Seit dem 17. Januar 2025 ist DORA (Digital Operational Resilience Act) in Kraft. DORA verpflichtet Finanzinstitute in der EU verpflichtet, regelmäßig Threat-Led Penetration Testing (TLPT) durchzuführen. Experte Dennis Weyel von Horizon3.ai hat mir seine Einschätzung dazu zukommen lassen und meint: "Alle drei Jahre ein Pentest durchzuführen, ist viel zu wenig. Monatliche oder sogar wöchentliche Tests wären wesentlich effektiver." Hier seine Aussagen zum Thema.
Beim Threat-Led Penetration Testing (TLPT) wird die IT-Infrastruktur einem simulierten Cyberangriff unterzogen, um Schwachstellen zu identifizieren, um diese so rasch wie möglich zu können. "Das ist zwar gut, aber der vorgeschriebene dreijährige Prüfungszyklus ist angesichts der Dynamik in der Cyberkriminalität viel zu lang", bewertet der Sicherheitsexperte Dennis Weyel, International Technical Director bei der Cybersecurity-Firma Horizon3.ai die Situation.
Dazu sollte man wissen, dass das Unternehmen Betreiber der autonomen Pentesting-Plattform NodeZero ist. Auf der Plattform können Finanzdienstleister beliebig oft ihre IT-Infrastruktur Pentests unterziehen, um potenzielle Sicherheitslücken aufzuspüren.
Technikchef Dennis Weyel verweist auf Erkenntnisse des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), wonach täglich knapp 70 sog. Vulnerabilities („Verletzlichkeiten") in Softwareprodukten zu verzeichnen sind. Von diesen werden 15 Prozent vom BSI als "kritisch" eingestuft.
"Bei über 25.000 neuen potenziellen Einfallstoren für Hacker im Jahr ist es ein Unding für einen Finanzdienstleister, nur alle drei Jahre zu überprüfen, ob die IT-Infrastruktur einem Angriff tatsächlich standhält oder in die Knie geht", erklärt Dennis Weyel. Er rechnet vor: "Angesichts von weit mehr als 11.000 amtlich als kritisch eingestuften Sicherheitslücken in dieser Zeitspanne würde es geradezu an ein Wunder grenzen, wenn es Cyberkriminellen in den drei Jahren nicht gelänge, in eine Bank oder Sparkasse oder Assekuranz einzubrechen."
"Nadel im Heuhaufen finden"
Die größte Herausforderung besteht nach Einschätzung des Sicherheitsexperten darin, aus der ungeheuren Menge an möglichen IT-Schwachstellen diejenigen herauszufiltern, die tatsächlich in einem Unternehmen ausgenutzt werden können, und diese für eine schnelle Behebung zu priorisieren.
"Die Liste möglicher Einfallstore ist lang, von veralteten Programmen an irgendeiner Stelle über schwache und mehrfach verwendete Passworte oder übermäßig weitreichende Zugriffsrechte für einzelne Sachbearbeitungsstellen bis hin zu Bedrohungen aus der Softwarelieferkette", verdeutlicht Dennis Weyel die Dimension der Aufgabe. Er erläutert: „In dieser in der Regel heterogenen und unübersichtlichen IT-Landschaft eine Sicherheitslücke aufzuspüren ist wie die berühmte Nadel im Heuhaufen zu finden. Hacker schaffen das aber, und deshalb müssen die Finanzdienstleister dieselben Methoden wie die Cyberkriminellen anwenden, um ihnen zuvorzukommen. Und genau das sind Penetrationstests: Die Suche nach Nadeln im eigenen IT-Heuhaufen, bevor Angreifer sie finden."
Umfangreiche Compliance-Anforderungen
Dabei geht es nicht nur um den technischen Schutz, sondern ebenso sehr auch um die Compliance, betont Cybersecurity-Experte Dennis Weyel. Er verweist auf die umfangreichen Verpflichtungen für Finanzdienstleister durch den Digital Operational Resilience Act: IKT-Risikomanagement, digitale Operationale Resilienz-Tests, zu denen TLPT gehört, IKT-Vorfallmeldung, Planung zur Geschäftsfortführung und Notfallmanagement, Management von IKT-Drittparteienrisiken sowie der Informationsaustausch untereinander, um kollektiv die Resilienz zu verbessern.
