Fachwissen DORA - Test digitale operationelle Resilienz

Dieser umfassende Testansatz soll sicherstellen, dass Finanzunternehmen nicht nur präventiv auf Bedrohungen vorbereitet sind, sondern auch über die nötigen Prozesse verfügen, um IKT-Vorfälle effizient zu bewältigen.

DORA schreibt in Kapitel IV, Artikel 24 bis 27, einen strukturierten Testansatz vor, der alle kritischen Systeme und Prozesse eines Finanzunternehmens abdeckt. Die Zielsetzung dieses Testansatzes besteht darin, potenzielle Schwachstellen zu identifizieren, die Sicherheitsmaßnahmen zu bewerten und die Belastbarkeit der IKT-Infrastrukturen zu prüfen. Dabei gilt der Grundsatz der Proportionalität: Je nach Größe und Kritikalität eines Unternehmens werden die Testanforderungen angepasst. Kleinstunternehmen und Institute, die unter den vereinfachten IKT-Risikomanagementrahmen gemäß Artikel 16 DORA fallen, unterliegen speziellen Ausnahmen, bleiben jedoch weiterhin zur Durchführung von Tests verpflichtet.

Das von DORA geforderte Testprogramm umfasst eine Vielzahl unterschiedlicher Testverfahren, darunter:

• Gap-Analysen
  Identifikation von Sicherheitslücken und Bewertung der Resilienz.
  
  
• Szenariobasierte Tests
  Simulation realer Bedrohungsszenarien zur Prüfung der Reaktionsfähigkeit.
  
  
• Kompatibilitätstests
  Sicherstellung der Kompatibilität und Interoperabilität aller eingesetzten Systeme und Anwendungen.
  
  
• Penetrationstests
  Tiefergehende Tests, bei denen Schwachstellen in den IKT-Systemen gezielt ausgenutzt werden, um die Robustheit der Sicherheitssysteme zu überprüfen.

Diese Tests sollen sicherstellen, dass Finanzunternehmen über eine widerstandsfähige und sichere IKT-Infrastruktur verfügen, die in der Lage ist, Bedrohungen effektiv zu erkennen und abzuwehren.

Eine besondere Form des Sicherheitstests unter DORA stellt das „Threat-led Penetration Testing“ (TLPT) dar. TLPT geht über herkömmliche Penetrationstests hinaus, indem es reale Cyberbedrohungen nachbildet und durch kontrollierte, maßgeschneiderte Tests Angriffsvektoren simuliert. Dieser Ansatz orientiert sich an den tatsächlichen Taktiken, Techniken und Verfahren von Cyberangreifern und ermöglicht es, kritische Live-Produktionssysteme unter realen Bedingungen zu testen. Die TLPT-Tests werden oft durch Red-Teams durchgeführt, die gezielt Schwachstellen aufdecken sollen, um die Abwehrbereitschaft des Unternehmens zu stärken.

Nicht jedes Finanzunternehmen ist zur Durchführung von TLPT verpflichtet. Gemäß Artikel 26 Absatz 8 DORA identifizieren die Aufsichtsbehörden eine selektive Gruppe von Finanzunternehmen, für die TLPT als erforderlich angesehen wird. Die Kriterien zur Identifikation basieren auf:

• Wirkungsbezogenen Faktoren
  Berücksichtigung der Auswirkungen der vom Finanzunternehmen angebotenen Dienstleistungen auf den Finanzsektor.
  
  
• Finanzstabilität
  Bewertung des systemischen Charakters des Unternehmens auf nationaler oder EU-Ebene.
  
  
• IKT-Risikoprofil und Reifegrad
  Analyse des spezifischen IKT-Risikos sowie des technologischen Entwicklungsstandes des Unternehmens.

Finanzunternehmen, die diese Kriterien erfüllen, erhalten von der BaFin oder der Europäischen Zentralbank (EZB) eine offizielle Benachrichtigung zur Durchführung eines TLPT.

Der Technische Regulierungsstandard (RTS) für TLPT, entwickelt von den Europäischen Aufsichtsbehörden (ESAs) und der EZB, spezifiziert die Anforderungen an die Durchführung und Dokumentation von TLPT. Der RTS umfasst:

• Kriterien für die Identifikation von TLPT-pflichtigen Finanzunternehmen
  
  
• Anforderungen an interne Tester
  Qualifikationen und Standards für Testpersonen.
  
  
• Testumfang und Methodik
  Detaillierte Beschreibung des Umfangs, der Methodik und der Testphasen.
  
  
• Ergebnisverarbeitung und Nachbereitung
  Vorgaben für die Auswertung, Abschlussberichte und Maßnahmen zur Behebung von Schwachstellen.
  
  
• Koordination und gegenseitige Anerkennung
  Vorgaben zur Zusammenarbeit zwischen Aufsichtsbehörden und zur Anerkennung von TLPT-Ergebnissen in grenzüberschreitenden Finanzinstitutionen.

Der finale Entwurf des RTS wurde am 17. Juli 2024 an die Europäische Kommission übermittelt und wird nach Veröffentlichung im Amtsblatt der EU in Kraft treten

Die TLPT-Methodik unter DORA basiert auf den Richtlinien des freiwilligen TIBER-EU-Rahmens („Threat Intelligence-based Ethical Red Teaming“), der von mehreren europäischen Ländern, darunter Deutschland, genutzt wird. Für Deutschland wurde der Rahmen als TIBER-DE umgesetzt, der weiterhin in Zusammenarbeit mit der BaFin und der Deutschen Bundesbank angewendet wird. Die operative Begleitung der TLPT-Tests liegt bei der Deutschen Bundesbank, während die BaFin die regulatorische Aufsicht übernimmt. Diese Kooperation stellt sicher, dass Erfahrungen und Erkenntnisse aus bisherigen TIBER-EU-Tests genutzt werden, um die TLPT-Prüfungen in Deutschland effizient und praxisnah umzusetzen.

Die Anforderungen an das Testen der digitalen Resilienz unter DORA tragen maßgeblich dazu bei, die Cyberabwehr im Finanzsektor zu stärken. Durch ein strukturiertes und auf den jeweiligen Risikograd abgestimmtes Testprogramm können Finanzunternehmen Schwachstellen frühzeitig erkennen und Maßnahmen zur Risikoreduktion einleiten. Der erweiterte TLPT-Ansatz für ausgewählte kritische Unternehmen schafft zusätzliche Sicherheit, indem er realistische Bedrohungen simuliert und so das Unternehmen auf Worst-Case-Szenarien vorbereitet.

Im Rahmen des Digital Operational Resilience Act (DORA) müssen alle Finanzunternehmen im Anwendungsbereich der Verordnung ein solides Testprogramm für die digitale operationelle Resilienz implementieren. Diese allgemeinen Anforderungen, die in Artikel 24 und 25 von DORA definiert sind, sollen sicherstellen, dass Finanzunternehmen regelmäßig ihre IKT-Infrastruktur auf Schwachstellen prüfen und Maßnahmen zur Risikominderung entwickeln. Ein solches Testprogramm ist ein wesentlicher Bestandteil des IKT-Risikomanagementrahmens und dient dazu, die Belastbarkeit der digitalen Systeme zu stärken.

Jedes Finanzunternehmen, das den DORA-Regelungen unterliegt, ist verpflichtet, ein Testprogramm zu entwickeln, das folgende Aspekte abdeckt:

• Regelmäßige Durchführung von Sicherheitstests
  Diese umfassen unter anderem Penetrationstests, Schwachstellenanalysen und szenariobasierte Simulationen, die potenzielle Bedrohungen nachstellen.
  
  
• Evaluierung der Resilienzmechanismen
  Durch gezielte Tests sollen die IKT-Systeme auf ihre Belastbarkeit in Krisensituationen überprüft werden.
  
  
• Risikobasierter Ansatz
  Die Häufigkeit und Intensität der Tests sind abhängig vom Risikoprofil und der Komplexität der Systeme eines Unternehmens.

Diese allgemeinen Tests sind so gestaltet, dass sie Unternehmen dabei unterstützen, die Sicherheitslücken in ihren Systemen frühzeitig zu erkennen und die digitale Resilienz kontinuierlich zu verbessern.

Neben diesen allgemeinen Anforderungen gibt es erweiterte Testvorgaben für ausgewählte Finanzunternehmen, die besonders kritische Funktionen im Finanzsystem erfüllen. Diese Unternehmen sind verpflichtet, sogenannte Threat-led Penetration Tests (TLPT) durchzuführen. TLPT stellt eine anspruchsvolle Form des Penetrationstests dar, bei der reale Bedrohungsszenarien simuliert werden, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu testen.

Die Pflicht zur Durchführung von TLPT gilt nur für bestimmte Finanzunternehmen, die anhand spezifischer Kriterien von der zuständigen Aufsichtsbehörde identifiziert werden. Diese Kriterien, festgelegt in Artikel 26 Absatz 8 von DORA, umfassen:

• Wirkungsbezogene Faktoren
  Die Bedeutung der Dienstleistungen und Tätigkeiten des Finanzunternehmens für den Finanzsektor. Je höher die Abhängigkeit des Sektors von den Dienstleistungen eines Unternehmens, desto eher wird es als TLPT-pflichtig eingestuft.'
  
  
• Bedenken hinsichtlich der Finanzstabilität
  Unternehmen, deren Ausfälle potenziell systemische Risiken auf nationaler oder Unionsebene erzeugen könnten, werden als besonders schützenswert betrachtet und in die TLPT-Pflicht einbezogen.
  
  
• IKT-Risikoprofil und technologischer Reifegrad
  Das spezifische Risikoprofil und der Entwicklungsstand der IKT-Infrastruktur eines Unternehmens spielen ebenfalls eine Rolle. Ein höheres Risiko oder eine hohe Komplexität der IKT-Systeme machen TLPT notwendig.

Diese Kriterien werden durch einen technischen Regulierungsstandard (RTS) spezifiziert, der derzeit als Entwurf vorliegt. Der RTS legt genaue Anforderungen und Standards für die Durchführung von TLPT fest, einschließlich der Qualifikationen der Tester und der Vorgehensweise in den einzelnen Testphasen.

DORA ermöglicht es identifizierten Finanzunternehmen, unter bestimmten Bedingungen „Pooled Tests“ durchzuführen, wie in Artikel 26 Absatz 4 DORA beschrieben. Bei einem Pooled Test schließen sich mehrere Unternehmen zusammen, um gemeinsam mit einem IKT-Drittdienstleister ihre kritischen Funktionen und IKT-Systeme zu testen. Dies ist besonders relevant, wenn ähnliche Systeme oder Prozesse bei einem gemeinsamen Dienstleister ausgelagert sind. Grundsätzlich muss jedoch jedes Unternehmen sicherstellen, dass alle kritischen oder wichtigen Funktionen in den TLPT integriert werden.

Eine vollständige Übertragung der TLPT-Verpflichtung auf den IKT-Drittdienstleister ist nicht möglich. Das Finanzunternehmen bleibt weiterhin für die Durchführung des Tests und die Sicherstellung der Resilienz der eigenen Systeme verantwortlich.

Die BaFin ist dafür verantwortlich, die Unternehmen, die unter ihre Aufsicht fallen und als TLPT-pflichtig identifiziert wurden, frühzeitig über ihre Verpflichtungen zu informieren. Diese proaktive Kommunikation ermöglicht es den Unternehmen, sich rechtzeitig auf die spezifischen Anforderungen vorzubereiten und die nötigen Maßnahmen zur Erfüllung der TLPT-Anforderungen zu treffen. Die Identifikation der TLPT-pflichtigen Unternehmen durch die BaFin gewährleistet einen strukturierten und risikoorientierten Ansatz zur Absicherung des Finanzsektors.

Die BaFin führt keine Liste mit zertifizierten Testern, die für TLPT gemäß Artikel 27 Absatz 1 DORA eingesetzt werden können. Die Auswahl geeigneter Tester und Threat-Intelligence-Dienstleister liegt vollständig in der Verantwortung des zu testenden Unternehmens. Die Unternehmen müssen dabei die erweiterten Anforderungen des technischen Regulierungsstandards (RTS) zu TLPT berücksichtigen, der unter anderem Qualifikationen und Anforderungen an die Tester beschreibt. Aktuell existiert in Deutschland keine Akkreditierungsstelle zur Zertifizierung von TLPT-Testern gemäß Artikel 27 Absatz 1 Buchstabe c DORA.

Nur Unternehmen, die von der zuständigen Aufsichtsbehörde gemäß den Kriterien in Artikel 26 Absatz 8 Unterabsatz 3 DORA identifiziert wurden, erhalten eine offizielle Bescheinigung zur TLPT-Verpflichtung. Diese Bescheinigung dient als Nachweis für die Notwendigkeit und Verpflichtung, regelmäßig TLPT durchzuführen, und wird Unternehmen zur Vorlage bei internen und externen Stakeholdern zur Verfügung gestellt.