ISGroup Cybersicherheitsberatung

Network Security Assessment in DORA für Finanzinfrastrukturen

Die DORA-Verordnung verpflichtet Finanzunternehmen zu einer strengen und kontinuierlichen Überprüfung ihrer Netzwerkinfrastruktur. Sie fordert eingehende Bewertungen, um sicherzustellen, dass die Architektur Cyber-Bedrohungen standhält, diese erkennt und eindämmt. Das Programm für Tests der digitalen operativen Resilienz muss gemäß Artikel 25 strukturierte Netzwerksicherheitsbewertungen (Network Security Assessments) umfassen, um die Kontinuität und Sicherheit kritischer oder wichtiger Funktionen zu gewährleisten.

Was ist ein Network Security Assessment im Rahmen von DORA?

Ein Network Security Assessment im DORA-Kontext ist ein technischer und analytischer Prozess, der die Wirksamkeit von Sicherheitsrichtlinien, -verfahren und -tools im Netzwerk validiert. Ziel ist es nicht nur, Software-Schwachstellen zu identifizieren, sondern die Robustheit der Netzwerkkonfiguration und des Netzwerkdesigns zu überprüfen, um unbefugte Zugriffe zu verhindern, die Vertraulichkeit und Integrität der übertragenen Daten zu gewährleisten und die Kontinuität kritischer Funktionen zu schützen.

Segmentierung, Fernzugriff, Firewalling, IAM, PAM und Logging

  • Segregation und Segmentierung: Das Netzwerk muss basierend auf der Kritikalität der unterstützten Funktionen und dem Risikoprofil der IKT-Assets segmentiert werden, um die laterale Bewegung von Angreifern zu begrenzen.
  • Firewalling und Verbindungsfilter: Rollen und Verantwortlichkeiten für die Genehmigung und Überprüfung von Firewall-Regeln müssen definiert sein. Bei Systemen, die kritische Funktionen unterstützen, ist eine Überprüfung der Angemessenheit der Regeln mindestens alle sechs Monate obligatorisch.
  • Zugriffsverwaltung (IAM und PAM): Die Implementierung von Netzwerkzugriffskontrollen ist zwingend erforderlich, um die Verbindung nicht autorisierter Geräte zu verhindern. Für die Verwaltung kritischer Assets ist ein separates und dediziertes Netzwerk erforderlich.
  • Logging und Monitoring: Ereignisse in Bezug auf Netzwerkverkehr und -leistung müssen protokolliert werden, wobei der Detaillierungsgrad der Kritikalität des Assets entsprechen muss. Protokolle müssen vor Manipulation und Löschung geschützt werden.
  • Verschlüsselung bei der Übertragung: Alle Netzwerkverbindungen, ob unternehmensintern, öffentlich oder drahtlos, müssen gemäß der Klassifizierung der verarbeiteten Daten verschlüsselt sein.

Hardening und Exposure Review für exponierte Assets

  • Network Hardening: Sichere Konfigurationsgrundlagen müssen für alle Netzwerkkomponenten implementiert werden, wobei die Anweisungen der Hersteller und führende Branchenpraktiken zu befolgen sind.
  • Expositionsmanagement: Der direkte Zugriff aus dem Internet auf Geräte, die zur Verwaltung von Informationssystemen verwendet werden, ist untersagt.
  • Sitzungsbeendigung: Die Verfahren müssen die automatische Schließung von Fernsitzungen nach einer festgelegten Zeit der Inaktivität vorsehen.
  • Temporäre Isolierung: Das Netzwerk muss so konzipiert sein, dass im Falle eines Vorfalls eine temporäre Isolierung von Subnetzen oder Komponenten möglich ist.

Verhältnis zu Vulnerability Assessment und Pentest

Das Network Security Assessment ist zwischen Vulnerability Assessment und Penetration Testing angesiedelt. Während sich das Vulnerability Assessment auf automatisierte Scans bekannter Schwachstellen beschränkt und der Penetration Test eine aktive Simulation von Angriffen durchführt, konzentriert sich das Network Assessment auf die Analyse von Konfiguration und Architektur. Dabei werden logische Fehler und Ausfallpunkte identifiziert, die bei Scans möglicherweise übersehen werden. Es dient dazu, Datenflüsse abzubilden und den korrekten Umfang für Vulnerability Assessments und Penetration Tests zu definieren.

Nachweise und Behebung (Remediation)

  • Die erstellte Dokumentation muss eine Kartierung und visuelle Darstellung der Netzwerke und Datenflüsse enthalten.
  • Die Ergebnisse der jährlichen Überprüfungen der Netzwerkarchitektur müssen protokolliert werden.
  • Es muss ein Remediation-Plan vorhanden sein, der festgestellte Mängel mit ihrer Grundursache (Root Cause Analysis) verknüpft und Prioritäten basierend auf dem Risiko für kritische Funktionen zuweist.

FAQ

  • Ist das dasselbe wie ein Pentest?
  • Nein. Ein Penetration Test versucht, die Abwehrmechanismen zu durchbrechen; das Network Security Assessment überprüft, ob die Abwehrmechanismen (Segmentierung, Firewall, Hardening) gemäß den Richtlinien und Best Practices konfiguriert sind.
  • Muss die Cloud einbezogen werden?
  • Ja. DORA gilt für alle IKT-Assets, einschließlich Cloud-Infrastrukturen und Dienste von Drittanbietern.
  • Wie weist man die Verhältnismäßigkeit der Kontrolle nach?
  • Gemäß Artikel 4 hängt die Komplexität der Bewertung von der Größe und dem Risikoprofil des Unternehmens ab, jedoch darf von den Mindestanforderungen an die Segregation und die halbjährliche Überprüfung kritischer Systeme nicht abgewichen werden.

Schützen Sie Ihre Infrastruktur: Fordern Sie ein DORA-orientiertes Network Security Assessment an, um Ihre Segmentierung und Ihr Hardening vor der behördlichen Prüfung zu validieren.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *