TIBER-EU: Threat-Led Red Teaming, wie es die EZB definiert hat.
Ein Leitfaden für CISOs, DORA-Verantwortliche und Aufsichtsansprechpartner: Was TIBER-EU ist, wer es durchführt, wie eine Operation abläuft — und wo TIBER-DE, DORA TLPT und CBEST voneinander abweichen.
Ein Rahmenwerk, kein Werkzeug.
TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) wurde 2018 von der Europäischen Zentralbank veröffentlicht und beschreibt, wie ein bedrohungsgeleiteter Angriff auf produktive Systeme einer Finanzentität geplant, durchgeführt und ausgewertet wird. Das Rahmenwerk definiert Rollen, Phasen und Governance — nicht die konkreten Techniken.
National wird es als TIBER-DE (Deutsche Bundesbank), TIBER-NL, TIBER-IT usw. umgesetzt. Der TIBER-EU-Kern bleibt identisch, damit Ergebnisse zwischen Ländern und Aufsichtsbehörden vergleichbar sind.
Wer sitzt in einer TIBER-Operation am Tisch?
White Team
Sehr kleiner Kreis im Institut, der die Operation koordiniert. Alle anderen — inklusive SOC — bleiben ahnungslos.
Threat Intelligence Provider
Erstellt den institutsspezifischen Targeted Threat Intelligence Report als Grundlage für die Szenarien.
Red Team Provider
Führt die verdeckte Operation auf produktiven Systemen aus. Das ist die Rolle, die Exploit Labs übernimmt.
TIBER Cyber Team (TCT)
Aufsichtsseite — in Deutschland bei der Bundesbank. Begleitet Scope, Ablauf und Attestierung.
Drei Phasen, sechs bis neun Monate.
1. Preparation Phase
Scope, kritische Funktionen, White Team, Beauftragung TI- und RT-Provider, Einreichung Scope-Spezifikation bei der Bundesbank.
2. Testing Phase
Targeted Threat Intelligence Report → Attack-Szenarien → verdeckte Red-Team-Operation auf produktiven Systemen (10–14 Wochen aktiv).
3. Closure Phase
Bericht, Replay-Workshop mit dem Blue Team, Purple-Teaming, Remediation-Plan, gemeinsamer 360°-Report und Attestation.
TIBER-DE, DORA TLPT, CBEST — worin unterscheiden sie sich?
| Framework | Aufsicht | Anwendungsbereich | Verhältnis zu TIBER-EU |
|---|---|---|---|
| TIBER-DE | Deutsche Bundesbank | Deutsche Finanzinstitute (freiwillig / DORA-TLPT-Umsetzung) | Nationale 1:1-Umsetzung von TIBER-EU |
| DORA TLPT | Nationale Aufsicht (BaFin/Bundesbank in DE) | In-Scope-Finanzentitäten nach DORA Art. 26 (verpflichtend) | TIBER-EU ist die anerkannte Methodik für den TLPT |
| CBEST | Bank of England / PRA | Signifikante britische Finanzinstitute | Vorläufer und Schwester-Rahmenwerk — vergleichbare Struktur |
Kurz: TIBER-EU ist die Methodik. TIBER-DE ist die deutsche Umsetzung davon. DORA TLPT ist die Pflicht, die diese Methodik anwendet.
Ein Team, das das Regelwerk kennt — weil es daran mitgeschrieben hat.
ENISA-Contributor 2021–2024
Mitarbeit an europäischen TLPT-Rahmenwerken und Guidance-Dokumenten.
DORA TLPT 2024 abgeschlossen
Vollständige TLPT-Operation für eine regulierte Entität — end-to-end nach TIBER-EU-Methodik.
Ein Team, ein Ansprechpartner
Kein Subcontracting. Dieselben Operator:innen von Kick-off bis Attestation.
Häufige Fragen zu TIBER-EU
Was ist TIBER-EU?→
TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) ist das 2018 von der Europäischen Zentralbank veröffentlichte Rahmenwerk für bedrohungsgeleitetes Red Teaming im Finanzsektor. Es beschreibt, wie ein realistischer, nachrichtendienstlich gesteuerter Angriff gegen die produktiven Systeme eines Instituts durchgeführt wird — mit klaren Rollen für White Team, Threat Intelligence Provider, Red Team Provider und die zuständige TIBER-Cyber-Team-Behörde (in Deutschland: Deutsche Bundesbank).
Wer muss TIBER durchführen?→
TIBER-EU ist national implementiert (TIBER-DE, TIBER-NL, TIBER-IT usw.) und wurde bisher überwiegend freiwillig von großen Banken, Versicherern und Finanzmarktinfrastrukturen genutzt. Seit dem 17. Januar 2025 ist mit Artikel 26 DORA für bestimmte Finanzunternehmen ein Threat-Led Penetration Test (TLPT) verpflichtend — TIBER-EU ist die vom RTS anerkannte Methodik dafür.
Wie unterscheidet sich TIBER-EU von einem klassischen Red Team?→
Drei Dinge sind TIBER-spezifisch: (1) verbindliche Beteiligung der Aufsicht über ein TIBER Cyber Team, (2) ein formaler Threat-Intelligence-Bericht, aus dem Szenarien abgeleitet werden, und (3) verpflichtender Test auf produktiven Systemen mit einem sehr kleinen White Team. Ein normales Red Team ist flexibler, aber ohne diese drei Elemente nicht TIBER-konform.
Wie lange dauert eine TIBER-Operation?→
Realistisch 6–9 Monate von Kick-off bis Abschlussbericht: 4–6 Wochen Threat Intelligence, 10–14 Wochen aktive Red-Team-Phase, dann Reporting, Replay-Workshop mit dem Blue Team und Purple-Teaming. Die reine Testphase ist der kürzere Teil.
Kann man Exploit Labs mit einer TIBER-Operation beauftragen?→
Ja. Exploit Labs war 2021–2024 ENISA-Contributor zu europäischen TLPT-Rahmenwerken und hat 2024 eine DORA TLPT-Operation für ein reguliertes Institut abgeschlossen. Wir liefern die Red-Team-Rolle und arbeiten mit einem separat mandatierten Threat-Intelligence-Provider.
TIBER, TLPT oder ein fokussiertes Red Team?
Wir helfen Ihnen entscheiden, welches Format Ihre Fragestellung, Ihr Regulierungsstand und Ihr Reifegrad erfordern.