Mit der europäischen Verordnung DORA (Digital Operational Resilience Act) wird ein neuer Standard für das IKT-Risikomanagement eingeführt. Sie verpflichtet große Finanzunternehmen zur regelmäßigen Durchführung von Threat-Led Penetration Testing (TLPT), d.h. nachrichtendienstlich gesteuerten, bedrohungsbasierten Tests, die die Fähigkeiten fortgeschrittener organisierter Cyberangreifer (APTs) simulieren.
Dabei geht es nicht nur um das Auffinden von Schwachstellen, sondern auch um die Überprüfung der Fähigkeit der gesamten Organisation, einen Angriff, der einem realistischen und koordinierten Szenario entspricht, zu erkennen, darauf zu reagieren und sich davon zu erholen.
Institute, die der DORA-Verordnung unterliegen, müssen sowohl die Anforderungen an die Häufigkeit der Tests als auch an deren Dokumentation und Berichterstattung an die zuständige Aufsichtsbehörde (z. B. CNB, EZB) erfüllen. Die aktive Red-Team-Testphase muss mindestens 12 Wochen dauern. Dieser Zeitraum ist notwendig, um versteckte Bedrohungsakteure zu imitieren.
Autor: Marek Kovalčík
Dabei geht es nicht nur um das Auffinden von Schwachstellen, sondern auch um die Überprüfung der Fähigkeit der gesamten Organisation, einen Angriff, der einem realistischen und koordinierten Szenario entspricht, zu erkennen, darauf zu reagieren und sich davon zu erholen.
Was sind bedrohungsgesteuerte Penetrationstests und warum sind herkömmliche Tests nicht ausreichend?
Anders als bei einem Standard-TLPT-Penetrationstest:- Simuliert einen Angriff in seiner ganzen Komplexität, einschließlich Eindringen, laterale Bewegung, Privilegieneskalation, Persistenz und Datenexfiltration,
- wird durch aktuelle Bedrohungsdaten und branchenspezifische Szenarien gesteuert,
- umfasst eine Koordinierungsphase mit definiertem Umfang, Einsatzregeln, Identifizierung kritischer Systeme und Testzielen.
Welche Anforderungen stellt die DORA in Bezug auf TLPT?
- Die Tests müssen auf der Grundlage des aktuellen Bedrohungsprofils durchgeführt werden, nicht als pauschales Szenario,
- Der Test muss sich auf kritische Funktionen und Systeme beziehen, deren Ausfall die Stabilität der Dienste gefährden könnte,
- die Organisationen müssen externe, unabhängige und qualifizierte Prüfer beauftragen,
- die Ergebnisse müssen zur Durchführung von Abhilfemaßnahmen und einer eventuellen erneuten Prüfung führen.
Institute, die der DORA-Verordnung unterliegen, müssen sowohl die Anforderungen an die Häufigkeit der Tests als auch an deren Dokumentation und Berichterstattung an die zuständige Aufsichtsbehörde (z. B. CNB, EZB) erfüllen. Die aktive Red-Team-Testphase muss mindestens 12 Wochen dauern. Dieser Zeitraum ist notwendig, um versteckte Bedrohungsakteure zu imitieren.
Was sind die Anforderungen an die Testteams?
DORA legt auch großen Wert auf die Qualität und die Qualifikation derjenigen, die fortgeschrittene Tests durchführen. Die Tester müssen strenge Kriterien erfüllen, wie z. B.:- Sie müssen anerkannte Experten sein, die über nachgewiesene technische und organisatorische Fähigkeiten und spezifische Kenntnisse verfügen.
- die Prüfer müssen zertifiziert sein und sich unabhängigen Audits oder einer Bescheinigung über ein solides Risikomanagement bei der Prüfung unterzogen haben
- sie müssen über eine angemessene Haftpflichtversicherung für verursachte Schäden verfügen
Wie funktioniert das Testen in der Praxis?
- Erkundung - Identifizierung der Zielanwendung und der Verbindung zum internen Netzwerk. Sammeln von Informationen über das Zielsystem wie IP-Adressen, DNS-Einträge und andere Metadaten.
- Footprinting - Analyse der verfügbaren Informationen über die Anwendung und die zugehörigen Systeme. Ermittlung der verfügbaren Dienste, Versionen und anderer Informationen.
- Sniffing - Abhören und Sammeln von übertragenen Daten, um Schwachstellen zu identifizieren, die zu Datenlecks führen.
- Scannen - Scannen des Netzwerks, um aktive Hosts und Ports zu identifizieren. Scannen von spezifischen Anwendungsdiensten wie APIs, GUIs.
- Enumeration - Identifizierung von Benutzerkonten und Gruppen im System. Ermittlung der verfügbaren Funktionen und Berechtigungen in einer Anwendung.
- Schwachstellenanalyse - Scannen und Analysieren identifizierter Schwachstellen in der Anwendung. Sicherheitsbewertung des Betriebssystems, der Datenbank und anderer Komponenten. Wir verwenden Tools wie qualys, nessus, burp suite und andere standardmäßige automatische und manuelle Tools, um Schwachstellen zu identifizieren.
- Exploitation - Versuch, erkannte Schwachstellen auszunutzen, um unbefugten Zugang zu erlangen oder Informationen abzuschöpfen. Simulation von Angriffen auf die Anwendungsumgebung.
- Post-Exploitation - Fortgesetzte Erkundung der Umgebung, nachdem man sich Zugang verschafft hat. Sammeln zusätzlicher Informationen und Versuch der Ausweitung von Privilegien.
- Berichterstattung - Erstellung eines detaillierten Berichts mit den festgestellten Schwachstellen, Empfehlungen für Verbesserungen und Nachweisen für durchgeführte Tests. Übermittlung der Ergebnisse des Berichts an die zuständigen Personen im Unternehmen.
- Bereinigung - Im Falle eines erfolgreichen Ansatzes, Ergreifen von Maßnahmen zur Minimierung möglicher Konsequenzen. Löschen der Testspuren und Wiederherstellung des ursprünglichen Zustands des Systems.
Warum mit BDO arbeiten?
BDO bietet TLPT-Dienstleistungen in Übereinstimmung mit den spezifischen Anforderungen der europäischen Aufsichtsbehörden (z. B. EZB, EBA, ESMA) sowie mit bewährten Methoden wie TIBER-EU, CBEST oder iCAST. Unsere Methodik kombiniert einen Red-Team-Ansatz, Kenntnisse des regulatorischen Rahmens und tiefes technisches Know-how - einschließlich Szenarien, die sektorale Bedrohungen und digitale Angriffe im europäischen Finanzraum widerspiegeln.- Zertifiziertes Red Team mit Expertenerfahrung
- Kenntnisse von DORA, NIS2 und TIBER-EU
- Unabhängigkeit und Glaubwürdigkeit
Autor: Marek Kovalčík