelligence, Red Teaming und Replay sind umfangreiche, mehrmonatige Engagements. Realistische Budgets beginnen bei etwa 150.000 EUR und liegen je nach Scope, Anzahl der getesteten Critical Functions und Komplexität der Organisation deutlich höher.

Wie lange dauert ein TIBER-AT Zyklus?
Üblicherweise 6 bis 9 Monate für einen vollständigen Zyklus. Davon: 4-6 Wochen Threat Intelligence, 10-12 Wochen aktives Red Teaming, danach Replay-, Closure- und Remediation-Phase.

Muss das Blue Team vorab informiert werden?
Nein. Genau das Gegenteil ist der Punkt: Das Blue Team wird bewusst nicht informiert, um realistische Erkennungs- und Reaktionsfähigkeiten zu testen. Nur ein kleines White Team (Vorstand, CISO, ggf. Compliance) weiß vorab Bescheid.

Welche Schäden können während eines TIBER-AT Tests entstehen?
TIBER-AT wird gegen die produktive Umgebung durchgeführt - aber unter klar definierten Rules of Engagement, die jeden potenziell schädlichen Schritt vorab freigeben lassen. Das Red Team demonstriert den Impact, ohne ihn tatsächlich umzusetzen (z. B. Zugriff auf eine Datenbank zeigen, aber keine Daten exfiltrieren oder löschen).

Brauchen wir TIBER-AT, wenn wir bereits regelmäßig Pentests durchführen?
Pentests und TIBER-AT verfolgen unterschiedliche Ziele. Pentests prüfen einzelne Systeme tiefenscharf auf Schwachstellen. TIBER-AT prüft eure ganze Organisation unter realen Angriffsbedingungen, mit Fokus auf Detection und Response. Beide ergänzen sich - sie ersetzen sich nicht.

→ Red Teaming Anbieter im DACH-Raum
→ Red Teaming Anbieter in Deutschland
→ Red Teaming Whitepaper - Methodologie & Ablauf

Kostenloses Erstgespräch zu TIBER-AT oder DORA-TLPT vereinbaren