Fachwissen DORA - Testverfahren gemäß Artikel 26 der DORA-Verordnung

Artikel 26 der Digital Operational Resilience Act (DORA) führt spezifische Anforderungen für Bedrohungsdurchdringungstests (Threat-Led Penetration Testing, TLPT) ein. Diese hochentwickelten Tests simulieren reale Angriffe auf die Cybersicherheitsinfrastruktur von Finanzinstituten, um deren Widerstandsfähigkeit gegenüber komplexen Cyberangriffen zu überprüfen.


TLPT geht über herkömmliche Penetrationstests hinaus, indem es Angriffsmethoden und -taktiken nutzt, die von tatsächlichen Bedrohungsakteuren angewendet werden.

Anforderungen gemäß Artikel 26 der DORA

  • Regelmäßigkeit der Tests
    Finanzinstitute (außer Kleinstunternehmen) sind verpflichtet, TLPT mindestens alle drei Jahre durchzuführen.

  • Abdeckung kritischer Funktionen
    Der Testumfang muss sich auf kritische oder wichtige Funktionen der IKT-Systeme und -Prozesse des Instituts konzentrieren, um die Resilienz der zentralen Geschäftsabläufe sicherzustellen.

  • Live-Produktionssysteme
    TLPT müssen unter kontrollierten Bedingungen auf produktiven Systemen durchgeführt werden, um die reale Angriffsfläche zu bewerten.

  • Gepoolte Tests
    Finanzinstitute können kooperative TLPT durchführen, um gemeinsam genutzte IKT-Dienstleister zu testen und die Sicherheit gemeinsamer Infrastruktur zu stärken.

Prozesse von TLPT

  • Planung
    • Festlegung des Testumfangs und der Ziele auf Basis einer umfassenden Risikoanalyse.
    • Identifizierung kritischer Funktionen und Systeme, die getestet werden sollen.
    • Abstimmung der Testmethodik mit internen Sicherheitsrichtlinien und regulatorischen Vorgaben.
  • Durchführung
    • Simulation realistischer Angriffe unter Verwendung von Methoden und Taktiken, die von tatsächlichen Bedrohungsakteuren genutzt werden (z. B. Phishing, Zero-Day-Exploits, lateral movement).
    • Durchführung der Tests unter kontrollierten Bedingungen auf Live-Produktionssystemen, um die reale Belastbarkeit zu prüfen.
  • Analyse
    • Auswertung der Testergebnisse, einschließlich identifizierter Schwachstellen, potenzieller Auswirkungen und Sicherheitslücken.
    • Priorisierung der gefundenen Schwachstellen basierend auf ihrer Kritikalität.
  • Maßnahmen
    • Entwicklung eines detaillierten Maßnahmenplans zur Behebung der Schwachstellen.
    • Umsetzung der Verbesserungsmaßnahmen in den betroffenen Systemen und Prozessen.
    • Validierung der Wirksamkeit der Maßnahmen durch Nachtests.

Best Practices für TLPT

  • Zusammenarbeit mit spezialisierten Dienstleistern
    • Externe Experten oder spezialisierte Teams können sicherstellen, dass Tests realistisch, umfassend und unabhängig durchgeführt werden.
    • Integration in das Sicherheitsmanagement
    • TLPT sollte ein integraler Bestandteil des IT-Sicherheitsmanagements sein und eng mit anderen Sicherheitsmaßnahmen wie Schwachstellenscans und Penetrationstests verzahnt werden.
  • Realitätsnahe Szenarien
    • Angriffe sollten Bedrohungen nachbilden, die spezifisch für das Finanzinstitut oder die Branche relevant sind.
  • Sensibilisierung und Training
    • Die Ergebnisse von TLPT können genutzt werden, um Mitarbeitende zu schulen und die organisatorische Resilienz zu erhöhen.
  • Transparente Berichterstattung
    • Klare und umfassende Berichte über die Testergebnisse und empfohlenen Maßnahmen fördern die Zusammenarbeit zwischen internen Teams und externen Partnern.

Erweiterte Sicherheitsprüfungen für kritische Finanzunternehmen

Eine besondere Form des Sicherheitstests unter DORA stellt das „Threat-led Penetration Testing“ (TLPT) dar. TLPT geht über herkömmliche Penetrationstests hinaus, indem es reale Cyberbedrohungen nachbildet und durch kontrollierte, maßgeschneiderte Tests Angriffsvektoren simuliert. Dieser Ansatz orientiert sich an den tatsächlichen Taktiken, Techniken und Verfahren von Cyberangreifern und ermöglicht es, kritische Live-Produktionssysteme unter realen Bedingungen zu testen. Die TLPT-Tests werden oft durch Red-Teams durchgeführt, die gezielt Schwachstellen aufdecken sollen, um die Abwehrbereitschaft des Unternehmens zu stärken.

Identifikation der TLPT-pflichtigen Unternehmen

Nicht jedes Finanzunternehmen ist zur Durchführung von TLPT verpflichtet. Gemäß Artikel 26 Absatz 8 DORA identifizieren die Aufsichtsbehörden eine selektive Gruppe von Finanzunternehmen, für die TLPT als erforderlich angesehen wird. Die Kriterien zur Identifikation basieren auf:

  • Wirkungsbezogenen Faktoren
    Berücksichtigung der Auswirkungen der vom Finanzunternehmen angebotenen Dienstleistungen auf den Finanzsektor.

  • Finanzstabilität
    Bewertung des systemischen Charakters des Unternehmens auf nationaler oder EU-Ebene.

  • IKT-Risikoprofil und Reifegrad
    Analyse des spezifischen IKT-Risikos sowie des technologischen Entwicklungsstandes des Unternehmens.


Finanzunternehmen, die diese Kriterien erfüllen, erhalten von der BaFin oder der Europäischen Zentralbank (EZB) eine offizielle Benachrichtigung zur Durchführung eines TLPT.

Technischer Regulierungsstandard (RTS) für TLPT

Der Technische Regulierungsstandard (RTS) für TLPT, entwickelt von den Europäischen Aufsichtsbehörden (ESAs) und der EZB, spezifiziert die Anforderungen an die Durchführung und Dokumentation von TLPT. Der RTS umfasst:

  • Kriterien für die Identifikation von TLPT-pflichtigen Finanzunternehmen

  • Anforderungen an interne Tester
    Qualifikationen und Standards für Testpersonen.

  • Testumfang und Methodik
    Detaillierte Beschreibung des Umfangs, der Methodik und der Testphasen.

  • Ergebnisverarbeitung und Nachbereitung
    Vorgaben für die Auswertung, Abschlussberichte und Maßnahmen zur Behebung von Schwachstellen.

  • Koordination und gegenseitige Anerkennung
    Vorgaben zur Zusammenarbeit zwischen Aufsichtsbehörden und zur Anerkennung von TLPT-Ergebnissen in grenzüberschreitenden Finanzinstitutionen.


Der finale Entwurf des RTS wurde am 17. Juli 2024 an die Europäische Kommission übermittelt und wird nach Veröffentlichung im Amtsblatt der EU in Kraft treten

Kooperation mit der Deutschen Bundesbank und dem TIBER-DE-Rahmen

Die TLPT-Methodik unter DORA basiert auf den Richtlinien des freiwilligen TIBER-EU-Rahmens („Threat Intelligence-based Ethical Red Teaming“), der von mehreren europäischen Ländern, darunter Deutschland, genutzt wird. Für Deutschland wurde der Rahmen als TIBER-DE umgesetzt, der weiterhin in Zusammenarbeit mit der BaFin und der Deutschen Bundesbank angewendet wird. Die operative Begleitung der TLPT-Tests liegt bei der Deutschen Bundesbank, während die BaFin die regulatorische Aufsicht übernimmt. Diese Kooperation stellt sicher, dass Erfahrungen und Erkenntnisse aus bisherigen TIBER-EU-Tests genutzt werden, um die TLPT-Prüfungen in Deutschland effizient und praxisnah umzusetzen.

Stärkung der digitalen operationellen Resilienz durch umfassende Testverfahren

Die Anforderungen an das Testen der digitalen Resilienz unter DORA tragen maßgeblich dazu bei, die Cyberabwehr im Finanzsektor zu stärken. Durch ein strukturiertes und auf den jeweiligen Risikograd abgestimmtes Testprogramm können Finanzunternehmen Schwachstellen frühzeitig erkennen und Maßnahmen zur Risikoreduktion einleiten. Der erweiterte TLPT-Ansatz für ausgewählte kritische Unternehmen schafft zusätzliche Sicherheit, indem er realistische Bedrohungen simuliert und so das Unternehmen auf Worst-Case-Szenarien vorbereitet.

Anforderungen an das Testen der digitalen operationellen Resilienz gemäß DORA

Im Rahmen des Digital Operational Resilience Act (DORA) müssen alle Finanzunternehmen im Anwendungsbereich der Verordnung ein solides Testprogramm für die digitale operationelle Resilienz implementieren. Diese allgemeinen Anforderungen, die in Artikel 24 und 25 von DORA definiert sind, sollen sicherstellen, dass Finanzunternehmen regelmäßig ihre IKT-Infrastruktur auf Schwachstellen prüfen und Maßnahmen zur Risikominderung entwickeln. Ein solches Testprogramm ist ein wesentlicher Bestandteil des IKT-Risikomanagementrahmens und dient dazu, die Belastbarkeit der digitalen Systeme zu stärken.

Allgemeine Testanforderungen für alle Finanzunternehmen

Jedes Finanzunternehmen, das den DORA-Regelungen unterliegt, ist verpflichtet, ein Testprogramm zu entwickeln, das folgende Aspekte abdeckt:

  • Regelmäßige Durchführung von Sicherheitstests
    Diese umfassen unter anderem Penetrationstests, Schwachstellenanalysen und szenariobasierte Simulationen, die potenzielle Bedrohungen nachstellen.

  • Evaluierung der Resilienzmechanismen
    Durch gezielte Tests sollen die IKT-Systeme auf ihre Belastbarkeit in Krisensituationen überprüft werden.

  • Risikobasierter Ansatz
    Die Häufigkeit und Intensität der Tests sind abhängig vom Risikoprofil und der Komplexität der Systeme eines Unternehmens.


Diese allgemeinen Tests sind so gestaltet, dass sie Unternehmen dabei unterstützen, die Sicherheitslücken in ihren Systemen frühzeitig zu erkennen und die digitale Resilienz kontinuierlich zu verbessern.

Erweiterte Tests: Threat-led Penetration Testing (TLPT)

Neben diesen allgemeinen Anforderungen gibt es erweiterte Testvorgaben für ausgewählte Finanzunternehmen, die besonders kritische Funktionen im Finanzsystem erfüllen. Diese Unternehmen sind verpflichtet, sogenannte Threat-led Penetration Tests (TLPT) durchzuführen. TLPT stellt eine anspruchsvolle Form des Penetrationstests dar, bei der reale Bedrohungsszenarien simuliert werden, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu testen.

Die Pflicht zur Durchführung von TLPT gilt nur für bestimmte Finanzunternehmen, die anhand spezifischer Kriterien von der zuständigen Aufsichtsbehörde identifiziert werden. Diese Kriterien, festgelegt in Artikel 26 Absatz 8 von DORA, umfassen:

  • Wirkungsbezogene Faktoren
    Die Bedeutung der Dienstleistungen und Tätigkeiten des Finanzunternehmens für den Finanzsektor. Je höher die Abhängigkeit des Sektors von den Dienstleistungen eines Unternehmens, desto eher wird es als TLPT-pflichtig eingestuft.'

  • Bedenken hinsichtlich der Finanzstabilität
    Unternehmen, deren Ausfälle potenziell systemische Risiken auf nationaler oder Unionsebene erzeugen könnten, werden als besonders schützenswert betrachtet und in die TLPT-Pflicht einbezogen.

  • IKT-Risikoprofil und technologischer Reifegrad
    Das spezifische Risikoprofil und der Entwicklungsstand der IKT-Infrastruktur eines Unternehmens spielen ebenfalls eine Rolle. Ein höheres Risiko oder eine hohe Komplexität der IKT-Systeme machen TLPT notwendig.


Diese Kriterien werden durch einen technischen Regulierungsstandard (RTS) spezifiziert, der derzeit als Entwurf vorliegt. Der RTS legt genaue Anforderungen und Standards für die Durchführung von TLPT fest, einschließlich der Qualifikationen der Tester und der Vorgehensweise in den einzelnen Testphasen.

Pooled Tests: Durchführung gemeinsamer TLPT-Tests

DORA ermöglicht es identifizierten Finanzunternehmen, unter bestimmten Bedingungen „Pooled Tests“ durchzuführen, wie in Artikel 26 Absatz 4 DORA beschrieben. Bei einem Pooled Test schließen sich mehrere Unternehmen zusammen, um gemeinsam mit einem IKT-Drittdienstleister ihre kritischen Funktionen und IKT-Systeme zu testen. Dies ist besonders relevant, wenn ähnliche Systeme oder Prozesse bei einem gemeinsamen Dienstleister ausgelagert sind. Grundsätzlich muss jedoch jedes Unternehmen sicherstellen, dass alle kritischen oder wichtigen Funktionen in den TLPT integriert werden.

