ISGroup Cybersicherheitsberatung

DORA-Schwachstellenbewertung und -Scanning für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) und die Delegierte Verordnung (EU) 2024/1774 haben die Schwachstellenbewertung (Vulnerability Assessment) zu einer unverzichtbaren regulatorischen Anforderung für alle Finanzunternehmen erhoben. Die Implementierung eines DORA-konformen Programms zur Schwachstellenbewertung und zum Scanning ist entscheidend, um die Widerstandsfähigkeit von IKT-Systemen gegenüber dynamischen und sich entwickelnden Bedrohungen zu validieren.

DORA-Definition der Schwachstellenbewertung

Die Schwachstellenbewertung stellt gemäß DORA einen grundlegenden Bestandteil eines transparenten, konsistenten und verantwortungsvollen IKT-Managementrahmens dar. Diese Aktivität umfasst Verfahren zur Identifizierung, Validierung und Protokollierung von Schwachstellen in IKT-Assets, die von böswilligen Akteuren ausgenutzt werden könnten. Der Fokus beschränkt sich nicht nur auf die Erkennung, sondern erstreckt sich auch auf die Analyse der potenziellen Auswirkungen auf die operative Resilienz des Unternehmens.

Unterschied zwischen Assessment und Scanning

  • Vulnerability Scanning: Automatisierte Aktivität mittels spezialisierter Software, um systematisch ein möglichst breites Spektrum an IKT-Assets abzudecken.
  • Vulnerability Assessment: Ein umfassenderer Prozess, der das Scanning, die kritische Bewertung der Ergebnisse, die Ursachenanalyse (Root Cause Analysis) und die Festlegung optimaler Minderungsmaßnahmen integriert.

Korrekter Anwendungsbereich: Systeme, Apps, Cloud, Endpunkte und Drittanbieter-Bibliotheken

  • Gesamte IKT-Assets: Alle Assets müssen gemäß ihrer Klassifizierung und ihrem Risikoprofil überprüft werden.
  • Drittanbieter-Bibliotheken: Es ist obligatorisch, Sicherheitsversionen und Updates zu überwachen, auch bei Open-Source-Komponenten.
  • Anwendungen und Software: Analyse und Tests des Quellcodes sowie von Software, die von Dritten bereitgestellt wird.
  • Endpunkte und Infrastruktur: Kontrolle mobiler Endpunkte und Netzwerkkonfigurationen, um die Gefährdung durch Bedrohungen zu reduzieren.

Häufigkeit: Wann wöchentlich, wann risikobasiert

  • Wöchentliche Frequenz: Automatisierte Scans mindestens einmal pro Woche für IKT-Assets, die kritische oder wichtige Funktionen unterstützen.
  • Risikobasierte Frequenz: Für nicht kritische Assets wird die Häufigkeit durch die Klassifizierung und das Risikoprofil bestimmt.
  • Notfallsituationen: Die Frequenz muss bei erhöhten Bedrohungen oder neu entdeckten Schwachstellen erhöht werden.

Dokumentationsnachweise: Findings, Schweregrad, Eigentümer, Behebung, Nachtest

  • Identifizierung und Schweregrad: Jede Schwachstelle muss mit quantitativen oder qualitativen Werten zu Auswirkungen und Eintrittswahrscheinlichkeit erfasst werden.
  • Priorisierung der Behebung: Sanierungspläne müssen Patches basierend auf der festgestellten Kritikalität und dem Risikoprofil priorisieren.
  • Überprüfung und Überwachung: Kontrolle und Verifizierung der tatsächlichen Behebung der aufgetretenen Schwachstellen.
  • Kontrolle von Drittanbietern: Verpflichtung für IKT-Dienstleister, kritische Schwachstellen in Bezug auf ihre Dienste zeitnah zu verwalten und zu melden.

Nützliche KPIs für Audit und Management

  • Durchschnittliche Zeit bis zur Erkennung und Behebung von Schwachstellen (MTTR).
  • Prozentsatz der kritischen Assets, die innerhalb der wöchentlichen Fristen gescannt wurden.
  • Anzahl der offenen Schwachstellen, die die im Minderungsplan definierten Toleranzzeiten überschreiten.
  • Statistiken und Trends zu Schwachstellen, die von Drittanbietern verwaltet werden.

FAQ

  • Ist ein Vulnerability Scan ausreichend?
  • Nein. Das Scanning ist nur eine automatisierte Komponente. DORA erfordert einen umfassenden Management-Rahmen, der Ursachenanalysen, Risikopriorisierung und die Überprüfung der Behebung beinhaltet.
  • Gilt das wöchentliche Scanning für alle Assets?
  • Nein. Die wöchentliche Pflicht betrifft nur Assets, die kritische oder wichtige Funktionen unterstützen. Für andere gilt ein risikobasierter Ansatz.
  • Wie ist die Aktivität zu dokumentieren?
  • Es müssen schriftliche Verfahren für die Protokollierung der Erkennungen, die Zuweisung von Verantwortlichen (Owner), die Nachverfolgung von Patches und die sichere Aufbewahrung der Berichte für die zuständigen Behörden eingeführt werden.

Vermeiden Sie Sanktionen und Ausfälle: Fordern Sie noch heute eine vollständige Gap-Analyse Ihres Vulnerability-Management-Prozesses an, um ihn an die technischen Anforderungen von DORA anzupassen.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *