Das DORA-Asset-Management stellt die strategische Voraussetzung für die Sicherheit kritischer Infrastrukturen dar. Die Wirksamkeit der vom Digital Operational Resilience Act (DORA) vorgeschriebenen Sicherheitstests hängt von der Präzision bei der Definition des Asset-Perimeters ab. Die Identifizierung und Klassifizierung von Assets sind unerlässlich, um sicherzustellen, dass kritische Live-Produktionssysteme angemessen geschützt und getestet werden.

Asset-Inventarisierung und Testing: Eine regulatorische Verknüpfung

Artikel 8 der DORA legt fest, dass die Identifizierung und Klassifizierung von Assets die grundlegenden und ersten Schritte für die operationelle Resilienz darstellen. Die in den Artikeln 24 und 25 vorgesehenen Programme sowie das Schwachstellenmanagement müssen auf einer genauen Asset-Klassifizierung basieren, da die Schwachstellenanalyse (Vulnerability Scanning) auf das Risikoprofil des jeweiligen Assets abgestimmt sein muss. Eine fehlende Klassifizierung oder der Ausschluss kritischer Assets kann zu unzureichenden oder fehlerhaften Tests führen.

Identifizierung kritischer oder wichtiger Funktionen (CIF)

• Vollständige Identifizierung: Das Finanzunternehmen muss alle operativen und geschäftlichen Funktionen erfassen.
• Kritikalitätsbewertung: Die Kriterien, die gemäß Art. 3(22) DORA einzuhalten sind, umfassen die Auswirkungen auf die Finanzstabilität, die Bedeutung für das Tagesgeschäft und die Schwierigkeit des Ersatzes im Falle eines Ausfalls.

Mapping von Assets, Eigentümern, Abhängigkeiten und Exposition

Die Delegierte Verordnung (EU) 2024/1774 schreibt die Führung detaillierter Register für jedes IKT-Asset vor. Jedes Asset muss folgende Informationen enthalten:

• Eindeutige Kennung und physischer/logischer Standort
• Eigentümer (Owner): Identität des Verantwortlichen
• Unterstützung von CIFs: Beziehung zu kritischen Funktionen
• Interdependenzen mit anderen Assets oder Geschäftsfunktionen
• Exposition gegenüber externen Netzwerken oder dem Internet
• End-of-Life-Datum (Support-Ende), bereitgestellt durch Drittanbieter

Klassifizierungsfehler mit Auswirkungen auf Tests

Ein häufiger Fehler bei der DORA-IKT-Asset-Inventarisierung betrifft die fehlende Abbildung technologischer Abhängigkeiten von Drittanbietern. Wenn ein IKT-Dienstleister für kritische Funktionen relevante Dienste untervergibt, muss die gesamte technologische Wertschöpfungskette im Register of Information (RoI) erfasst werden. Ein weiteres Risiko ergibt sich aus der Nutzung von Testumgebungen, die von der Live-Umgebung abweichen; DORA legt fest, dass für fortgeschrittene Tests (TLPT) Live-Systeme verwendet werden müssen, was aktuelle und präzise Informationen über die betroffenen Assets unerlässlich macht.

Mindestanforderungen für VA/PT

Vor der Durchführung von Vulnerability Assessments (VA) oder Penetration Testing (PT) müssen folgende Voraussetzungen erfüllt sein:

• Aktualisiertes Register der Informationen (RoI) über vertragliche Vereinbarungen und IKT-Dienste
• Dokumentation der CIFs: Genehmigte Liste der kritischen Funktionen und der zugehörigen Assets
• Mapping der Datenflüsse: Details zu Netzwerkverbindungen und Flüssen zur Definition der Angriffsfläche

FAQ zum DORA-Asset-Management

• Reicht ein CMDB aus?
• Ein Standard-CMDB ist im Allgemeinen nicht ausreichend, da DORA auch die Verknüpfung mit den CIFs, die Anforderungen an die Geschäftskontinuität (RTO/RPO) und das Management der Abhängigkeiten von Drittanbietern erfordert.
• Wie werden Cloud-Assets klassifiziert?
• Cloud-Assets müssen gemäß der DORA-Taxonomie (IaaS, PaaS, SaaS) klassifiziert und in das allgemeine Inventar aufgenommen werden, wobei die Verantwortlichkeiten zwischen Unternehmen und Anbieter klar definiert sein müssen.
• Verfahren zur Verknüpfung von Assets und kritischen Funktionen?
• Es muss eine “Kritikalitätsbewertung” durchgeführt werden, um die Auswirkungen eines Verlusts der Vertraulichkeit, Integrität oder Verfügbarkeit des Assets auf die unterstützte Geschäftsfunktion zu bewerten.

Planen Sie Ihren Perimeter korrekt: Nehmen Sie an unserem Workshop zur Asset-Klassifizierung und zum Test-Scoping teil, um Ihr Inventar an die technischen Anforderungen der DORA anzupassen.