Artikel 26 der Digital Operational Resilience Act (DORA) führt spezifische Anforderungen für Bedrohungsdurchdringungstests (Threat-Led Penetration Testing, TLPT) ein. Diese hochentwickelten Tests simulieren reale Angriffe auf die Cybersicherheitsinfrastruktur von Finanzinstituten, um deren Widerstandsfähigkeit gegenüber komplexen Cyberangriffen zu überprüfen.
TLPT geht über herkömmliche Penetrationstests hinaus, indem es Angriffsmethoden und -taktiken nutzt, die von tatsächlichen Bedrohungsakteuren angewendet werden.
Eine besondere Form des Sicherheitstests unter DORA stellt das „Threat-led Penetration Testing“ (TLPT) dar. TLPT geht über herkömmliche Penetrationstests hinaus, indem es reale Cyberbedrohungen nachbildet und durch kontrollierte, maßgeschneiderte Tests Angriffsvektoren simuliert. Dieser Ansatz orientiert sich an den tatsächlichen Taktiken, Techniken und Verfahren von Cyberangreifern und ermöglicht es, kritische Live-Produktionssysteme unter realen Bedingungen zu testen. Die TLPT-Tests werden oft durch Red-Teams durchgeführt, die gezielt Schwachstellen aufdecken sollen, um die Abwehrbereitschaft des Unternehmens zu stärken.
Nicht jedes Finanzunternehmen ist zur Durchführung von TLPT verpflichtet. Gemäß Artikel 26 Absatz 8 DORA identifizieren die Aufsichtsbehörden eine selektive Gruppe von Finanzunternehmen, für die
TLPT als erforderlich angesehen wird. Die Kriterien zur Identifikation basieren auf:
Finanzunternehmen, die diese Kriterien erfüllen, erhalten von der BaFin oder der Europäischen Zentralbank (EZB) eine offizielle Benachrichtigung zur Durchführung eines TLPT.
Der Technische Regulierungsstandard (RTS) für TLPT, entwickelt von den Europäischen Aufsichtsbehörden (ESAs) und der EZB, spezifiziert die Anforderungen an die Durchführung und Dokumentation von
TLPT. Der RTS umfasst:
Der finale Entwurf des RTS wurde am 17. Juli 2024 an die Europäische Kommission übermittelt und wird nach Veröffentlichung im Amtsblatt der EU in Kraft treten
Die TLPT-Methodik unter DORA basiert auf den Richtlinien des freiwilligen TIBER-EU-Rahmens („Threat Intelligence-based Ethical Red Teaming“), der von mehreren europäischen Ländern, darunter Deutschland, genutzt wird. Für Deutschland wurde der Rahmen als TIBER-DE umgesetzt, der weiterhin in Zusammenarbeit mit der BaFin und der Deutschen Bundesbank angewendet wird. Die operative Begleitung der TLPT-Tests liegt bei der Deutschen Bundesbank, während die BaFin die regulatorische Aufsicht übernimmt. Diese Kooperation stellt sicher, dass Erfahrungen und Erkenntnisse aus bisherigen TIBER-EU-Tests genutzt werden, um die TLPT-Prüfungen in Deutschland effizient und praxisnah umzusetzen.
Die Anforderungen an das Testen der digitalen Resilienz unter DORA tragen maßgeblich dazu bei, die Cyberabwehr im Finanzsektor zu stärken. Durch ein strukturiertes und auf den jeweiligen Risikograd abgestimmtes Testprogramm können Finanzunternehmen Schwachstellen frühzeitig erkennen und Maßnahmen zur Risikoreduktion einleiten. Der erweiterte TLPT-Ansatz für ausgewählte kritische Unternehmen schafft zusätzliche Sicherheit, indem er realistische Bedrohungen simuliert und so das Unternehmen auf Worst-Case-Szenarien vorbereitet.
Im Rahmen des Digital Operational Resilience Act (DORA) müssen alle Finanzunternehmen im Anwendungsbereich der Verordnung ein solides Testprogramm für die digitale operationelle Resilienz implementieren. Diese allgemeinen Anforderungen, die in Artikel 24 und 25 von DORA definiert sind, sollen sicherstellen, dass Finanzunternehmen regelmäßig ihre IKT-Infrastruktur auf Schwachstellen prüfen und Maßnahmen zur Risikominderung entwickeln. Ein solches Testprogramm ist ein wesentlicher Bestandteil des IKT-Risikomanagementrahmens und dient dazu, die Belastbarkeit der digitalen Systeme zu stärken.
Jedes Finanzunternehmen, das den DORA-Regelungen unterliegt, ist verpflichtet, ein Testprogramm zu entwickeln, das folgende Aspekte abdeckt:
Diese allgemeinen Tests sind so gestaltet, dass sie Unternehmen dabei unterstützen, die Sicherheitslücken in ihren Systemen frühzeitig zu erkennen und die digitale Resilienz kontinuierlich zu
verbessern.
Neben diesen allgemeinen Anforderungen gibt es erweiterte Testvorgaben für ausgewählte Finanzunternehmen, die besonders kritische Funktionen im Finanzsystem erfüllen. Diese Unternehmen sind verpflichtet, sogenannte Threat-led Penetration Tests (TLPT) durchzuführen. TLPT stellt eine anspruchsvolle Form des Penetrationstests dar, bei der reale Bedrohungsszenarien simuliert werden, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu testen.
Die Pflicht zur Durchführung von TLPT gilt nur für bestimmte Finanzunternehmen, die anhand spezifischer Kriterien von der zuständigen Aufsichtsbehörde identifiziert werden. Diese Kriterien,
festgelegt in Artikel 26 Absatz 8 von DORA, umfassen:
Diese Kriterien werden durch einen technischen Regulierungsstandard (RTS) spezifiziert, der derzeit als Entwurf vorliegt. Der RTS legt genaue Anforderungen und Standards für die Durchführung von
TLPT fest, einschließlich der Qualifikationen der Tester und der Vorgehensweise in den einzelnen Testphasen.
DORA ermöglicht es identifizierten Finanzunternehmen, unter bestimmten Bedingungen „Pooled Tests“ durchzuführen, wie in Artikel 26 Absatz 4 DORA beschrieben. Bei einem Pooled Test schließen sich mehrere Unternehmen zusammen, um gemeinsam mit einem IKT-Drittdienstleister ihre kritischen Funktionen und IKT-Systeme zu testen. Dies ist besonders relevant, wenn ähnliche Systeme oder Prozesse bei einem gemeinsamen Dienstleister ausgelagert sind. Grundsätzlich muss jedoch jedes Unternehmen sicherstellen, dass alle kritischen oder wichtigen Funktionen in den TLPT integriert werden.
Eine vollständige Übertragung der TLPT-Verpflichtung auf den IKT-Drittdienstleister ist nicht möglich. Das Finanzunternehmen bleibt weiterhin für die Durchführung des Tests und die Sicherstellung der Resilienz der eigenen Systeme verantwortlich.
Die BaFin ist dafür verantwortlich, die Unternehmen, die unter ihre Aufsicht fallen und als TLPT-pflichtig identifiziert wurden, frühzeitig über ihre Verpflichtungen zu informieren. Diese proaktive Kommunikation ermöglicht es den Unternehmen, sich rechtzeitig auf die spezifischen Anforderungen vorzubereiten und die nötigen Maßnahmen zur Erfüllung der TLPT-Anforderungen zu treffen. Die Identifikation der TLPT-pflichtigen Unternehmen durch die BaFin gewährleistet einen strukturierten und risikoorientierten Ansatz zur Absicherung des Finanzsektors.
Die BaFin führt keine Liste mit zertifizierten Testern, die für TLPT gemäß Artikel 27 Absatz 1 DORA eingesetzt werden können. Die Auswahl geeigneter Tester und Threat-Intelligence-Dienstleister liegt vollständig in der Verantwortung des zu testenden Unternehmens. Die Unternehmen müssen dabei die erweiterten Anforderungen des technischen Regulierungsstandards (RTS) zu TLPT berücksichtigen, der unter anderem Qualifikationen und Anforderungen an die Tester beschreibt. Aktuell existiert in Deutschland keine Akkreditierungsstelle zur Zertifizierung von TLPT-Testern gemäß Artikel 27 Absatz 1 Buchstabe c DORA.
Nur Unternehmen, die von der zuständigen Aufsichtsbehörde gemäß den Kriterien in Artikel 26 Absatz 8 Unterabsatz 3 DORA identifiziert wurden, erhalten eine offizielle Bescheinigung zur TLPT-Verpflichtung. Diese Bescheinigung dient als Nachweis für die Notwendigkeit und Verpflichtung, regelmäßig TLPT durchzuführen, und wird Unternehmen zur Vorlage bei internen und externen Stakeholdern zur Verfügung gestellt.