TIBER-EU und TIBER-DE: Threat-Led Penetration Testing für den Finanzsektor

TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) ist das von der Europäischen Zentralbank entwickelte Rahmenwerk für realistische, geheimdienstgestützte Penetrationstests im Finanzsektor. In Deutschland wird es als TIBER-DE durch die Deutsche Bundesbank koordiniert. Mit DORA Art. 26 wurde TIBER-EU zur regulatorischen Grundlage für den neuen TLPT-Standard. Dieser Leitfaden erklärt, wer TIBER-EU benötigt, wie das dreimonatige Engagement abläuft, was es kostet und wie Sie sich mit einem Standard-Pentest darauf vorbereiten können.

TIBER-Vorbereitung starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Warum TIBER-EU und nicht ein klassischer Pentest?

Klassische Penetrationstests folgen einem festen Scope und gehen von bekannten Angriffsvektoren aus. TIBER-EU kehrt diesen Ansatz um: Zuerst erstellt eine akkreditierte Threat-Intelligence-Firma (CTI-Provider) einen individuellen Threat-Intelligence-Report, der auf echten Angreifer-TTPs (Taktiken, Techniken, Prozeduren) basiert, die speziell auf das geprüfte Institut zugeschnitten sind. Erst dann führt ein akkreditierter Red-Team-Anbieter die Angriffe durch — unangekündigt gegen die reale Produktionsumgebung, mit vollständiger Deception-Strategie (die meisten Mitarbeiter des Instituts wissen nicht, dass gerade ein Red-Team-Test stattfindet). Dieser Ansatz testet nicht nur technische Schwachstellen, sondern die vollständige 'detect and respond'-Fähigkeit des Instituts unter realistischen Bedingungen. DORA Art. 26 hat TIBER-EU als verbindlichen Standard für TLPT-Tests übernommen, womit systemrelevante Finanzinstitute in der EU nunmehr rechtlich zur Durchführung verpflichtet sind.

DORA Art. 26 Abs. 1: Systemrelevante Finanzinstitute müssen mindestens alle drei Jahre einen 'Threat-Led Penetration Test' (TLPT) durchführen — TIBER-EU ist der von der EZB definierte Standard für diese Tests.
TIBER-EU Phasen: (1) Vorbereitungsphase (4–6 Wochen): Scoping, Kontrollteam-Setup, Auswahl der akkreditierten CTI- und Red-Team-Anbieter. (2) Testing-Phase (8–12 Wochen): CTI-Report-Erstellung, Red-Team-Angriff gegen Produktion. (3) Abschlussphase (2–4 Wochen): Purple-Teaming, Remediation-Roadmap, Behörden-Reporting.
TIBER-DE (Deutsche Bundesbank): Nationaler Implementierungsrahmen für TIBER-EU in Deutschland — die Bundesbank koordiniert den Genehmigungsprozess und akkreditiert CTI- und Red-Team-Anbieter. Typische akkreditierte Anbieter: WithSecure (ehem. F-Secure), Mandiant (Google), NCC Group, KPMG Threat Intelligence.
EZB-Akkreditierung: Nur auf der offiziellen EZB-Liste geführte CTI-Anbieter und Red-Team-Provider dürfen TIBER-EU-Tests durchführen. Die Akkreditierung umfasst Background-Checks der Tester, Geheimhaltungsvereinbarungen mit der Zentralbank und strenge Reporting-Pflichten.
Kosten TIBER-EU: Typischerweise €80.000–€250.000 pro vollständigem Engagement, je nach Institutsgröße und Komplexität. Aufgeteilt: CTI-Provider ~€20.000–€60.000, Red-Team-Provider ~€60.000–€190.000. Dazu kommen interne Kosten für die Koordination (~0,5 FTE über 12 Wochen).
Purple-Teaming (TIBER-EU Phase 3): Nach dem Red-Team-Angriff gemeinsame Analyse von Red Team und Blue Team (SOC/Incident Response) — zentrales Lernelement des TIBER-EU-Frameworks, das klassischen Pentests fehlt.
Gegenseitige Anerkennung: TIBER-EU-Tests werden über Grenzen hinweg anerkannt — ein in Deutschland durchgeführter TIBER-DE-Test gilt auch für Niederlassungen in anderen EU-Ländern, die TIBER-xx implementiert haben (TIBER-NL, TIBER-BE, TIBER-FR etc.).

