Fachwissen DORA - Testen der digitalen operationellen Resilienz gem. Artikel 26

Dabei gilt der Grundsatz der Proportionalität: Je nach Größe und Kritikalität eines Unternehmens werden die Testanforderungen angepasst. Kleinstunternehmen und Institute, die unter den vereinfachten IKT-Risikomanagementrahmen gemäß Artikel 16 DORA fallen, unterliegen speziellen Ausnahmen, bleiben jedoch weiterhin zur Durchführung von Tests verpflichtet.

Die Digital Operational Resilience Act (DORA) stellt neue Anforderungen an Unternehmen im Finanzsektor, um die Widerstandsfähigkeit ihrer IT-Systeme sicherzustellen. Ein zentraler Bestandteil der Verordnung ist die regelmäßige Überprüfung und Validierung der digitalen operationellen Resilienz. Diese Tests sollen sicherstellen, dass kritische IT-Infrastrukturen nicht nur robust gegenüber Bedrohungen sind, sondern auch im Störungsfall schnell und zuverlässig reagieren können.

Eine umfassende Teststrategie ist wichtig, um die Anforderungen der DORA-Verordnung umzusetzen und gleichzeitig die Stabilität und Sicherheit der Systeme zu gewährleisten. Unsere umfassende Herangehensweise umfasst die Identifikation von Risiken, die Durchführung spezifischer Tests und die systematische Dokumentation der Ergebnisse.

Eine präzise Risikoidentifikation bildet die Grundlage jedes erfolgreichen Testprozesses. Ziel ist es, potenzielle Schwachstellen und Gefahrenquellen frühzeitig zu erkennen, um gezielt Gegenmaßnahmen entwickeln zu können.

• Bedrohungsanalyse
  Eine strukturierte Untersuchung möglicher externer und interner Bedrohungen, wie Cyberangriffe, Systemausfälle oder menschliche Fehler, liefert die Basis für weitere Schritte.
  
  
• Verwundbarkeitsassessment
  Analyse der IT-Infrastruktur, Anwendungen und Netzwerke, um Schwachstellen und Angriffsvektoren zu identifizieren.
  
  
• Risikobewertung
  Priorisierung identifizierter Risiken anhand ihrer Eintrittswahrscheinlichkeit und potenziellen Auswirkungen auf die Geschäftsprozesse. Diese Bewertung dient als Entscheidungsgrundlage für die Fokussierung der Tests.

Die Durchführung regelmäßiger Tests ist essenziell, um die Belastbarkeit und Wiederherstellungsfähigkeit der Systeme zu überprüfen. Die Testmethoden sind dabei so konzipiert, dass sie unterschiedliche Aspekte der operationellen Resilienz abdecken.

• Szenariobasierte Tests
  Simulation realer Angriffe oder Störungen, um die Reaktionsfähigkeit der Systeme zu messen.
  
  
• Stresstests
  Prüfung der Systemkapazitäten unter extremen Bedingungen, beispielsweise bei außergewöhnlich hohem Datenverkehr oder während komplexer Systemänderungen.
  
  
• Red-Team-Übungen
  Einsatz von Sicherheitsexperten, die gezielt in die Rolle potenzieller Angreifer schlüpfen, um die Sicherheitsmaßnahmen auf die Probe zu stellen.
  
  
• Recovery-Tests
  Bewertung der Wiederherstellungszeit und der Datenintegrität nach simulierten Ausfällen oder Cyberangriffen.

Die Ergebnisse der Tests werden systematisch dokumentiert, um Transparenz zu schaffen und gezielte Verbesserungen abzuleiten.

• Schwachstellenanalyse
  Klassifikation der identifizierten Schwächen und Sicherheitslücken, um deren Dringlichkeit und Auswirkungen zu bewerten.
  
  
• Risikoeinschätzung
  Detaillierte Bewertung der Risiken, einschließlich ihrer potenziellen Auswirkungen auf den Geschäftsbetrieb und die IT-Infrastruktur.
  
  
• Empfehlungen für Maßnahmen
  Vorschläge zur Behebung identifizierter Schwachstellen und Optimierung der Systemresilienz. Dies umfasst sowohl technische als auch organisatorische Maßnahmen.

Das von DORA geforderte Testprogramm umfasst eine Vielzahl unterschiedlicher Testverfahren, darunter:

• Gap-Analysen
  Identifikation von Sicherheitslücken und Bewertung der Resilienz.
  
  
• Szenariobasierte Tests
  Simulation realer Bedrohungsszenarien zur Prüfung der Reaktionsfähigkeit.
  
  
• Kompatibilitätstests
  Sicherstellung der Kompatibilität und Interoperabilität aller eingesetzten Systeme und Anwendungen.
  
  
• Penetrationstests
  Tiefergehende Tests, bei denen Schwachstellen in den IKT-Systemen gezielt ausgenutzt werden, um die Robustheit der Sicherheitssysteme zu überprüfen.

Diese Tests sollen sicherstellen, dass Finanzunternehmen über eine widerstandsfähige und sichere IKT-Infrastruktur verfügen, die in der Lage ist, Bedrohungen effektiv zu erkennen und abzuwehren.