TIBER-CH / TIBER-EU: Was Schweizer Finanzinstitute wissen müssen

Q: Was ist TIBER-EU, und wie unterscheidet sich TIBER-CH?

See section: Was ist TIBER-EU, und wie unterscheidet sich TIBER-CH?

Q: Warum TIBER für Schweizer Finanzinstitute relevant ist

See section: Warum TIBER für Schweizer Finanzinstitute relevant ist

Q: Wer führt TIBER-CH-Tests durch?

See section: Wer führt TIBER-CH-Tests durch?

Q: Für wen ist TIBER-CH geeignet?

See section: Für wen ist TIBER-CH geeignet?

TIBER-CH: Was Schweizer Finanzinstitute über das Red-Teaming-Framework wissen müssen

TIBER-CH ist das nationale Framework der Schweiz für Threat Intelligence-Based Ethical Red Teaming im Finanzsektor. Es ist die Schweizer Umsetzung des europäischen TIBER-EU-Frameworks der Europäischen Zentralbank und dient dazu, die Cyber-Resilienz systemrelevanter Finanzinstitute durch kontrollierte, realistische Angriffssimulationen zu testen.

Für Schweizer Banken, Versicherungen und Finanzmarktinfrastrukturen, die unter FINMA-Aufsicht stehen, ist TIBER-CH zunehmend relevant – sowohl als Möglichkeit zur Erfüllung regulatorischer Erwartungen als auch als strategisches Werkzeug zur Stärkung der Sicherheitslage.

Was ist TIBER-EU, und wie unterscheidet sich TIBER-CH?

TIBER-EU: Das europäische Ursprungs-Framework

TIBER-EU (Threat Intelligence-Based Ethical Red Teaming – European Union) wurde 2018 von der Europäischen Zentralbank (EZB) entwickelt und bietet nationalen Zentralbanken und Aufsichtsbehörden ein standardisiertes Framework für kontrollierte Cyberangriffs-Tests gegen Finanzinstitute.

Kernprinzip: Im Gegensatz zu klassischen Penetrationstests oder Vulnerability Assessments simuliert TIBER-EU echte, fortgeschrittene Bedrohungsakteure (Advanced Persistent Threats, APTs) basierend auf realer Threat Intelligence – also aktuellen Informationen über die konkreten Angreifer, Taktiken, Techniken und Verfahren (TTPs), die gegen das jeweilige Institut eingesetzt werden könnten.

TIBER-CH: Die Schweizer Adaption

Da die Schweiz nicht EU-Mitglied ist, hat das TIBER-EU-Framework keine direkte Bindungswirkung. Die Schweiz hat jedoch ein eigenes, am TIBER-EU-Modell orientiertes Framework entwickelt: TIBER-CH.

TIBER-CH wird von der Schweizerischen Nationalbank (SNB) und in Koordination mit der FINMA (Eidgenössische Finanzmarktaufsicht) umgesetzt. Es ist spezifisch auf den Schweizer Finanzmarkt zugeschnitten und berücksichtigt die Besonderheiten des Schweizer Regulierungsrahmens.

Wichtiger Unterschied: TIBER-EU ermöglicht es, ein Test-Resultat grenzüberschreitend anzuerkennen (wenn ein Institut in mehreren EU-Ländern tätig ist). Da die Schweiz ausserhalb der EU liegt, ist diese gegenseitige Anerkennung formal nicht automatisch gegeben – obwohl in der Praxis Abstimmungen mit EU-Aufsichtsbehörden möglich sind.

Warum TIBER für Schweizer Finanzinstitute relevant ist

Regulatorischer Kontext: FINMA-Anforderungen

Die FINMA hat die Erwartungen an die Cyber-Resilienz systemrelevanter Institute in ihren Rundschreiben und aufsichtsrechtlichen Positionen zunehmend konkretisiert. Für Informationen zu den vollständigen regulatorischen Anforderungen empfehlen wir unsere Seite zu den FINMA-Cybersecurity-Anforderungen.

TIBER-CH bietet einen strukturierten, von Aufsichtsbehörden anerkannten Rahmen, um die Cyber-Resilienz nachzuweisen – was zunehmend Teil der regulatorischen Erwartungshaltung an systemrelevante Finanzinstitute wird.

Koordination mit DORA (Digital Operational Resilience Act)

Auch wenn DORA als EU-Verordnung formal nicht für Schweizer Institute gilt, sind Schweizer Finanzinstitute, die EU-weit tätig sind oder mit EU-Regulierten zusammenarbeiten, indirekt betroffen. DORA schreibt für bestimmte Finanzinstitute Threat-Led Penetration Testing (TLPT) vor – was im Wesentlichen dem TIBER-Konzept entspricht.

Statistik: Laut einer Befragung des Swiss Finance Institute aus dem Jahr 2025 haben 34% der befragten Schweizer Banken DORA als relevanten Rahmen für ihre eigene Cyber-Resilienz-Strategie identifiziert, obwohl sie formal nicht darunter fallen.

Marktpositionierung und Vertrauen

Schweizer Finanzinstitute, die gegenüber internationalen Partnern, Korrespondenzbanken oder institutionellen Kunden nachweisen müssen, dass ihre Cyber-Resilienz auf höchstem Niveau ist, profitieren von einem TIBER-CH-Test als unabhängigem, strukturiertem Nachweis.

Ablauf eines TIBER-CH-Tests

Ein TIBER-Prozess ist deutlich gründlicher und aufwendiger als ein konventioneller Penetrationstest. Er umfasst drei Hauptphasen:

Phase 1: Vorbereitungsphase (Prep Phase)

Dauer: 4–8 Wochen

Beteiligte:

Das zu testende Institut (Target Entity)
Die Aufsichtsbehörde (SNB/FINMA) als Beobachter/Koordinator
Das White Team (internes Kontrollgremium des Instituts, das den Test steuert)

Inhalt:

Scope-Definition: Welche Systeme, Prozesse und Personen sind Teil des Tests?
Engagement Letter: Formale Genehmigung des Tests durch Geschäftsleitung und Aufsicht
Auswahl der Threat Intelligence Provider (TIP) und Red-Team-Provider (RTP)
Festlegung der Geheimhaltungsregeln (wer weiss was?)

Kritisches Merkmal: Bei TIBER-Tests wissen idealerweise nur das White Team und die Geschäftsleitung vom Test. Die Security-Abteilung, das Blue Team und die operative IT wissen nichts – das macht den Test realistisch.

Phase 2: Test-Phase (Test Phase)

Dauer: 10–16 Wochen (typischerweise)

Teilphase 2a: Targeted Threat Intelligence (TTI)

Zuerst erstellt ein spezialisierter Threat Intelligence Provider (TIP) einen massgeschneiderten Bedrohungsbericht für das Institut:

Welche Bedrohungsakteure (APT-Gruppen, cyberkriminelle Organisationen) haben in der Vergangenheit ähnliche Institute angegriffen?
Welche spezifischen TTPs (Tactics, Techniques, Procedures) setzen diese Akteure ein?
Welche spezifischen Einfallstore (Menschen, Technologien, Prozesse) sind für das Institut besonders relevant?

Ergebnis: Ein Targeted Threat Intelligence Report, der als Grundlage für den Red-Team-Test dient.

Teilphase 2b: Red-Team-Test

Auf Basis des TTI-Reports führt das Red Team einen kontrollierten, aber realistischen Angriff durch:

Der Test simuliert alle Phasen eines echten APT-Angriffs (Reconnaissance, Initial Access, Lateral Movement, Privilege Escalation, Exfiltration)
Genutzte Techniken und Tools spiegeln die im TTI-Report identifizierten realen Bedrohungsakteure wider
Das Red Team dokumentiert jeden Schritt präzise für die spätere Analyse

Was ist in Scope (typisch):

Social Engineering und Phishing gegen Mitarbeitende
Technische Angriffe auf externe Infrastruktur (Webseiten, VPN, E-Mail)
Angriffe auf interne Netzwerke (nach erfolgreichem Initial Access)
Physische Zugriffsversuche (optional)
Angriffe auf Cloud-Infrastruktur

Phase 3: Abschlussphase (Closure Phase)

Dauer: 4–8 Wochen

Purple-Team-Übung: Das Red Team und das Blue Team analysieren gemeinsam die Angriffe und Erkennungen. Ziel: Verbesserung der Detection- und Response-Fähigkeiten.
Erstellung des Red-Team-Reports: Vollständige Dokumentation aller Angriffe, genutzten Techniken und Findings.
Remediation-Plan: Priorisierte Massnahmen zur Behebung identifizierter Schwachstellen.
Feedback-Bericht an die Aufsichtsbehörde: Zusammenfassung der Ergebnisse (ohne operative Details) für SNB/FINMA.
Zertifikat/Attestierung: Formaler Nachweis des durchgeführten Tests.

“TIBER ist nicht einfach ein längerer Penetrationstest. Es ist eine fundamental andere Art der Sicherheitsprüfung: massgeschneidert, bedrohungsorientiert und auf die spezifischen Risiken des getesteten Instituts ausgerichtet. Wer das nicht versteht, wird von den Ergebnissen überrascht sein – positiv wie negativ.” – Leiterin Cyber-Risiko eines Schweizer Grossbankunternehmens, 2025

TIBER-CH vs. konventioneller Penetrationstest: Die Unterschiede

Merkmal	TIBER-CH	Penetrationstest
Grundlage	Reale Threat Intelligence	Generische Angriffstechniken
Dauer	6–12 Monate	1–4 Wochen
Scope	Gesamtes Institut (People, Process, Technology)	Definierte technische Ziele
Wissensstand Blue Team	Wissen nichts (realistisch)	Oft informiert
Regulatorische Anerkennung	Hoch (FINMA, SNB)	Begrenzt
Kosten	CHF 300’000–1’000’000+	CHF 15’000–100’000
Empfehlung	Systemrelevante Finanzinstitute	KMU, regelmässige Überprüfungen

Für einen detaillierten Vergleich zwischen verschiedenen Sicherheitsprüfungsmethoden empfehlen wir unsere Analyse Red Teaming vs. Penetrationstest.

Wer führt TIBER-CH-Tests durch?

TIBER-CH stellt spezifische Anforderungen an die beteiligten Dienstleister. Sowohl Threat Intelligence Provider als auch Red-Team-Provider müssen qualifizierte, zuverlässige Anbieter sein – und nach den TIBER-EU-Richtlinien akkreditiert oder anerkennt werden.

Anforderungen an Red-Team-Provider (RTP)

Nachgewiesene Erfahrung mit komplexen Red-Team-Operationen
Kapazität für langandauernde, koordinierte Engagements
Expertise in APT-Emulation (Nachbildung realer Bedrohungsakteure)
Erfahrung mit Finanzsektor-Umgebungen
Robuste OPSEC-Praktiken (Operational Security)

Anforderungen an Threat Intelligence Provider (TIP)

Etablierte Threat-Intelligence-Plattformen und -Quellen
Fähigkeit zur massgeschneiderten Bedrohungsanalyse
Nachgewiesene Kenntnisse der Bedrohungslandschaft für den Finanzsektor
Kapazität zur Erstellung hochwertiger Targeted Threat Intelligence Reports

Kosten von TIBER-CH-Tests

TIBER-CH-Tests sind aufgrund ihres Umfangs und ihrer Dauer signifikant teurer als konventionelle Sicherheitsüberprüfungen:

Kostenkategorie	Kosten (geschätzt)
Threat Intelligence Provider	CHF 50’000–150’000
Red-Team-Provider	CHF 150’000–500’000
Interner Aufwand (White Team, Koordination)	CHF 50’000–200’000
Gesamt	CHF 250’000–850’000+

Diese Zahlen erklären, warum TIBER-CH primär für systemrelevante Finanzinstitute mit entsprechendem Budget vorgesehen ist. Für kleinere Finanzinstitute und KMU bieten sich skalierte Red-Teaming-Ansätze an, die nach demselben methodischen Prinzip (bedrohungsbasiert, realistisch) arbeiten, jedoch mit angepasstem Scope und Dauer.

Statistik: Die durchschnittlichen Kosten eines TIBER-EU-Tests in Europa lagen laut einer Analyse der European Banking Authority (EBA) 2024 bei EUR 400’000 bis 600’000 – für Grossbanken mit komplexen Infrastrukturen auch deutlich höher.

TIBER-CH und FINMA: Regulatorische Einordnung

Die FINMA hat TIBER-CH nicht als verpflichtendes Instrument eingeführt. Jedoch:

Regulatorische Erwartung: Für systemrelevante Banken (gemäss Too-Big-to-Fail-Regulierung) und andere systemrelevante Finanzmarktinfrastrukturen erwartet die FINMA zunehmend den Nachweis robuster Cyber-Resilienz-Tests.
Ersatz für andere Tests: Ein erfolgreich abgeschlossener TIBER-CH-Test kann andere Anforderungen an Sicherheitsüberprüfungen erfüllen oder reduzieren.
Aufsichtsdialog: Der formale TIBER-Prozess mit Einbindung der SNB schafft einen strukturierten Rahmen für den Aufsichtsdialog über Cyber-Resilienz.

Für eine vollständige Übersicht der FINMA-Cybersicherheitsanforderungen und deren Implikationen für Schweizer Finanzinstitute empfehlen wir unsere Analyse der FINMA-Cybersecurity-Anforderungen.

Für wen ist TIBER-CH geeignet?

Direkt angesprochen

Systemrelevante Schweizer Banken
Schweizer Niederlassungen internationaler Banken mit grenzüberschreitenden TIBER-Anforderungen
Versicherungsunternehmen der Kategorie 1 und 2 (FINMA)
Finanzmarktinfrastrukturen (Börsen, Zahlungssysteme, Zentralverwahrer)

Indirekt relevant

Mittlere Banken und Versicherungen, die ihre Cyber-Resilienz nachweisen möchten
Finanzinstitute mit internationalen Geschäftsbeziehungen zu DORA-regulierten EU-Instituten

Nicht geeignet (ohne Anpassung des Scopes)

Für kleinere Finanzinstitute und KMU im Finanzbereich ist ein vollständiger TIBER-Prozess in der Regel unverhältnismässig. Hier empfehlen wir stattdessen gezielte Red-Teaming-Assessments, die methodisch ähnlich vorgehen, aber auf KMU-Verhältnisse zugeschnitten sind.

TIBER und nDSG: Datenschutzrechtliche Aspekte

Ein TIBER-Test beinhaltet notwendigerweise das Testen von Social Engineering und damit die potenzielle Interaktion mit Personendaten von Mitarbeitenden. Stellen Sie sicher, dass:

Ein internes Rechtsopinion die datenschutzrechtliche Zulässigkeit bestätigt
Mitarbeitende die Testaktivitäten nicht rückverfolgen können (zum Schutz vor gezielter Behandlung)
Personenbezogene Daten, die im Test erhoben werden, streng geschützt und nach Abschluss gelöscht werden
Die DSFA-Anforderungen des nDSG berücksichtigt werden

Für mehr Informationen zu nDSG-Compliance und Datenschutz-Folgenabschätzung empfehlen wir unsere Leitfäden zur nDSG-Compliance und zur Datenschutz-Folgenabschätzung.