Was ein TIBER-EU Red-Team-Test umfasst

Threat-Intelligence-gestützter Scope: CTI-Provider analysiert spezifische Bedrohungsakteure für das Institut (z.B. staatlich gestützte APT-Gruppen, Ransomware-Operatoren) und erstellt Custom-TTPs auf Basis von MITRE ATT&CK für Finanzdienste.
Initial Access Simulation: Spear-Phishing gegen Führungskräfte und IT-Mitarbeiter, Exploitation von VPN/Remote-Access-Schwachstellen, Watering-Hole-Angriffe auf branchenspezifische Websites — realistische Angriffsvektoren aus dem CTI-Report.
Lateral Movement im Netzwerk: Active-Directory-Exploitation (Kerberoasting, Pass-the-Hash, DCSync, Golden Ticket), interne Netzwerk-Traversal, Privilegieneskalation auf Domain-Admin-Niveau.
Kritische Asset-Kompromittierung: Zugriff auf Banking-Kernsysteme (Core Banking System), SWIFT-Schnittstellen, Zahlungsverkehrs-Infrastruktur, Treasury-Systeme — der CTI-Report definiert, welche Assets als 'crown jewels' gelten.
Daten-Exfiltration-Simulation: Nachweis, dass vertrauliche Kundendaten, Handelspositionen oder Compliance-Informationen extrahiert werden könnten — inklusive Ausweichen von DLP-Systemen.
Persistence-Mechanismen: Einrichten von Command-and-Control (C2) Verbindungen, Backdoors, Scheduled Tasks — Nachweis wie lange ein Angreifer unentdeckt im Netz verbleiben könnte.
Blue-Team-Detektions-Test: Parallel: Messung der Erkennungszeit (Time-to-Detect), Reaktionszeit (Time-to-Respond), Qualität der Incident-Response-Reaktion — TIBER-EU testet explizit die 'detect and respond'-Fähigkeit.
SWIFT CSP CSCF v2024: Spezifische Tests gegen SWIFT-Schnittstellen und Zahlungsverkehrs-Infrastruktur (Mandatory Control 1.1, 1.2, 2.1, 6.1) — SWIFT Customer Security Programme-Anforderungen.
Supply-Chain-Attack-Simulation (optionale Scope-Erweiterung): Angriff über Drittanbieter-Zugänge, kompromittierte Software-Updates, Insider-Threat-Szenarien.
Purple-Teaming-Exercise: Gemeinsame Session Red Team + Blue Team + Management — Durchspielen von Szenarien, Identifikation von Detection-Gaps, Prioritätensetzung für Remediation.

Beispiel-Befund

Kritisch

Golden Ticket via DCSync: Vollständige AD-Kompromittierung in 4 Stunden

Nach erfolgreichem Spear-Phishing-Angriff auf einen Mitarbeiter der IT-Abteilung (initiale Prämisse: Zugang zu einem Endgerät mit Domain-User-Rechten) konnte das Red Team via Kerberoasting (CVE-2022-37967, CVSS 7.2) einen Service-Account mit schwachem Passwort kompromittieren. Über diesen Account war DCSync-Zugriff möglich (DsGetNCChanges RPC-Call), was die vollständige Extraktion aller NTLM-Passwort-Hashes des Active Directory erlaubte (inkl. KRBTGT-Account). Mit dem KRBTGT-Hash wurden Kerberos Golden Tickets erstellt, die zeitlich unbegrenzten Zugriff auf alle Domain-Ressourcen ermöglichen — inkl. des Core-Banking-Servers, der SWIFT-Messaging-Infrastruktur und der Backup-Systeme. Der Blue-Team (SOC) hat die Aktivität nicht innerhalb der 72-Stunden-Übungsperiode detektiert.

Behebung: KRBTGT-Account-Passwort-Rotation (zweifach, mit 10-Stunden-Pause) zur Invalidierung aller bestehenden Kerberos-Tickets. Einführung von Privileged Access Workstations (PAW) für alle IT-Admins. DCSync-Rechte auf Minimum reduzieren (nur Replikations-Service-Accounts). Implementierung von Azure ATP / Microsoft Defender for Identity für Echtzeit-Erkennung von Kerberoasting und DCSync-Angriffen. AD-Tiering-Modell einführen (Tier 0/1/2-Trennung). SOC-Alert-Regeln für DsGetNCChanges-RPCs schärfen. Dokumentation als TIBER-EU Purple-Teaming-Finding.

Referenz: CVE-2022-37967 (Kerberos Privilege Elevation) · MITRE ATT&CK T1003.006 (DCSync) · T1558.001 (Golden Ticket) · TIBER-EU Red Team Guidance v2.0 · DORA Art. 26 Abs. 4

TIBER-EU vs. Standard-Pentest: Vergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

TIBER-EU-Vorbereitung mit Matproof

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zu TIBER-EU und TIBER-DE

Wer muss TIBER-EU / TIBER-DE durchführen?

TIBER-EU ist verpflichtend für systemrelevante Finanzinstitute gemäß DORA Art. 26 — in Deutschland: bedeutende Institute unter EZB-Aufsicht (Direct Supervision, ca. 115 EU-weit), sowie national bedeutende Institute unter BaFin-Aufsicht die als 'TIBER-relevant' eingestuft werden. Kleinere Institute sind nicht verpflichtet, können aber freiwillig TIBER-Tests durchführen. BaFin und Bundesbank veröffentlichen regelmäßig die Liste der pflichtigen Institute.

