DORA und TLPT: Digitale Resilienz durch simulierte Cyberangriffe

Der europäische Digital Operational Resilience Act (DORA) zielt darauf ab, dass Unternehmen der Finanzwirtschaft ein hohes Maß an digitaler Betriebsstabilität erreichen. Die Widerstandsfähigkeit – Resilienz – soll helfen, Risiken aus der zunehmenden Abhängigkeit von Informations- und Kommunikationstechnologien (IKT) effektiv zu managen und zu mindern. Um resilient zu sein, empfiehlt DORA unter anderem, systemische technologische Risiken über TLPT (Threat-led Penetration Testing) zu bewerten. 

Nach der Definition von DORA ist TLPT „ein Rahmen, der Taktik, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung empfunden werden, nachbildet und einen kontrollierten, maßgeschneiderten, erkenntnisgestützten (Red-Team-)Test der kritischen Live-Produktionssysteme des Finanzunternehmens ermöglicht“. Auch wenn DORA schon vor einiger Zeit veröffentlicht worden ist, befinden sich die speziellen Regeln für TLPT aktuell noch in der Bearbeitung durch die EU-Kommission beziehungsweise die BaFin. 

Einladung an spezielle Angreifer

Laut DORA muss TLPT auf Live-Produktionssystemen durchgeführt werden und kritische Funktionen abdecken. Dazu gehören Systeme, Prozesse und Technologien, deren Unterbrechung die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Kontinuität seiner Dienstleistungen und Tätigkeiten wesentlich beeinträchtigen würde. Dahingehend müssen betroffene Firmen alle relevanten internen und ausgelagerten IKT-Systeme ermitteln und bewerten, welche Funktionen zu testen sind. Letztere definieren den TLPT-Geltungsbereich und werden von den zuständigen Behörden validiert. Konkret: Die BaFin ist zuständige Aufsichtsbehörde und für die aufsichtlichen Aufgaben zum Thema TLPT verantwortlich, die operative Begleitung der TLPT obliegt der Deutschen Bundesbank.

Akteure, die am TLPT beteiligt sind

Aktuelle technischen Regulierungsstandard (RTS) spezifizieren Akteure, die mit bedrohungsgesteuerten Penetrationstests gemäß Artikel 26 Absatz 11 der DORA in Verbindung stehen:

• TLPT Cyber Team (TCT): Dies ist das Personal innerhalb der TLPT-Behörde, das den TLPT-Betrieb überwacht.
• Kontrollteam: Verwaltet das TLPT von Seiten des Finanzunternehmens und kümmert sich um die Beschaffung, die Risikobewertung und das Betriebsmanagement unter Wahrung der Vertraulichkeit der Tests.
• Blue Team: Das Verteidigungsteam des Instituts, welches das Finanzunternehmen gegen simulierte oder reale Cyberbedrohungen verteidigt (obwohl es sich des TLPT nicht bewusst ist).
• Threat Intelligence Provider: Eine externe Entität, die das Sammeln von Informationen durch Hacker anhand zuverlässiger Quellen simuliert.
• Tester: Tritt entweder als interner oder als externer Dienstleister an und fungiert als angreifendes Red Team.

Welche TLPT-Tester gebraucht werden

Gemäß Artikel 27 der DORA müssen Finanzunternehmen Tester beauftragen, die:

• Seriös und geeignet sind;
• Über Expertise in den Bereichen Threat Intelligence und Penetrationstests verfügen;
• Von einer Akkreditierungsstelle zertifiziert sind und sich an ethische Rahmenwerke halten;
• Das Risikomanagement unabhängig prüfen und den Schutz vertraulicher Informationen sicherstellen sowie
• Eine Berufshaftpflichtversicherung für Fehlverhalten und Fahrlässigkeit abgeschlossen haben.

Im Falle von internen Testern müssen die Unternehmen (zusätzlich zu den oben genannten Kriterien) folgende Punkte sicherstellen:

• Genehmigung durch die zuständige Behörde ist vorhanden;
• Ausreichende Ressourcen und Vermeidung von Interessenkonflikten wurden überprüft;
• Der Threat Intelligence Provider ist extern.

Zudem müssen Finanzunternehmen gemäß Artikel 27 der DORA sicherstellen, dass Verträge mit externen Testern eine ordnungsgemäße Verwaltung der TLPT-Ergebnisse sowie eine sichere Datenverarbeitung zur Risikominderung gewährleisten. Das voraussichtliche Geltungsdatum der TLPT-bezogenen technischen Standards und der DORA ist der 17. Januar 2025. Bis dahin müssen Finanzunternehmen Tester und Plattformen auswählen und mit der Resilienz-Analyse ihrer IKT-Systeme beginnen.

Die Integration von TLPT

Das Werkzeug TLPT ergänzt die bestehenden Methoden, um die Resilienz im Finanzsektor zu stärken. Denn der Ansatz fügt herkömmlichen und automatisierten Methoden wie Schwachstellen-Scans, Netzwerksicherheitsbewertungen, Scan-Softwarelösungen, Quellcode-Überprüfungen, Leistungstests oder End-to-End-Tests eine weitere Sicherheitsebene hinzu. Indem reale Cyberbedrohungen und Angriffstechniken verwendet werden, bietet TLPT eine präzisere Bewertung der Abwehr eines Unternehmens gegen smarte Angreifer. Diese Art der Vorsorge ist in der modernen Welt, in der verfügbare Technologien und geopolitische Spannungen neue Risiken für alle Arten von Institutionen darstellen, von entscheidender Bedeutung. 

Regelmäßige Angriffstests

Zugegeben, TLPT ist eine Compliance-Anforderung, die mindestens alle drei Jahre durchgeführt werden muss. Allerdings bietet sie einen ganzheitlichen Überblick über die Sicherheitslage, speziell über kritische Funktionen und Live-Produktionssysteme. In diesem Zusammenhang stellt TLPT eine differenzierte Form anderer Testmethoden dar, wie beispielsweise Bug-Bounty- oder Vulnerability-Disclosure-Programme. Beide Ansätze weisen komplementäre Merkmale zu TLPT auf, aber sie unterscheiden sich auch in wesentlichen Punkten etwa von einem Penetration-Test. Zusammen können die drei Verfahren jedoch dabei helfen, auch kleine Lücken in Systemen, Prozessen und Technologien aufzudecken, die kritische Funktionen von Finanzinstituten gefährden.

„Angriff ist die beste Verteidigung“: Hier finden Sie weitere Informationen zum Thema Ethical Hacking für eine bessere Cybersecurity.

Wenn Sie Fragen haben, können Sie uns gerne über unsere Autorenprofile kontaktieren!