Das DORA-Patch-Management stellt ein wesentliches Element für die digitale operationale Resilienz im Finanzsektor dar. Die Compliance-Anforderungen gehen dabei über den traditionellen IT-Ansatz hinaus und umfassen dokumentierte Prozesse, eine risikobasierte Priorisierung sowie eine abschließende Überprüfung der Schwachstellenbeseitigung.

DORA-Patch-Management und der Schwachstellen-Lebenszyklus

Im Kontext des Digital Operational Resilience Act (DORA) ist die Identifizierung von Sicherheitslücken durch Schwachstellenanalysen (Vulnerability Assessments) oder Penetrationstests nur der Ausgangspunkt. Die tatsächliche Resilienz misst sich an der Fähigkeit des Finanzinstituts, die aufgedeckten Schwachstellen zeitnah zu beheben. Die DORA-Patch-Management-Verfahren müssen formalisiert sein und darauf abzielen, den Schwachstellen-Lebenszyklus vollständig zu schließen, einschließlich der Validierung der Risikominimierung.

Wert der Behebung (Remediation) nach dem Testen

Die Wirksamkeit des IKT-Risikomanagements hängt von der Fähigkeit ab, auf erkannte Bedrohungen zu reagieren. Gemäß den Anforderungen der Delegierten Verordnung (EU) 2024/1774 reicht es nicht aus, Tests durchzuführen: Die Ergebnisse müssen sorgfältig überwacht und bewertet werden, um die Sicherheitsmaßnahmen zu aktualisieren. Wenn das Testen nicht zu einer systematischen DORA-Remediation führt, gilt der Sicherheitsprozess aus Governance-Sicht als mangelhaft.

Risiko- und assetbasierte Priorisierung

Das Patch-Management gemäß DORA erfordert eine Verteilung der Patches basierend auf:

• Kritikalität der Schwachstelle: technische Schwere, gemessen beispielsweise durch CVSS.
• Risikoprofil des Assets: Klassifizierung des betroffenen IKT-Assets (Artikel 8 DORA) und dessen Rolle innerhalb der kritischen oder wichtigen Funktionen (CIF).

Der Fokus muss auf den Assets liegen, die den größten Einfluss auf den Geschäftsbetrieb haben, um zeitnahe Updates und Minderungsmaßnahmen auf kritischen Systemen ohne Verzögerung sicherzustellen.

Notfall-Patching und Change Management

Der Remediation-Zyklus im DORA-Kontext umfasst gemäß den technischen Standards dedizierte Verfahren für Notfälle:

• Identifizierung und Bewertung verfügbarer Patches durch automatisierte Tools, sofern möglich.
• Notfallverfahren für das Patchen und Aktualisieren von IKT-Assets.
• Testen von Patches in Umgebungen, die die Produktion widerspiegeln, vor dem Deployment, um kritische Auswirkungen auf die Betriebskontinuität zu vermeiden.

Das Notfall-Patching muss integraler Bestandteil des Change Managements sein: Jede Änderung wird dokumentiert, bewertet und auch nach der Implementierung genehmigt.

Validierung des Abschlusses

Die Behebung einer Schwachstelle ist ohne die Überprüfung der Wirksamkeit der Remediation nicht abgeschlossen. DORA schreibt ein Monitoring nach der Behebung sowie eine Verifizierung der Lösung vor; wenn keine Patches verfügbar sind, müssen alternative Minderungsmaßnahmen (kompensierende Kontrollen) ergriffen werden. Bei fortgeschrittenen TLPT-Tests muss der Plan eine Beschreibung der Mängel und eine detaillierte Ursachenanalyse (Root Cause Analysis) enthalten.

KPIs für das Monitoring

Die DORA-Governance basiert auf messbaren Indikatoren:

• MTTR (Mean Time To Remediate): durchschnittliche Zeit zwischen der Erkennung und der Schließung der Schwachstelle.
• Überfällige Patches: Gesamtzahl der Patches, die nicht innerhalb der festgelegten Fristen angewendet wurden.
• Reopen-Rate: Häufigkeit, mit der Schwachstellen auch nach der Korrektur den erneuten Test nicht bestehen.
• Prozentsatz der gelösten kritischen Schwachstellen: Verhältnis der beseitigten kritischen Schwachstellen auf CIF-Systemen.

FAQ DORA-Patch-Management

• Schreibt DORA maximale Patch-Zeiten vor?
• Die Verordnung legt keine universelle Anzahl von Tagen fest, verpflichtet aber dazu, intern verbindliche Fristen für die Installation festzulegen und Eskalationswege vorzusehen, falls diese Fristen nicht eingehalten werden.
• Wie geht man mit Ausnahmen und kompensierenden Kontrollen um?
• Wenn ein Patch aufgrund von Inkompatibilität oder fehlender Veröffentlichung nicht installierbar ist, verlangt DORA alternative Minderungsmaßnahmen und eine Dokumentation im Risikomanagement-Framework.
• Muss immer ein erneuter Test (Retest) durchgeführt werden?
• Ja, das Monitoring und die Verifizierung der Lösung sind obligatorisch, um die Beseitigung der Schwachstelle sicherzustellen und die Wiedereinführung neuer Risiken zu verhindern.

Schließen Sie den Sicherheitskreis: Fordern Sie eine Überprüfung Ihres Patching- und Remediation-Prozesses an, um die vollständige Konformität mit den technischen Anforderungen von DORA sicherzustellen.