Wie lange dauert ein TIBER-EU-Test?

Ein vollständiger TIBER-EU-Test dauert typischerweise 10–16 Wochen: 4–6 Wochen Vorbereitung (Scoping, Provider-Auswahl, Genehmigungsverfahren mit Bundesbank), 6–10 Wochen Testing-Phase (CTI-Report-Erstellung ~4 Wochen, Red-Team-Angriff ~6–8 Wochen, parallel), 2–4 Wochen Abschlussphase (Purple-Teaming, Reporting, Behörden-Kommunikation). Das ist deutlich länger als ein klassischer Pentest — plant entsprechenden Vorlauf ein.

Welche Anbieter sind für TIBER-EU in Deutschland akkreditiert?

Die Deutsche Bundesbank führt eine Liste akkreditierter CTI- und Red-Team-Anbieter. Bekannte akkreditierte Red-Team-Anbieter: WithSecure (ehem. F-Secure), Mandiant/Google Cloud, NCC Group, KPMG, Deloitte Cyber. Die vollständige aktuelle Liste ist bei der Bundesbank erhältlich. Matproof Sentinel ist keine TIBER-EU-akkreditierte Plattform — wir empfehlen für den TIBER-Test akkreditierte Partner und unterstützen bei der Vorbereitung.

Was kostet ein TIBER-EU-Test und wie finanziert man ihn?

Typische Kosten: €80.000–€250.000 für ein vollständiges TIBER-EU-Engagement (CTI-Provider + Red-Team-Provider + interne Koordination). Für internationale Gruppen mit mehreren nationalen Niederlassungen kann eine Kostenaufteilung über Gruppenstruktur erfolgen (Konsolidiertes TIBER-EU gilt für alle Jurisdiktionen mit TIBER-Implementation). Einige Banken budgetieren TIBER als Teil des Security-Budgets, andere als regulatorische Compliance-Ausgabe.

Wie bereite ich mein Institut auf TIBER-EU vor?

Optimale Vorbereitung: (1) DORA Art. 24 Standard-Pentest durchführen und alle kritischen und hohen Befunde beheben — ein TIBER-Test auf einer Basis von ungepatchten Schwachstellen ist verschwendetes Budget. (2) AD-Sicherheit härten (Tiering, PAW, MFA für alle Admins). (3) SOC-Detektionsqualität verbessern (SIEM-Regeln, Threat-Hunting-Fähigkeiten). (4) Incident-Response-Playbooks testen. (5) Matproof Sentinel als kontinuierlicher Test zwischen TIBER-Zyklen einsetzen.

Was ist der Unterschied zwischen TIBER-EU und CBEST (UK)?

Beide sind Threat-Intelligence-basierte Red-Team-Frameworks für den Finanzsektor. CBEST wurde von der Bank of England entwickelt und gilt für britische Finanzinstitute. TIBER-EU ist das EU-weite Äquivalent der EZB. Nach dem Brexit erkennen sich beide Frameworks gegenseitig nicht mehr automatisch an — britische Banken mit EU-Niederlassungen müssen sowohl CBEST als auch TIBER-EU-konform testen. Inhaltlich sind die Methodiken sehr ähnlich (PTES-basiert, CTI-First).

Kann TIBER-EU auch für den Versicherungssektor gelten?

Ja — DORA Art. 26 gilt für alle Finanzunternehmen nach Art. 2 DORA, einschließlich Versicherungsunternehmen, Rückversicherer und Versicherungsholdinggesellschaften. EIOPA (European Insurance and Occupational Pensions Authority) hat TIBER-EU als Grundlage für TLPT-Tests im Versicherungssektor übernommen. Für Versicherer beginnen TLPT-Verpflichtungen ebenfalls ab dem 17. Januar 2025 (DORA-Geltungsbeginn).

Was passiert nach einem TIBER-EU-Test — welche Ergebnisse werden veröffentlicht?

TIBER-EU-Ergebnisse sind streng vertraulich und werden ausschließlich dem Institut, der zuständigen Aufsichtsbehörde (BaFin/EZB) und der koordinierenden Zentralbank (Bundesbank) mitgeteilt. Es gibt keine öffentliche Veröffentlichung von Befunden. Das Institut erhält ein 'TIBER-EU Test Certificate' (bei erfolgreichem Abschluss), das gegenüber anderen nationalen Zentralbanken als Nachweis gilt. Kritische Befunde müssen innerhalb eines vereinbarten Zeitraums behoben werden, bevor das Zertifikat ausgestellt wird.

Vertiefen — verwandte Artikel aus unserem Blog

Auf TIBER-EU vorbereiten — jetzt mit Matproof

Bevor Sie €80.000–€250.000 in einen TIBER-EU-Test investieren, sollten alle bekannten Schwachstellen behoben sein. Matproof Sentinel identifiziert Ihre kritischen Risiken in Stunden statt Wochen — als optimale Vorbereitung auf TIBER-EU und als Nachweis für DORA Art. 24.