ISMSJan Kahmen5 min Lesezeit

Testen der digitalen operationalen Resilienz unter DORA

Es ist wichtig für Finanzunternehmen, TLPT zur Überprüfung ihrer digitalen operativen Widerstandsfähigkeit zu etablieren und regelmäßig zu aktualisieren.

Inhaltsverzeichnis

Welche Maßnahmen fallen unter den Begriff "Testen der digitalen operationalen Resilienz (TLPT )" innerhalb des DORA-Kontexts?

Im Rahmen des DORA-Frameworks sind Finanzunternehmen dazu verpflichtet, ein Programm zur Überprüfung der digitalen betrieblichen Widerstandsfähigkeit zu etablieren und aufrechtzuerhalten. Dieses Testprogramm Ist ein wesentlicher Bestandteil des Risikomanagementrahmens für Informations- und Kommunikationstechnologien (IKT) (Art. 6(5) DORA). Hat zum Ziel, die Effizienz der Präventions-, Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten von IKT-Systemen, -Prozessen und Mitarbeitenden zu überprüfen, um potenzielle Schwachstellen aufzudecken und zu beseitigen. Umfasst eine Vielzahl von Instrumenten und Maßnahmen:

  • Von einfachen Schwachstellenbewertungen und Scans bis hin zu umfassenden Penetrationstests - alle finanzieren Unternehmen (gemäß Artikel 25 der Digital Operational Resilience Regulation) müssen grundlegende Tests durchführen.
  • Bis hin zu fortgeschrittenen Prüfungen wie TLPT - ausschließlich für Finanzunternehmen, die auf IT-Ebene ausgereift genug sind und von relevanter systemischer Bedeutung sind (gemäß Artikel 26 des DORA).

Was bedeutet die Abkürzung TLPT in DORA?

TLPT steht für "Threat-Led Penetration Testing" (bedrohungsorientierte Penetrationstests). Dies beschreibt einen Rahmen, der die Taktiken, Techniken und Verfahren realer Angreifer nachahmt und ein kontrolliertes, maßgeschneidertes und erkenntnisgestütztes (Red-Team-) Testverfahren ermöglicht, um die kritischen Live-Produktionssysteme eines Finanzunternehmens als echte Cyberbedrohung zu betrachten.

Welchen Mehrwert stiftet Threat-Led Penetration Testing?

  1. Identifikation von realen Schwachstellen: Im Gegensatz zu traditionellen Penetration Tests, die oft nur auf bekannte Schwachstellen abzielen, basiert der Threat-Led Ansatz auf der Analyse von Bedrohungen und Risiken, die für die spezifische Organisation relevant sind. Dadurch werden reale Schwachstellen identifiziert, die von Angreifern tatsächlich ausgenutzt werden könnten.

  2. Berücksichtigung von Kontext und Unternehmensumfeld: Threat-Led Penetration Testing berücksichtigt nicht nur die technischen Aspekte einer Organisation, sondern auch das Geschäftsumfeld, einschließlich der Infrastruktur, Anwendungen, Geschäftsprozesse und Mitarbeiterverhalten. Dadurch werden Bedrohungen und Risiken besser verstanden und es können gezieltere Angriffsszenarien simuliert werden.

  3. Frühere Erkennung von Bedrohungen: Durch die Analyse von Bedrohungen und Risiken wird auch die Erkennung von Bedrohungen verbessert. Schwachstellen und Angriffsmuster können identifiziert und behoben werden, bevor Angreifer diese ausnutzen können.

  4. Verbesserung der Sicherheitsstrategie: Durch die Erkenntnisse aus dem Threat-Led Penetration Test können Sicherheitsstrategien verbessert und gezieltere Maßnahmen getroffen werden. Dadurch können Schwachstellen effektiver und kosteneffizienter behoben werden.

Einbindung von Stakeholdern in der Testphase ist wichtiger Bestandteil der Testmethodik selbst

Das TLPT Cyber Team fungiert als Gutachter und bestätigt die korrekte Durchführung von Tests. Es übernimmt die fachliche und prozessuale Betreuung und dient als Ansprechpartner für das Control Team. Des Weiteren hält es den Kontakt zu externen Stellen.

Als zentraler Ansprechpartner und Entscheidungsträger fungiert der Manager des Control Teams. Seine Tätigkeit umfasst zum einen das stetige Monitoring und die Kontrolle wichtiger Prozesse, um die Einhaltung von Standards und Richtlinien sicherzustellen. Zum anderen ist er verantwortlich für das Risikomanagement und trifft gezielt Maßnahmen zur Vermeidung von möglichen Gefahren.

Das Blue Team, auch bekannt als Verteidiger-Team, ist in der Cyberabwehr tätig und zuständig für die Sicherheit des Unternehmens. Es besteht aus allen Mitarbeitern außerhalb des Control Teams und ist nicht über die Durchführung von Tests informiert.

Der Tester führt Angriffsszenarien auf das Unternehmen durch, indem er die durch den TI-Anbieter gesammelten Informationen nutzt und Schwachstellen identifiziert. Anschließend dokumentiert er die Angriffsvektoren.

Threat-Intelligence-Anbieter erfassen individuelle Bedrohungsinformationen von Unternehmen und erstellen Angriffsszenarien.

Fazit

Zusammenfassend lässt sich sagen, dass das neue TLPT im Vergleich zu TIBER-DE einige Veränderungen mit sich bringt. Zum einen ist nun eine verbindliche Verpflichtung für identifizierte Finanzunternehmen gegeben, das TLPT als aufsichtliche Maßnahme durchzuführen. Dies sorgt für einen höheren Stellenwert und eine bessere Integration des TLPT in die Geschäftsprozesse dieser Unternehmen.

Besonders hervorzuheben ist die EU-weite Anerkennung von Testergebnissen, die es ermöglicht, schneller standardisierte Vorgehensweisen umzusetzen und somit die Resilienz der gesamten europäischen Finanzbranche zu stärken. Zudem haben die Finanzunternehmen nun die Möglichkeit, auch interne Pentester unter bestimmten Bedingungen einzusetzen, was die Flexibilität erhöht.

Insgesamt wird durch das TLPT eine weitere wichtige Maßnahme zur Verbesserung der IT-Sicherheit im Finanzsektor eingeführt, die durch die oben genannten Punkte eine höhere Wirksamkeit und europaweite Harmonisierung erzielt.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: