Vulnerability Assessments
Das sind primär automatisierte Scans mit Schwachstellenscanner wie Nessus, Rapid7 und OpenVAS
Mit dem 17.01.2025 wird DORA für den Finanzsektor verpflichtend. Im Gegensatz zu anderen Richtlinien wie NIS2, ISO27001 oder TISAX stellt DORA klare Anforderungen an Pentests und Sicherheitstests. Vor allem die Durchführung eines von DORA geforderten TLPT unterliegt strengen Auflagen und ist deutlicher komplexer als übliche Pentests. Neben der DORA Richtlinie gibt es daher für TLPT einen eigenen technischen Regulierungsstandard (im folgenden RTS): In diesem Blogeintrag werden wir daher die häufigsten Fragen zum Thema „Digital Operational Resilience Testing“ nach DORA beantworten.
Alle Finanzunternehmen, die DORA unterliegen, sind verpflichtet, grundlegende Sicherheitstests durchzuführen.
Zusätzlich zu den grundlegenden Sicherheitstests fordert DORA von bestimmten Finanzunternehmen die Durchführung von sogenannten Threat-Led Penetration Test (TLPT). Ein TLPT ist ein offiziell von der Deutschen Bundesbank betreuter weitreichender Pentest, der über mehrere Monate durchgeführt wird und strengen Auflagen unterliegt. Dieser TLPT ist sehr ähnlich zu einem TIBER-Test, ist jedoch mit DORA nun verpflichtend.
Neben TLPT listet DORA folgende Beispiele für grundlegende Sicherheitstests (DORA Art 25 (1)).
Das sind primär automatisierte Scans mit Schwachstellenscanner wie Nessus, Rapid7 und OpenVAS
Dabei handelt es sich vor allem um aktive Tests einzelner Systeme oder Infrastrukturen. Das Ziel ist es, so viele Schwachstellen wie möglich zu finden, indem verschiedene Angriffstechniken angewendet werden.
Diese Tests sind vor allem Red Team Assessments. Das Ziel ist es, Schwachstellen aktiv auszunutzen, um eine komplette Angriffskette nachzustellen. So soll zum Beispiel die Kompromittierung eines Servers erreicht werden.
Das sind primär Konfigurationsaudits von einzelnen Netzwerksystemen (wie z.B. Active Directory, Windows Client, Exchange-Server, Firewalls, etc.)
Das kann eine technische Analyse von Schwachstellen in Zutrittskontrollsystemen wie RFID-, Bluetooth- oder NFC-Schnittstellen sein. Es kann auch eine aktive Angriffssimulation sein. Dabei wird versucht, mithilfe von Social Engineering in das Firmengebäude zu gelangen.
Das sind passive Analysen des Quellcodes einer Anwendung. Sie können zusätzlich oder als Alternative zu einem Anwendungspenetrationstest genutzt werden, wenn es sinnvoll ist.
Zusätzlich erwähnt das DORA-Framework unter anderem den Einsatz von Open Source Analysen, Fragebögen und Applikationsscannern.
Unter der DORA-Richtlinie sind alle Finanzunternehmen verpflichtet, die oben genannten grundlegenden Sicherheitstests durchzuführen. Kleinstunternehmen mit weniger als 10 Mitarbeitenden oder einem Jahresumsatz von unter 2 Millionen Euro müssen diese Tests ebenfalls umsetzen, jedoch nach einem eigenen risikobasierten Ansatz (DORA Art 24 und Art 25 (3)). Sie haben mehr Spielraum und unterliegen nicht den strikten Vorgaben wie größere Unternehmen. Die Durchführung eines TLPT (Threat-Led Penetration Test) ist hingegen nur für Unternehmen verpflichtend, die eine besondere Relevanz für den Finanzsektor haben und bestimmte Umsatz- oder Einnahmekriterien erfüllen.
Für die grundlegenden Sicherheitstests betrachtet DORA ICT-Systeme und Applikationen, die laut Risikomanagement kritische oder wichtige Funktionen unterstützen, gesondert. Diese kritischen oder wichtigen Systeme müssen
Für nicht kritische ICT-Systeme und Anwendungen gilt: Die Anzahl und Intensität der Tests müssen immer an die Größe, die Aktivitäten und das Risikoprofil des Unternehmens angepasst sein (DORA Art 4 (2)).
Ein TLPT muss mindestens alle 3 Jahre durchgeführt werden. Die Deutsche Bundesbank bzw. die zuständige Behörde kann dabei die Häufigkeit je nach Risikoprofil erhöhen oder reduzieren (DORA Art 26 (1)).
Finanzunternehmen, die als Kleinstunternehmen einzustufen sind, sind grundsätzlich davon ausgenommen, einen ausführlichen Testplan nach DORA Art 24 (1) zu erstellen. Diese müssen vielmehr einen risikobasierten Ansatz nach DORA Art 26 (3) verfolgen, um punktuell angemessene Sicherheitstests durchzuführen.
Die grundlegenden Sicherheitstests müssen von einer unabhängigen Partei durchgeführt werden. Laut DORA kann das ein externer Dienstleister oder eine interne Abteilung sein, solange
Für TLPT gelten strengere Auflagen. Interne Mitarbeiter dürfen hier nur unter bestimmten Umständen eingesetzt werden. Spätestens jeder dritte TLPT muss komplett von einem externen Dienstleister durchgeführt werden (DORA Art 26 (8)). Finanzunternehmen, die gemäß DORA Art 6 (4) als bedeutend eingestuft werden, dürfen TLPT ausschließlich durch externe Dienstleister durchführen.
