ISGroup Cybersicherheitsberatung

Digital Operational Resilience Act (DORA) und fortgeschrittene Tests

Der Digital Operational Resilience Act (DORA) stellt einen entscheidenden Wendepunkt für den Finanzsektor dar: Das Ziel ist nicht mehr nur die Prävention von Cyberangriffen, sondern die Gewährleistung der Dienstleistungskontinuität auch bei Vorfällen oder Ausfällen. Die operative Resilienz wird somit zum zentralen Parameter, der durch ein in Artikel 25 definiertes Testprogramm validiert werden muss. Dieses geht weit über gewöhnliche technische Prüfungen hinaus und erfordert fortgeschrittene Resilienztests: szenariobasierte Tests, End-to-End-Tests und Leistungstests.

Warum DORA über Vulnerability Testing hinausgeht

Herkömmliche Tests, wie Schwachstellenanalysen (Vulnerability Assessments) oder Penetrationstests (Pentests), beschränken sich oft auf die Analyse einzelner Systeme oder isolierter Umgebungen. DORA hingegen schreibt vor, die Fähigkeit des Finanzunternehmens zu validieren, realen IKT-Störungen standzuhalten und darauf zu reagieren. Ziel ist es nicht nur, eine einzelne Software-Schwachstelle zu finden, sondern sicherzustellen, dass kritische oder wichtige Funktionen (CIF) auch bei Schwachstellen oder Vorfällen bei Drittanbietern betriebsbereit bleiben.

Szenariobasierte Tests für schwerwiegende, aber plausible Ereignisse

Die von DORA geforderten szenariobasierten Tests beinhalten die Simulation von Störungen auf der Grundlage schwerwiegender, aber realistischer Szenarien. Finanzunternehmen müssen verschiedene Szenarien für die Gefährdung ihrer IKT-Assets identifizieren, darunter:

  • Direkte Cyberangriffe: Simulationen von Techniken, die von tatsächlichen böswilligen Akteuren angewendet werden.
  • Technologische Umschaltungen (Switchover): Tests der Umschaltung von der primären IKT-Infrastruktur auf redundante Kapazitäten, Backups oder sekundäre Strukturen, um die Schnelligkeit der Wiederherstellung zu überprüfen.
  • Kritische Fehlfunktionen: Situationen, in denen die Qualität einer kritischen Funktion auf ein inakzeptables Niveau sinkt oder vollständig ausfällt.

End-to-End-Tests für Prozesse und Abhängigkeiten

Das End-to-End-Testing gemäß DORA sieht die Validierung der gesamten Kette eines Geschäftsprozesses unter Einbeziehung aller relevanten Abhängigkeiten vor. Die grundlegenden Punkte dieser Tests sind:

  • Abbildung des Angriffspfads: Beschreibung eines potenziellen Angriffs von seinem Eintritt in die Systeme bis zur Kompromittierung des Endziels.
  • Einbeziehung von Drittanbietern: Bei ausgelagerten kritischen Funktionen müssen die Tests die Dienste von IKT-Anbietern und Unterauftragnehmern einbeziehen, um die Resilienz des gesamten Ökosystems zu überprüfen.
  • Interdependenzen: Analyse, wie sich der Ausfall einer technologischen Komponente kaskadierend auf andere Funktionen des Unternehmens auswirken kann.

Leistungstests und operative Robustheit

Im Rahmen von DORA messen Leistungstests nicht nur die Softwaregeschwindigkeit, sondern zertifizieren die operative Robustheit unter Stressbedingungen. Die Unternehmen sind dazu aufgerufen:

  • IKT-Systeme extremen Stressbedingungen auszusetzen, um kritische Bruchpunkte zu identifizieren.
  • Kapazitäts- und Leistungsmanagement: Identifizierung von Kapazitätsanforderungen, um Engpässe zu vermeiden, die Dienste unterbrechen könnten.
  • Zu überprüfen, ob die Unterstützungssysteme für kritische Funktionen auch bei Lastspitzen oder bei Vorfällen Standards für Verfügbarkeit und Integrität einhalten.

Auswahl der Szenarien

Die Auswahl der Szenarien muss einem risikobasierten Ansatz folgen:

  • Business Impact Analysis (BIA): Die Tests müssen die Ergebnisse der BIA und die Klassifizierung der Assets widerspiegeln.
  • Relevanz und Plausibilität: Priorisierung von Szenarien mit hoher Eintrittswahrscheinlichkeit oder großen systemischen/reputativen Auswirkungen, auch wenn sie selten sind.
  • Threat Intelligence: Die Szenarien basieren auf den neuesten Cyberbedrohungen und den Lehren aus historischen Vorfällen.

FAQ

  • Sind diese Tests eine Alternative zum Pentest?
  • Nein. Diese Tests ergänzen das Sicherheitsprogramm: Während der Pentest Schwachstellen aufdeckt, bewertet das szenariobasierte Testen die Reaktions- und Wiederherstellungsfähigkeit des gesamten Unternehmens.
  • Müssen die Anbieter einbezogen werden?
  • Ja. Für ausgelagerte kritische Funktionen verlangt DORA, dass die Tests die Dienste Dritter einbeziehen und dass die Verträge explizit die Zusammenarbeit der Anbieter bei Sicherheitstests vorsehen.
  • Wie wählt man die vorrangigen Szenarien aus?
  • Priorität haben Szenarien für Funktionen, deren Unterbrechung die größten Auswirkungen auf die Finanzstabilität, die Kontinuität der Kundendienste und den Ruf des Unternehmens hätte.

Jenseits der technischen Compliance: Entwerfen Sie noch heute Ihren Resilienz-Testplan, um die Robustheit Ihrer End-to-End-Prozesse gemäß den DORA-Kriterien zu validieren.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *