Seit dem 17. Januar 2025 ist DORA (Digital Operational Resilience Act) in Kraft. DORA verpflichtet Finanzinstitute in der EU verpflichtet, regelmäßig Threat-Led Penetration Testing (TLPT) durchzuführen. Experte Dennis Weyel von Horizon3.ai hat mir seine Einschätzung dazu zukommen lassen und meint: "Alle drei Jahre ein Pentest durchzuführen, ist viel zu wenig. Monatliche oder sogar wöchentliche Tests wären wesentlich effektiver." Hier seine Aussagen zum Thema.
Anzeige
Beim Threat-Led Penetration Testing (TLPT) wird die IT-Infrastruktur einem simulierten Cyberangriff unterzogen, um Schwachstellen zu identifizieren, um diese so rasch wie möglich zu können. "Das ist zwar gut, aber der vorgeschriebene dreijährige Prüfungszyklus ist angesichts der Dynamik in der Cyberkriminalität viel zu lang", bewertet der Sicherheitsexperte Dennis Weyel, International Technical Director bei der Cybersecurity-Firma Horizon3.ai die Situation.
Dazu sollte man wissen, dass das Unternehmen Betreiber der autonomen Pentesting-Plattform NodeZero ist. Auf der Plattform können Finanzdienstleister beliebig oft ihre IT-Infrastruktur Pentests unterziehen, um potenzielle Sicherheitslücken aufzuspüren.
Technikchef Dennis Weyel verweist auf Erkenntnisse des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), wonach täglich knapp 70 sog. Vulnerabilities („Verletzlichkeiten") in Softwareprodukten zu verzeichnen sind. Von diesen werden 15 Prozent vom BSI als "kritisch" eingestuft.
"Bei über 25.000 neuen potenziellen Einfallstoren für Hacker im Jahr ist es ein Unding für einen Finanzdienstleister, nur alle drei Jahre zu überprüfen, ob die IT-Infrastruktur einem Angriff tatsächlich standhält oder in die Knie geht", erklärt Dennis Weyel. Er rechnet vor: "Angesichts von weit mehr als 11.000 amtlich als kritisch eingestuften Sicherheitslücken in dieser Zeitspanne würde es geradezu an ein Wunder grenzen, wenn es Cyberkriminellen in den drei Jahren nicht gelänge, in eine Bank oder Sparkasse oder Assekuranz einzubrechen."
Anzeige
"Nadel im Heuhaufen finden"
Die größte Herausforderung besteht nach Einschätzung des Sicherheitsexperten darin, aus der ungeheuren Menge an möglichen IT-Schwachstellen diejenigen herauszufiltern, die tatsächlich in einem Unternehmen ausgenutzt werden können, und diese für eine schnelle Behebung zu priorisieren.
"Die Liste möglicher Einfallstore ist lang, von veralteten Programmen an irgendeiner Stelle über schwache und mehrfach verwendete Passworte oder übermäßig weitreichende Zugriffsrechte für einzelne Sachbearbeitungsstellen bis hin zu Bedrohungen aus der Softwarelieferkette", verdeutlicht Dennis Weyel die Dimension der Aufgabe. Er erläutert: „In dieser in der Regel heterogenen und unübersichtlichen IT-Landschaft eine Sicherheitslücke aufzuspüren ist wie die berühmte Nadel im Heuhaufen zu finden. Hacker schaffen das aber, und deshalb müssen die Finanzdienstleister dieselben Methoden wie die Cyberkriminellen anwenden, um ihnen zuvorzukommen. Und genau das sind Penetrationstests: Die Suche nach Nadeln im eigenen IT-Heuhaufen, bevor Angreifer sie finden."
Umfangreiche Compliance-Anforderungen
Dabei geht es nicht nur um den technischen Schutz, sondern ebenso sehr auch um die Compliance, betont Cybersecurity-Experte Dennis Weyel. Er verweist auf die umfangreichen Verpflichtungen für Finanzdienstleister durch den Digital Operational Resilience Act: IKT-Risikomanagement, digitale Operationale Resilienz-Tests, zu denen TLPT gehört, IKT-Vorfallmeldung, Planung zur Geschäftsfortführung und Notfallmanagement, Management von IKT-Drittparteienrisiken sowie der Informationsaustausch untereinander, um kollektiv die Resilienz zu verbessern.
