Update zu DORA, bedrohungsorientierten Penetrationstests (TLTP) und Threat Intelligence (TI)

Autor: Thibaud Kehler (Team Manager Financial Services)

Mit DORA, der "Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act)", über welche wir auch schon auf unserem Pentest Blog berichtet haben, hat die Europäische Union einen einheitlichen Rahmen für die IT-Sicherheit in der Finanzbranche geschaffen.

DORA wurde am 17.01.2023 verabschiedet und findet ab 17.01.2025 Anwendung.

Die Verordnung sieht vor, dass nahezu alle Finanzunternehmen (Kreditinstitute, Versicherungen, Kapitalverwaltungsgesellschaften und elektronische Zahlungsanbieter), aber neuerdings auch finanznahe IT-Unternehmen und Anbieter von Informations- und Kommunikationstechnologie (IKT) für den Finanzsektor (Buchhaltung, Kreditratings, Bonitätsprüfung, Anbieter von Kernbankensystem usw.), ihren IT-Betrieb an den EU-weiten hohen Standards ausrichten.

Aus TIBER-EU wird TLPT

Zusätzlich zu routinemäßigen Prüfungen der Betriebsstabilität, die von Schwachstellenscans über Reviews bis hin zu Penetrationstests reichen können, sieht DORA regelmäßige "bedrohungsorientierte Penetrationstests" vor, kurz TLPT (Threat Led Penetration Test). Angelehnt an den bisher freiwilligen TIBER-EU-Standard muss jedes Finanzunternehmen ab einer gewissen Größe einen umfassenden Red Teaming-Penetrationstest durchführen. Die Testszenarien werden hierbei im Rahmen einer "Bedrohungsanalyse" (Threat Intelligence) aus der allgemeinen Bedrohungslage im Finanzsektor und der spezifischen Bedrohungslage des Unternehmens sowie der konkreten Angriffsoberfläche abgeleitet.

Vom 08.12.2023 bis zum 04.03.2024 fand die öffentliche Konsultation der europäischen Aufsichtsbehörden EBA, ESMA und EIOPA zum Entwurf des technischen Regulierungsstandards statt, welcher die Durchführung der TLPT ausgestaltet.

DORA sieht vor, dass die eben genannten Prüfungen von unabhängigen Dienstleistern wie der SySS durchgeführt werden, an die ebenfalls hohe Anforderungen gestellt werden. Zum Beispiel beabsichtigt der derzeitige Entwurf, dass Anbieter von TLPT mindestens fünf Jahre Erfahrung in bedrohungsorientierten Penetrationstests im Finanzsektor nachweisen müssen. 

Die SySS hat als einer der ersten Anbieter auf dem deutschen Markt TIBER-Tests erfolgreich durchgeführt und kann bereits viel Erfahrung auf diesem Gebiet vorweisen. Die Schwelle von fünf Jahren Marktteilnahme als einzige harte Voraussetzung greift jedoch etwas zu kurz. Erfahrung außerhalb des Finanzsektors sowie die Berufserfahrung unserer Mitarbeitenden bei anderen Unternehmen sowie weitläufig anerkannte und in der IT-Sicherheit verbreitete Zertifizierungen bleiben unberücksichtigt. Darüber hinaus erschwert diese Schwelle den Markteintritt im Bereich der im Vorfeld des Tests notwendigen Bedrohungsanalysen, die im strengen Datenschutzrecht der EU bisher nicht ohne Weiteres möglich waren. Die EU würde mit dem technischen Regulierungsstandard in der jetzigen Form den Finanzsektor dazu zwingen, diese Dienstleistung, welche viel Vertrauen und Kenntnis in der jeweiligen EU-Amtssprache erfordert, an Dienstleister außerhalb der EU zu vergeben.

Die SySS hat deshalb eine Stellungnahme zum Entwurf abgegeben, die wir hier gerne veröffentlichen.

SySS ist Ihr Dienstleister für DORA

Die SySS genießt als Marktführer für Penetrationstests seit 26 Jahren im DACH-Raum höchstes Ansehen und hat ihre technischen und organisatorischen Fähigkeiten bei zahlreichen Projekten auch im Finanzsektor nachgewiesen. Sowohl bei den routinemäßigen Prüfungen (Penetrationstests, Schwachstellenscans usw.) als auch bei der Durchführung der bedrohungsorientierten Penetrationstests steht die SySS Ihnen als unabhängiger und belastbarer Partner zur Seite. Ab Sommer 2024 wird die SySS außerdem auch die im Vorfeld notwendigen Bedrohungsanalysen (Threat Intelligence) anbieten können. Wenden Sie sich dazu gerne an thibaud.kehler(at)syss.de.

Quellen

[1] DORA-Verordnung im Volltext, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022R2554  
[2] Öffentliche Konsultationen der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA, https://www.esma.europa.eu/press-news/esma-news/esas-launch-joint-consultation-second-batch-policy-mandates-under-digital  
[3] BaFin zu DORA, https://www.bafin.de/DE/Aufsicht/DORA/DORA_artikel.html?cms_gtp=19669326_list%253D2