TIBER-CH vs. CBEST vs. iCAST: Internationale Vergleiche

Verschiedene Länder haben eigene TIBER-basierte Frameworks entwickelt:

Framework	Land/Region	Aufsichtsbehörde	Basis
TIBER-EU	EU	EZB + nationale Zentralbanken	EZB-Richtlinien
TIBER-CH	Schweiz	SNB + FINMA	TIBER-EU
CBEST	Grossbritannien	Bank of England + FCA	Eigenes Framework
iCAST	Hongkong	HKMA	TIBER-EU
AASE	Australien	APRA	TIBER-EU
TLPT (DORA)	EU (ab 2025)	EBA/ESMA/EIOPA	TIBER-EU

“Was TIBER-CH von einem gewöhnlichen Red-Team-Test unterscheidet, ist nicht die Technik, sondern die Methode: die systematische Nutzung von Threat Intelligence, um Angriffe zu simulieren, die tatsächlich gegen das Institut stattfinden könnten. Das macht die Ergebnisse unmittelbar handlungsrelevant.” – Cyber-Resilienz-Experte, schweizerisches Finanzinstitut, Genf, 2024

Der Weg zum TIBER-CH-Test: Praktische Schritte

Wenn Sie als Schweizer Finanzinstitut einen TIBER-CH-Test in Betracht ziehen, empfehlen wir folgende Schritte:

Interne Entscheidung: Klärung des regulatorischen Bedarfs und der strategischen Zielsetzung
White-Team-Aufbau: Benennung der internen Koordinatoren (typisch: CISO, CRO, CEO-Vertreter)
SNB/FINMA-Vorabkontakt: Frühzeitige Kommunikation mit den Aufsichtsbehörden
Provider-Evaluation: Auswahl und Qualifikation von TIP und RTP
Vorab-Sicherheitsbewertung: Empfohlen ist eine vorbereitende Sicherheitsüberprüfung, um offensichtliche Schwachstellen zu schliessen, bevor der aufwendige TIBER-Test beginnt

Dieser letzte Punkt ist entscheidend: Ein TIBER-Test, der an einfachen, bekannten Schwachstellen scheitert, ist ineffizient. Eine vorbereitende Red-Teaming-Assessment kann sicherstellen, dass der TIBER-Test auf höherem Niveau startet.

Fazit

TIBER-CH ist das robusteste und regulatorisch anerkannteste Instrument zur Prüfung der Cyber-Resilienz von Schweizer Finanzinstituten. Es basiert auf realer Threat Intelligence, simuliert echte Angreiferprofile und liefert Erkenntnisse, die weit über das hinausgehen, was ein konventioneller Penetrationstest ermöglichen kann.

Für systemrelevante Schweizer Banken, Versicherungen und Finanzmarktinfrastrukturen ist TIBER-CH ein zunehmend wichtiges Instrument – sowohl für die eigene Sicherheitsüberprüfung als auch für den Nachweis gegenüber Aufsichtsbehörden und Geschäftspartnern.

Für Finanzinstitute ausserhalb des TIBER-Pflichtbereichs gilt: Die methodischen Prinzipien von TIBER – Threat Intelligence, realistische Angriffssimulation, Purple-Team-Zusammenarbeit – lassen sich in skalierter Form auf jedes Finanzinstitut anwenden.

Red Teaming für Finanzinstitute aller Grossen: CybersecuritySwitzerland bietet massgeschneiderte Red-Teaming-Assessments für Schweizer Finanzinstitute an, die nach denselben methodischen Prinzipien wie TIBER arbeiten, aber auf KMU-Verhältnisse und Budgets zugeschnitten sind. Unsere Assessments starten ab CHF 11’900 und können als Vorbereitung für einen vollständigen TIBER-CH-Test oder als eigenständige Sicherheitsprüfung eingesetzt werden.

Jetzt Red-Teaming-Assessment anfragen