Eine vollständige Übertragung der TLPT-Verpflichtung auf den IKT-Drittdienstleister ist nicht möglich. Das Finanzunternehmen bleibt weiterhin für die Durchführung des Tests und die Sicherstellung der Resilienz der eigenen Systeme verantwortlich.

Informationspflicht der BaFin

Die BaFin ist dafür verantwortlich, die Unternehmen, die unter ihre Aufsicht fallen und als TLPT-pflichtig identifiziert wurden, frühzeitig über ihre Verpflichtungen zu informieren. Diese proaktive Kommunikation ermöglicht es den Unternehmen, sich rechtzeitig auf die spezifischen Anforderungen vorzubereiten und die nötigen Maßnahmen zur Erfüllung der TLPT-Anforderungen zu treffen. Die Identifikation der TLPT-pflichtigen Unternehmen durch die BaFin gewährleistet einen strukturierten und risikoorientierten Ansatz zur Absicherung des Finanzsektors.

Auswahl von TLPT-Testern und Threat-Intelligence-Dienstleistern

Die BaFin führt keine Liste mit zertifizierten Testern, die für TLPT gemäß Artikel 27 Absatz 1 DORA eingesetzt werden können. Die Auswahl geeigneter Tester und Threat-Intelligence-Dienstleister liegt vollständig in der Verantwortung des zu testenden Unternehmens. Die Unternehmen müssen dabei die erweiterten Anforderungen des technischen Regulierungsstandards (RTS) zu TLPT berücksichtigen, der unter anderem Qualifikationen und Anforderungen an die Tester beschreibt. Aktuell existiert in Deutschland keine Akkreditierungsstelle zur Zertifizierung von TLPT-Testern gemäß Artikel 27 Absatz 1 Buchstabe c DORA.

Bescheinigungen zur TLPT-Verpflichtung

Nur Unternehmen, die von der zuständigen Aufsichtsbehörde gemäß den Kriterien in Artikel 26 Absatz 8 Unterabsatz 3 DORA identifiziert wurden, erhalten eine offizielle Bescheinigung zur TLPT-Verpflichtung. Diese Bescheinigung dient als Nachweis für die Notwendigkeit und Verpflichtung, regelmäßig TLPT durchzuführen, und wird Unternehmen zur Vorlage bei internen und externen Stakeholdern zur Verfügung gestellt.

Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH

Hettwer UnternehmensBeratung

Hettwer UnternehmensBeratung GmbH - Spezialisierte Beratung - Umsetzungsdienstleistungen im Finanzdienstleistungssektor – Experte im Projekt- und Interimsauftragsgeschäft - www.hettwer-beratung.de

H-UB ERFOLGSGESCHICHTE

Wir bieten

  • Projektmanagement aus einer Hand
  • Strategische Partnerschaften mit exzellenten Marktführern
  • Unterstützt durch modernste Künstliche Intelligenz Technologie eischl. Machine Learning Library (KI, MLL)
  • Innovative Lösungen und fundierte Expertise für Ihren Projekterfolg
KI-unterstütztes Projektmanagement
Mit strategischen Partnerschaften zum nachhaltigen Erfolg
HUB_Leistungsportfolio.pdf
Adobe Acrobat Dokument 5.3 MB

Auszeichnung

Gold-Partner-Zertifikat

Hettwer UnternehmensBeratung GmbH wurde aufgrund der erbrachten Beraterleistungen in den exklusiven Kreis der etengo Gold-Partner aufgenommen.

H-UB EXPERTENWISSEN

- Eine Beratung mit PROFIL -

Hettwer UnternehmensBeratung GmbH – Expertenprofil Klaus Georg Hettwer (Geschäftsführer): Beratungskompetenz, Fachliche Kompetenz, Methodische Kompetenz, Soziale Kompetenz, Kommunikationskompetenz; Sonderthemen: SEPA, EMIR, TARGET2, MiFID, T2S

H-UB SOCIAL MEDIA PRÄSENZ

© 2010-2024 Hettwer UnternehmensBeratung GmbH