Wenn interne Mitarbeiter in einem TLPT eingesetzt werden sollen, ist dies nur in der Red Team Phase möglich. Für die Threat Intelligence Phase eines TLPTs müssen immer externe Dienstleister herangezogen werden (DORA Art 27 (2c)). Bei der Auswahl eines externen Dienstleisters gelten strenge Anforderungen, z.B. müssen
Detaillierte Anforderungen können dem RTS Art 5 (2 e, f) entnommen werden sowie DORA Art 27 (1). Beim Einsatz von internen Testern müssen die internen Tester von der Bundesbank genehmigt werden. Interne Tester dürfen nur in der Red-Team-Phase eingesetzt werden. In der Threat-Intelligence-Phase sind sie nicht erlaubt (DORA Art 27 (2c)). Zudem müssen bei internen Mitarbeitern unter anderem folgende Anforderungen sichergestellt sein
Detaillierte Anforderungen zu internen Testern sind dem RTS Art 13 zu entnehmen. Bei der Durchführung von TLPT müssen die Teams für Threat Intelligence, Red Team und Blue Team streng voneinander getrennt sein. So dürfen beim Einsatz von internen oder externen Mitarbeitern keine Verbindung zu internen Blue-Team-Aktivitäten bestehen.
Ein grundlegender Pentest eines spezifischen Systems oder Anwendung dauert in der Regel zwischen 4 und 10 Tagen. Die Red-Team-Phase in einem TLPT muss mindestens 12 Wochen dauern (RTS Art 10 (5)). Zusammen mit der Threat-Intelligence-Phase kann ein TLPT daher 5 bis 6 Monate in Anspruch nehmen.
Zusätzlich gibt es interne Vorbereitungen, wie das Erstellen des Scope Specification Documents. Auch die Nachbereitung, wie der Blue Team Report, gehört dazu.
Grundsätzlich beschränkt sich die Pflicht für TLPT auf Unternehmen, die eine wichtige Schlüsselposition im Finanzsektor einnehmen. Folgende Unternehmen sind explizit von der TLPT Pflicht ausgenommen (DORA Art 26 (1) und Art 16 (1)):
Kleinstunternehmen
Kleine und nicht verflochtene Wertpapierfirmen
Zahlungsinstitute, die gemäß der Richtlinie (EU) 2015/2366 ausgeschlossen sind
E-Geld-Institute, die gemäß der Richtlinie 2009/110/EG ausgeschlossen sind
Kleine Einrichtungen der betrieblichen Altersversorgung.
Für alle anderen Finanzunternehmen gilt, dass die zuständige Aufsichtsbehörde (BaFin, EZB oder Börsenaufsichtsbehörden) Unternehmen ermittelt, die einen TLPT durchzuführen haben und diese rechtzeitig kontaktiert, um sie a) über die Verpflichtung zu informieren und b) zu gegebener Zeit den Testprozess anzustoßen. Bei dieser Entscheidung werden sowohl quantitative Kriterien als auch qualitative Kriterien zugrunde gelegt, die im Folgenden kurz zusammengefasst werden:
Durchführung der grundlegenden Tests
Mit unseren 50 Security-Experten decken wir eine breite Palette an Pentest-Typen ab. Zudem haben wir Erfahrung im Bereich Finanzen und Versicherungen und unterstützen hier bereits viele DAX-Konzerne aus der DACH-Region. Weitere Informationen zu unseren Pentest-Leistungen finden Sie hier: Pentests
Durchführung von TLPT
Wir übernehmen für Sie sowohl die Threat Intelligence- als auch die Red-Team-Phase. So bieten wir TLPT aus einer Hand, basierend auf den Vorgaben der Deutschen Bundesbank. Mit unserer jahrelangen Erfahrung in TIBER und TLPT sind wir seit 20 Jahren ein zuverlässiger Partner für Banken und Versicherungen.
Managed Pentest und Schwachstellentracking
Neben der Durchführung von Pentests unterstützen wir auch bei der Planung und Vorbereitung und entlasten Ihre internen Ressourcen. Wir erstellen für Sie nicht nur den Testplan, sondern übernehmen mit einer eigens entwickelten Plattform auch das Schwachstellentracking für Sie. So haben Sie stets einen zentralen Blick auf den aktuellen Stand der Befunde und deren Behebung.
DORA-Beratung
Unser eigenes Security Consulting Team berät unsere Kunde im Bereich Governance und Compliance und ist mit allen gängigen Sicherheitsnormen wie ISO27001, TISAX, NIS2, VAIT, BAIT und DORA vertraut.
Risikomanagement
Unser eigenes Security Consulting Team unterstützt Sie bei der Identifizierung Ihrer kritischen Systeme und Funktionen und erstellt mit Ihnen ggf. das “Scope Specification Document”.
TLPT-Beratung Control Team (TIBER: White Team)
Als etablierter Experte und Dienstleiser für TLPT beraten wir Sie gerne vorbereitend und nachgelagert zu einem TLPT und bringen unsere Erfahrungen aus dem TIBER- / TLPT-Umfeld bei Ihnen ein.
Kontakt aufnehmen
2 DORA Richtlinie (EN)
3 RTS für TLPT (EN) - (Zum Zeitpunkt des Blog-Eintrag handelte sich dabei um den am 17.07.24 erstellten finalen Entwurf des RTS)