ISGroup Cybersicherheitsberatung

Digitale operationelle Resilienzprüfung (DORA) für Finanzunternehmen

Die Verordnung (EU) 2022/2554, bekannt als DORA (Digital Operational Resilience Act), schreibt europäischen Finanzunternehmen ein harmonisiertes System für die digitale operationelle Resilienz vor. Die Verordnung verlangt nicht nur Red-Teaming-Tests wie TLPT, sondern eine strukturierte Reihe von Test- und Überwachungsaktivitäten, die alle IKT-Systeme und -Instrumente einbeziehen.

Digital operational resilience testing unter DORA

Die Prüfung der digitalen operationellen Resilienz ist die vierte Säule von DORA und stellt sicher, dass Finanzunternehmen in der Lage sind, bei IKT-Bedrohungen und -Unterbrechungen standzuhalten, zu reagieren und ihren Betrieb wiederherzustellen. Der Rahmen bietet einheitliche Kriterien für die Sicherheit von Netz- und Informationssystemen und gilt für über 20 verschiedene Arten von Finanzunternehmen innerhalb der EU. Das erklärte Ziel ist die Prävention und Minderung von Cyberbedrohungen durch eine ständige Validierung der Abwehrmechanismen.

Basistests und TLPT: Unterschiede und Anwendungsbereiche

DORA unterscheidet zwischen Routineprüfungen und fortgeschrittenen Tests:

  • Basistests (Artikel 24 und 25): Obligatorisch für nahezu alle Finanzunternehmen. Sie betreffen umfassende Prüfungen von IKT-Instrumenten und -Systemen. Sie stellen die Mindestanforderung zur Bewertung der Stabilität der Abwehrmechanismen dar.
  • TLPT (Threat-Led Penetration Testing – Artikel 26): Fortgeschrittene, auf Intelligence basierende Tests, die darauf ausgelegt sind, die Taktiken realer Angreifer zu simulieren. Sie sind nur für Unternehmen obligatorisch, die als systemrelevant gelten oder spezifische Risikoprofile aufweisen, und müssen an realen, operativen Produktionssystemen durchgeführt werden.

Die in Artikel 25 geforderten Prüfungen

Artikel 25 von DORA listet die Arten von Tests auf, die das Prüfprogramm von Finanzunternehmen umfassen muss:

  • Source code review: Überprüfung des Quellcodes mit sowohl statischen als auch dynamischen Tests.
  • Sicherheitstests für exponierte Systeme: Sicherheitstests für Anwendungen und Systeme, die über das Internet zugänglich sind.
  • Vulnerability assessment: Transparente Struktur zur Identifizierung, Verwaltung und Behebung von Schwachstellen.
  • Tests von Softwarepaketen: Sicherheitsüberprüfungen vor der Implementierung neuer Softwarepakete.
  • Auswirkungs- und Kompatibilitätsanalysen: Tests, die sicherstellen, dass neue IKT-Systeme keine Schwachstellen in bestehende Prozesse einführen.

Verantwortlichkeiten, Ansatz und Anforderungen an die Tester

Finanzunternehmen müssen einen risikobasierten Ansatz verfolgen und die eingesetzten Ressourcen je nach Kritikalität der IKT-Assets und Geschäftsprozesse kalibrieren. Die Tests müssen von Funktionen durchgeführt werden, die von den für die Entwicklung oder den Betrieb der Systeme verantwortlichen Stellen getrennt sind. Die Tester, ob intern oder extern, müssen Eignung, Reputation und zertifizierte technische Kompetenzen nachweisen. Bei TLPT ist es obligatorisch, Threat-Intelligence-Anbieter hinzuzuziehen, die unabhängig von der Bank oder der Finanzgruppe sind.

Geforderte Häufigkeit bei kritischen Systemen

  • Vulnerability scanning: Für IKT-Assets, die kritische oder wichtige Funktionen unterstützen, muss die Schwachstellenscan mindestens wöchentlich durchgeführt werden.
  • Business Continuity Plans: Die IKT-Betriebskontinuitätspläne müssen mindestens einmal jährlich oder bei wesentlichen Änderungen getestet werden.
  • Allgemeine Überprüfung: Mindestens einmal jährlich muss die Angemessenheit des Testprogramms im Hinblick auf Aktualisierungen der Unternehmensstrategie überprüft werden.
  • TLPT: Fortgeschrittene Tests müssen normalerweise alle drei Jahre durchgeführt werden, sofern die zuständige Behörde nichts anderes vorgibt.

Verbindung zwischen Tests, Behebung und Governance

Das Testprogramm verpflichtet Finanzunternehmen dazu, die Überprüfung der Resilienz in ihr Governance-System zu integrieren. Die Testergebnisse müssen dokumentiert und analysiert werden, um Mängel durch Abhilfepläne (Remediation Plans), die Maßnahmen, Verantwortlichkeiten und Umsetzungsfristen festlegen, zu erkennen und zu beheben. Das Leitungsorgan trägt die letztendliche Verantwortung für die Überwachung und Genehmigung der Tests und der Pläne zur Minderung der identifizierten Risiken.

FAQ zu DORA und Sicherheitstests

  • Schreibt DORA immer einen Penetrationstest vor?
  • DORA verlangt von allen Finanzunternehmen Sicherheitstests, die Prüfungen ähnlich einem Penetrationstest beinhalten, insbesondere bei der Schwachstellenverwaltung und der Sicherheit exponierter Systeme. Der fortgeschrittene Penetrationstest (TLPT) hingegen ist nur für bedeutendere Unternehmen reserviert.
  • Schreibt DORA immer den TLPT vor?
  • Der TLPT ist ausschließlich für Finanzunternehmen obligatorisch, die IKT-reif sind und eine systemische Bedeutung haben, während die Behörden Unternehmen ausschließen können, für die dies aufgrund des Risikoprofils nicht gerechtfertigt ist.
  • Wie oft müssen kritische Systeme getestet werden?
  • Systeme, die kritische Funktionen unterstützen, müssen mindestens einmal wöchentlich einem Vulnerability Scanning unterzogen werden, während allgemeine Resilienz- und Business-Continuity-Tests mindestens jährlich durchgeführt werden müssen.

Sichern Sie Ihre Compliance: Fordern Sie eine erste Bewertung Ihres DORA-Testprogramms an, um den Prüfumfang Ihrer kritischen Systeme korrekt zu definieren.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *