ISGroup Cybersicherheitsberatung

DORA-Pflicht-Penetrationstest für Finanzinstitute

Das Inkrafttreten des Digital Operational Resilience Act (DORA) hat Sicherheitstests von einer empfohlenen Best Practice zu einer strengen regulatorischen Verpflichtung für den Finanzsektor gemacht. Während sich ein Teil der Debatte auf fortgeschrittene Red-Teaming-Tests konzentriert, erfordert die Compliance in erster Linie ein solides DORA-Penetrationstestprogramm im Rahmen der ordentlichen Prüfungen gemäß Artikel 25.

Ordentlicher Penetrationstest vs. TLPT

DORA unterscheidet klar zwischen konventionellen Sicherheitstests und fortgeschrittenen Tests.

  • Ordentlicher Pentest (Art. 25): Konzentriert sich auf die detaillierte Bewertung technischer Schwachstellen und Konfigurationsfehler, wobei häufig einzelne Systeme oder Umgebungen isoliert analysiert werden. Diese Tests sind Teil des allgemeinen Testprogramms, das Finanzunternehmen regelmäßig durchführen müssen.
  • TLPT (Threat-Led Penetration Testing – Art. 26): Hierbei handelt es sich um einen fortgeschrittenen, durch Intelligence gesteuerten Test (Red Teaming), der reale Angriffsszenarien gegen das gesamte Unternehmen simuliert und dabei Personen, Prozesse und Technologien einbezieht. TLPT muss zwingend auf realen, produktiven Systemen durchgeführt werden.

Anwendungsfälle für Penetrationstests unter DORA

  • Validierung von Sicherheitskontrollen nach wesentlichen Änderungen an der Infrastruktur.
  • Identifizierung von Schwachstellen vor der Inbetriebnahme neuer Systeme oder Softwarepakete.
  • Erfüllung der jährlichen Testanforderungen für Finanzunternehmen, die nicht TLPT-pflichtig sind, um dennoch die Resilienz der IKT-Systeme zu gewährleisten.

Korrekter Umfang: Internet-facing, intern, Cloud, App, IAM

Der Umfang eines DORA-Penetrationstests muss risikobasiert sein und Folgendes umfassen:

  • Exponierte Systeme (Internet-facing): Zur Vorbeugung externer Eindringversuche.
  • Anwendungen und Software: Prüfung sowohl des Quellcodes als auch der Benutzeroberflächen.
  • Cloud und Drittanbieter-Infrastrukturen: Da der DORA-Anwendungsbereich explizit von Dritten bereitgestellte IKT-Dienste einschließt.
  • Zugriffsverwaltung (IAM): Überprüfung der Robustheit von Authentifizierungsrichtlinien und Risiken durch Privilegieneskalation.

Nachweise und Behebung (Remediation)

Es reicht nicht aus, den Test durchzuführen; DORA erfordert einen strengen Dokumentationsprozess. Nach Abschluss der Testaktivitäten muss das Unternehmen einen Bericht erstellen, der Folgendes enthält:

  • Eine Beschreibung der identifizierten Mängel (Shortcomings).
  • Eine Ursachenanalyse (Root Cause Analysis) der erfolgreichen Angriffe.
  • Einen Remediation-Plan (Behebungsplan), der aufzeigt, wie die Schwachstellen behoben werden, unter Angabe von Prioritäten und verbindlichen Zeitplänen.
  • Nachweise über Retests, um die Wirksamkeit der Korrekturmaßnahmen zu bestätigen.

Wann ist die Beauftragung externer Tester sinnvoll?

DORA erlaubt den Einsatz interner Ressourcen (unter strengen Bedingungen hinsichtlich Unabhängigkeit und Kompetenz), aber der Einsatz externer Tester wird empfohlen und ist teilweise obligatorisch. Externe Tester garantieren:

  • Vollständige Unabhängigkeit und das Fehlen von Interessenkonflikten.
  • Spezialisierte Kompetenzen und marktübliche Zertifizierungen.
  • Compliance für systemrelevante Unternehmen: Bedeutende Kreditinstitute sind verpflichtet, für fortgeschrittene Tests externe Tester einzusetzen und müssen ohnehin alle drei Tests zwischen internen und externen Testern abwechseln.

Typische Fehler bei “Compliance-only”-Pentests

  • Testen ausschließlich in Staging-Umgebungen: Für TLPT schreibt DORA Tests auf “Live”-Systemen vor, da Testumgebungen die operativen Risiken nicht originalgetreu abbilden.
  • Ausschluss von Drittanbietern: Verträge mit IKT-Dienstleistern müssen die Verpflichtung zur Mitwirkung an den Sicherheitstests des Finanzunternehmens enthalten.
  • Betrachtung des Tests als “Bestanden/Nicht bestanden”: Das oberste Ziel muss die Steigerung der Cyber-Reife sein, nicht nur der Erhalt eines “Siegels”.

FAQ

  • Sind Pentest und TLPT gleichwertig?
  • Nein. Der Pentest ist eine technische Schwachstellenprüfung, während der TLPT eine fortgeschrittene und umfassende Angriffssimulation auf Basis von Threat Intelligence darstellt.
  • Ist ein Pentest immer obligatorisch?
  • Ja, für alle Unternehmen im Anwendungsbereich von DORA ist ein regelmäßiges Testprogramm obligatorisch, das Penetrationstests beinhaltet.
  • Kann man das intern durchführen?
  • Ja, aber mit starken Einschränkungen. Es bedarf der Genehmigung der Behörde, der Nutzung externer Threat Intelligence und für bedeutende Banken der obligatorischen Rückgriffnahme auf externe Tester.

Lassen Sie sich nicht unvorbereitet treffen: Entwickeln Sie noch heute Ihren jährlichen, risikobasierten Penetrationstestplan, um Ihre kritischen Systeme auf die technischen Anforderungen von DORA auszurichten.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *