Dennis Weyel zu DORA: „Alle drei Jahre ein Pentest ist viel zu wenig. Monatliche oder sogar wöchentliche Tests wären wesentlich effektiver.“
Mit der Anwendung des Digital Operational Resilience Act (DORA) seit 17. Januar dieses Jahres sind Finanzinstitute in der EU verpflichtet, regelmäßig Threat-Led Penetration Testing (TLPT) durchzuführen. Dabei wird die IT-Infrastruktur einem simulierten Cyberangriff unterzogen, um Schwachstellen zu identifizieren und diese so rasch wie möglich beheben zu können. „Das ist zwar gut, aber der vorgeschriebene dreijährige Prüfungszyklus ist angesichts der Dynamik in der Cyberkriminalität viel zu lang“, bewertet der Sicherheitsexperte Dennis Weyel, International Technical Director bei der Cybersecurityfirma Horizon3.ai. Das Unternehmen ist Betreiber der autonomen Pentesting-Plattform NodeZero, auf der Finanzdienstleister beliebig oft ihre IT-Infrastruktur Pentests unterziehen können, um potenzielle Sicherheitslücken aufzuspüren. Technikchef Dennis Weyel verweist auf Erkenntnisse des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), wonach täglich knapp 70 sog. Vulnerabilities („Verletzlichkeiten“) in Softwareprodukten zu verzeichnen sind, von denen das Amt 15 Prozent als „kritisch“ einstuft.
„Bei über 25.000 neuen potenziellen Einfallstoren für Hacker im Jahr ist es ein Unding für einen Finanzdienstleister, nur alle drei Jahre zu überprüfen, ob die IT-Infrastruktur einem Angriff tatsächlich standhält oder in die Knie geht“, erklärt Dennis Weyel. Er rechnet vor: „Angesichts von weit mehr als 11.000 amtlich als kritisch eingestuften Sicherheitslücken in dieser Zeitspanne würde es geradezu an ein Wunder grenzen, wenn es Cyberkriminellen in den drei Jahren nicht gelänge, in eine Bank oder Sparkasse oder Assekuranz einzubrechen.“
„Nadel im Heuhaufen finden“
Die größte Herausforderung besteht nach Einschätzung des Sicherheitsexperten darin, aus der ungeheuren Menge an möglichen IT-Schwachstellen diejenigen herauszufiltern, die tatsächlich in einem Unternehmen ausgenutzt werden können, und diese für eine schnelle Behebung zu priorisieren. „Die Liste möglicher Einfallstore ist lang, von veralteten Programmen an irgendeiner Stelle über schwache und mehrfach verwendete Passworte oder übermäßig weitreichende Zugriffsrechte für einzelne Sachbearbeitungsstellen bis hin zu Bedrohungen aus der Softwarelieferkette“, verdeutlicht Dennis Weyel die Dimension der Aufgabe. Er erläutert: „In dieser in der Regel heterogenen und unübersichtlichen IT-Landschaft eine Sicherheitslücke aufzuspüren ist wie die berühmte Nadel im Heuhaufen zu finden. Hacker schaffen das aber, und deshalb müssen die Finanzdienstleister dieselben Methoden wie die Cyberkriminellen anwenden, um ihnen zuvorzukommen. Und genau das sind Penetrationstest: Die Suche nach Nadeln im eigenen IT-Heuhaufen, bevor Angreifer sie finden.“
Umfangreiche Compliance-Anforderungen
Dabei geht es nicht nur um den technischen Schutz, sondern ebenso sehr auch um die Compliance, betont Cybersecurity-Experte Dennis Weyel. Er verweist auf die umfangreichen Verpflichtungen für Finanzdienstleister durch den Digital Operational Resilience Act: IKT-Risikomanagement, digitale Operationale Resilienz-Tests, zu denen TLPT gehört, IKT-Vorfallmeldung, Planung zur Geschäftsfortführung und Notfallmanagement, Management von IKT-Drittparteienrisiken sowie der Informationsaustausch untereinander, um kollektiv die Resilienz zu verbessern.
In Bezug auf alle diese Pflichten unterliegen die Finanzdienstleister einer verstärkten Aufsichtdurch nationale und europäische Behörden einschließlich Inspektionen und Audits. „Kommt es zu einem ernsthaften Sicherheitsvorfall, wird die Frage, wie detailliert die Vorgaben beim jeweiligen Institut tatsächlich umgesetzt worden sind, in den Vordergrund rücken“, ist sich Dennis Weyel sicher.
Er stellt klar: „Ein bestandener Selbstangriff auf die eigene IT-Infrastruktur, und genau das ist ein Penetrationstest, stellt den besten Beweis für die Resilienz dar. Allein aus dieser Compliance-Ãœberlegung heraus ist ein Penetrationstest im Monats- wenn nicht im Wochenrhythmus zu empfehlen.“
CTEM und ASM spielen Schlüsselrolle
Die Erweiterung des mit DORA vorgeschriebenen Threat-Led Penetration Testing (TLPT) auf ein Continuous Threat Exposure Management (CTEM) (https://horizon3.ai/downloads/whitepapers/shifting-the-focus-to-exploitability-in-ctem-and-asm/) ist nach Ansicht des Experten dringend geraten. Dabei wird das Risiko nicht nur kontinuierlich überwacht, sondern auch sowohl auf der IT-Ebene als auch auf Managementlevel sichtbar gemacht.
Eine Schlüsselrolle spielt dabei das Attack Surface Management (ASM), also die Ãœberwachung desjenigen Teils der IT-Infrastruktur, der mit dem Internet verbunden und darüber von außen angreifbar ist. „Im Zeitalter von Online-Banking und Smartphone-Apps ist permanentes ASM für Finanzdienstleister ein Must-have“, erklärt Dennis Weyel. Durch die Einbeziehung der autonomen Pentesting-Plattform NodeZero in ihre CTEM- und ASM-Strategien könnten die Institute ihre Sicherungsbemühungen gezielt auf die tatsächlichen Schwachstellen ausrichten, die sich während der Tests als ausnutzbar erwiesen haben.
„Gezielte Reparatur an den kritischen Stellen statt Nadel im Heuhaufen suchen“, vereinfacht der Technikchef von Horizon3.ai das Vorgehen. Dadurch lässt sich die sogenannte Mean Time to Remediation (MTTR), also die Zeit zwischen der Entdeckung einer Schwachstelle und deren Behebung, deutlich verkürzen. Diese Zeitspanne, in der die IT-Infrastruktur besonders verletzlich ist, beträgt in der Praxis typischerweise ein bis drei Monate, weil es am Personal fehlt, um „alle Fehler auf einmal“ zu beheben. Bei einer NodeZero-Prüfung werden die Schwachstellen indes nach ihrem Risiko für das jeweilige Unternehmen priorisiert, so dass das IT-Team die größten Einfallstore für Hacker so schnell wie möglich schließen und sich erst anschließend um die „kleinen Tore“ kümmern kann.
„DORA ist ein wichtiger Schritt in die richtige Richtung“, sagt Dennis Weyel, „aber nur mit deutlich verkürzten Pentesting-Intervallen kann eine dem Maß an krimineller Energie in der Hackerszene angemessen Cybersicherheit in der Finanzbranche hergestellt werden. Und nur durch eine autonome Pentesting-Plattform wie NodeZero ist diese erhöhte Frequenz zu tragbaren Kosten und mit überschaubarem Personalaufwand zu leisten.“
Weitere Informationen zu DORA und den Anforderungen an den Nachweis der Resilienz finden Sie in unserem ausführlichen Whitepaper hier (https://horizon3.ai/downloads/whitepapers/dora/).
Laden Sie hier (https://horizon3.ai/downloads/research/horizon3-ai-named-in-2025-gartner-market-guide-for-adversarial-exposure-validation/) Ihr kostenloses Exemplar des Gartner® Market Guide for Adversarial Exposure Validation 2025 herunter.
Ãœber Horizon3.ai und NodeZero: Horizon3.ai bietet unter der Bezeichnung NodeZero eine Cloud-basierte Plattform an, mit der Unternehmen und Behörden einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen (sog. Penetration Tests oder Pentests). Die Kosten sind aufgrund des Cloud-Konzepts niedrig, so dass regelmäßiges Pentesting auch für mittelständische Firmen erschwinglich ist. Horizon3.ai analysiert die Cybercrime-Szene permanent, um neu aufkommende Schwachstellen über die Cloud sofort berücksichtigen zu können. NodeZero deckt die Sicherheitslücken nicht nur auf, sondern gibt zugleich konkrete Hinweise zur Behebung. Mit der Plattform hilft Horizon3.ai Unternehmen und Behörden bei „Governance, Risk & Compliance“ (GRC) den steigenden regulatorischen Anforderungen an Cyberresilienz nachzukommen, die nahelegen, mindestens einmal wöchentlich inhouse einen Selbstangriff durchzuführen.
Warenzeichenhinweis: NodeZero und alle Varianten davon sind Trademarks von Horizon3.ai
Pressekontakt:
Weitere Informationen: Horizon3.AI Europe GmbH, Prielmayerstrasse 3,
80335 München, Web: www.horizon3.ai
PR-Agentur: euromarcom public relations GmbH, www.euromarcom.de,
team@euromarcom.de
Original-Content von: Horizon3.AI Europe GmbH, übermittelt durch news aktuell
Experte: Finanzdienstleister haben Nachholbedarf bei TLPT hinzugefügt von ots am
Alle Beiträge von ots →