In Bezug auf alle diese Pflichten unterliegen die Finanzdienstleister einer verstärkten Aufsicht durch nationale und europäische Behörden einschließlich Inspektionen und Audits. "Kommt es zu einem ernsthaften Sicherheitsvorfall, wird die Frage, wie detailliert die Vorgaben beim jeweiligen Institut tatsächlich umgesetzt worden sind, in den Vordergrund rücken", ist sich Dennis Weyel sicher.
Er stellt klar: "Ein bestandener Selbstangriff auf die eigene IT-Infrastruktur, und genau das ist ein Penetrationstest, stellt den besten Beweis für die Resilienz dar. Allein aus dieser Compliance-Überlegung heraus ist ein Penetrationstest im Monats- wenn nicht im Wochenrhythmus zu empfehlen."
CTEM und ASM spielen Schlüsselrolle
Die Erweiterung des mit DORA vorgeschriebenen Threat-Led Penetration Testing (TLPT) auf ein Continuous Threat Exposure Management (CTEM) ist nach Ansicht des Experten dringend geraten. Dabei wird das Risiko nicht nur kontinuierlich überwacht, sondern auch sowohl auf der IT-Ebene als auch auf Managementlevel sichtbar gemacht.
Eine Schlüsselrolle spielt dabei das Attack Surface Management (ASM), also die Überwachung desjenigen Teils der IT-Infrastruktur, der mit dem Internet verbunden und darüber von außen angreifbar ist. "Im Zeitalter von Online-Banking und Smartphone-Apps ist permanentes ASM für Finanzdienstleister ein Must-have", erklärt Dennis Weyel. Durch die Einbeziehung der autonomen Pentesting-Plattform NodeZero in ihre CTEM- und ASM-Strategien könnten die Institute ihre Sicherungsbemühungen gezielt auf die tatsächlichen Schwachstellen ausrichten, die sich während der Tests als ausnutzbar erwiesen haben.
"Gezielte Reparatur an den kritischen Stellen statt Nadel im Heuhaufen suchen", vereinfacht der Technikchef von Horizon3.ai das Vorgehen. Dadurch lässt sich die sogenannte Mean Time to Remediation (MTTR), also die Zeit zwischen der Entdeckung einer Schwachstelle und deren Behebung, deutlich verkürzen. Diese Zeitspanne, in der die IT-Infrastruktur besonders verletzlich ist, beträgt in der Praxis typischerweise ein bis drei Monate, weil es am Personal fehlt, um „alle Fehler auf einmal" zu beheben.
Bei einer NodeZero-Prüfung werden die Schwachstellen indes nach ihrem Risiko für das jeweilige Unternehmen priorisiert, so dass das IT-Team die größten Einfallstore für Hacker so schnell wie möglich schließen und sich erst anschließend um die „kleinen Tore" kümmern kann.
"DORA ist ein wichtiger Schritt in die richtige Richtung", sagt Dennis Weyel, „aber nur mit deutlich verkürzten Pentesting-Intervallen kann eine dem Maß an krimineller Energie in der Hackerszene angemessen Cybersicherheit in der Finanzbranche hergestellt werden. Und nur durch eine autonome Pentesting-Plattform wie NodeZero ist diese erhöhte Frequenz zu tragbaren Kosten und mit überschaubarem Personalaufwand zu leisten."
Weitere Informationen zu DORA und den Anforderungen an den Nachweis der Resilienz finden sich in einem Whitepaper hier. Ein kostenloses Exemplar des Gartner® Market Guide for Adversarial Exposure Validation 2025 ist vom Anbieter ebenfalls verfügbar.
Über Horizon3.ai und NodeZero
Horizon3.ai bietet unter der Bezeichnung NodeZero (NodeZero und alle Varianten davon sind Trademarks von Horizon3.ai) eine Cloud-basierte Plattform an, mit der Unternehmen und Behörden einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen (sog. Penetration Tests oder Pentests). Die Kosten sind aufgrund des Cloud-Konzepts niedrig, so dass regelmäßiges Pentesting auch für mittelständische Firmen erschwinglich ist.
Anzeige
Natürlich will der "Experte" das Test in kürzeren Intervallen durchgeführt werden sollten. Nur alle 3 Jahre ist schlecht für seine Firma.
Auch wenn der Ansatz grundsätzlich nicht falsch ist, die Intention ist hier aber nicht mehr Sicherheit, sondern mehr €.
Der TüV hätte auch gerne das Autos jedes Jahr zum Untersuchung müssen
Fahrlehrer sind sicher auch der Meinung das man alle X Jahre nochmal eine Prüfung ablegen muss
Gruß
früher hat man uns gelehrt, dass man Qualität nicht hinein testen könne, sondern hineinbauen muss.
und auch: je später ein Fehler gefunden wird, umso teuerer wird es.
wie sich die Zeiten ändern ..
..
Ich kann mir auch beim besten Willen nicht vorstellen, dass die Banken nur alle 3 Jahre ihre IT Infrastruktur ändern oder erweitern, im Übrigen ist so ein Penetrationstest eine Art TÜV Versicherung, das alles richtig läuft.
Vielleicht sollten auch die Versicherer, die Banken Versichern Penetrationstests auch zur Pflicht werden lassen, solange Banken außer ihren guten Ruf nichts verlieren haben, weil die Versicherung ja zahlt, so lange werden Banken eben nur die Vorgeschriebenen 3 Jahre einhalten.
Das hat leider die Folge, dass Versicherungen laufend Teurer werden.
Zur Folge haben die Pentester auch mehr zu tun, aber dafür wird der ganze Krempel eben auch sicherer.
>> Ich kann mir auch beim besten Willen nicht vorstellen, dass die Banken nur alle 3 Jahre ihre IT Infrastruktur ändern oder erweitern
Tun sie auch nicht. Und die Leute, die da arbeiten, sind auch nicht alle komplett ignorant. Deshalb ist es auch ganz ohne DORA schon lange üblich, bei Änderungen an der IT-Infrastruktur, die sich nach aussen zeigen oder zeigen könnten, unter anderem eben auch Penetration Tests durchführen zu lassen.
Passiert also in der Realität auch ohne die freundliche Unterstützung von Herrn Weyel zwar wohl nicht gerade wöchentlich und vielleicht auch nicht einmal monatlich, aber doch mehrmals im Jahr.
Ich meine, wenn Industrie und Handel Sicher wäre, könnte sich Jürgen den Blog hier auch ganz sparen und könnte sich ein neues Hobby suchen.
Meine Hausbank, bei der ich nun schon seit fast 20 Jahren bin, hat jetzt innerhalb von einem Vierteljahr 3 Secure Apps zum Home Banking Ausgegeben von Der Mittlerweile keine Mehr So Richtig Funktioniert oder sich im andauernden Störmodus befindet.
Ich tätige also meine Überweisungen und warte dann einfach ab, welche der Drei Apps sich auf meinem Telefon meldet, um die Überweisung abzuschließen. Habe gleich mal eine Anfrage gestartet, wann ich eine oder am besten zwei der drei Apps auch wieder Löschen kann, ohne dass ich über eine Veraltete App am Ende noch ein Einfallstor bekomme. Da wurde mir mitgeteilt ich solle, falls ich weiterhin Home Banking betreiben möchte, erst mal alle Apps behalten.
Ich sehe schon ohne App geht nichts mehr.
Sicherheits-Theater
Erinnert ein bisschen an "die Bauern fordern einen höheren Milchpreis"
So kann man nur kommentieren, wenn man keinen blassen Funken davon hat, um was es hier geht.
Du meinst um ein Produkt eines Dienstleisters, das Probleme und Versäumnisse von anderen Produkten magisch beheben soll?
Wie soll das technisch funktionieren? Firma hat alten vergammelten Code unter vielen Schichten neuer Interfaces versteckt. Die Firmen und Entwickler sind schon lange nicht mehr greifbar.
Und nun soll eine Software auf der "obersten" Schicht "Unsicherheit" erkennen? Und der Anbieter fordert, dass hier einfach viel hilft viel.
Am besten öfter, noch öfter, noch mehr, und noch mehr.
Wogegen ist gar nicht so bekannt.
Der Anbieter des Produktes hat auch kein Interesse, dass am UrZustand etwas besser wird, das wäre ja Geschäfts-Bedrohend.
Nichtmal Erfolg ist relevant. Denn bis es zu einem Sicherheitsvorfall kommt, kann man viel Geld verdienen. Danach.. kann man dem Kunden ja noch mehr verkaufen, oder eben einem anderen.
Warum also sollte so ein Konzept, zu irgendeiner nachhaltigen Verbesserung führen?
Die meisten dieser Richtlinien, und Produkte die damit zu tun haben, dienen nicht dazu etwas sicherer zu machen. Sondern nur um zu sagen "man hat alles gemacht, man ist nicht Schuld, man konnte nichts dafür, niemand hätte es verhindern können"
Software wird immer mehr zu einem "Blob" wie aus einem Horrorfilm.