In Bezug auf alle diese Pflichten unterliegen die Finanzdienstleister einer verstärkten Aufsicht durch nationale und europäische Behörden einschließlich Inspektionen und Audits. "Kommt es zu einem ernsthaften Sicherheitsvorfall, wird die Frage, wie detailliert die Vorgaben beim jeweiligen Institut tatsächlich umgesetzt worden sind, in den Vordergrund rücken", ist sich Dennis Weyel sicher.
Er stellt klar: "Ein bestandener Selbstangriff auf die eigene IT-Infrastruktur, und genau das ist ein Penetrationstest, stellt den besten Beweis für die Resilienz dar. Allein aus dieser Compliance-Überlegung heraus ist ein Penetrationstest im Monats- wenn nicht im Wochenrhythmus zu empfehlen."
CTEM und ASM spielen Schlüsselrolle
Die Erweiterung des mit DORA vorgeschriebenen Threat-Led Penetration Testing (TLPT) auf ein Continuous Threat Exposure Management (CTEM) ist nach Ansicht des Experten dringend geraten. Dabei wird das Risiko nicht nur kontinuierlich überwacht, sondern auch sowohl auf der IT-Ebene als auch auf Managementlevel sichtbar gemacht.
Eine Schlüsselrolle spielt dabei das Attack Surface Management (ASM), also die Überwachung desjenigen Teils der IT-Infrastruktur, der mit dem Internet verbunden und darüber von außen angreifbar ist. "Im Zeitalter von Online-Banking und Smartphone-Apps ist permanentes ASM für Finanzdienstleister ein Must-have", erklärt Dennis Weyel. Durch die Einbeziehung der autonomen Pentesting-Plattform NodeZero in ihre CTEM- und ASM-Strategien könnten die Institute ihre Sicherungsbemühungen gezielt auf die tatsächlichen Schwachstellen ausrichten, die sich während der Tests als ausnutzbar erwiesen haben.
"Gezielte Reparatur an den kritischen Stellen statt Nadel im Heuhaufen suchen", vereinfacht der Technikchef von Horizon3.ai das Vorgehen. Dadurch lässt sich die sogenannte Mean Time to Remediation (MTTR), also die Zeit zwischen der Entdeckung einer Schwachstelle und deren Behebung, deutlich verkürzen. Diese Zeitspanne, in der die IT-Infrastruktur besonders verletzlich ist, beträgt in der Praxis typischerweise ein bis drei Monate, weil es am Personal fehlt, um „alle Fehler auf einmal" zu beheben.
Bei einer NodeZero-Prüfung werden die Schwachstellen indes nach ihrem Risiko für das jeweilige Unternehmen priorisiert, so dass das IT-Team die größten Einfallstore für Hacker so schnell wie möglich schließen und sich erst anschließend um die „kleinen Tore" kümmern kann.
"DORA ist ein wichtiger Schritt in die richtige Richtung", sagt Dennis Weyel, „aber nur mit deutlich verkürzten Pentesting-Intervallen kann eine dem Maß an krimineller Energie in der Hackerszene angemessen Cybersicherheit in der Finanzbranche hergestellt werden. Und nur durch eine autonome Pentesting-Plattform wie NodeZero ist diese erhöhte Frequenz zu tragbaren Kosten und mit überschaubarem Personalaufwand zu leisten."
Weitere Informationen zu DORA und den Anforderungen an den Nachweis der Resilienz finden sich in einem Whitepaper hier. Ein kostenloses Exemplar des Gartner® Market Guide for Adversarial Exposure Validation 2025 ist vom Anbieter ebenfalls verfügbar.
Über Horizon3.ai und NodeZero
Horizon3.ai bietet unter der Bezeichnung NodeZero (NodeZero und alle Varianten davon sind Trademarks von Horizon3.ai) eine Cloud-basierte Plattform an, mit der Unternehmen und Behörden einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen (sog. Penetration Tests oder Pentests). Die Kosten sind aufgrund des Cloud-Konzepts niedrig, so dass regelmäßiges Pentesting auch für mittelständische Firmen erschwinglich ist.
MVP: 2013 – 2016
Natürlich will der "Experte" das Test in kürzeren Intervallen durchgeführt werden sollten. Nur alle 3 Jahre ist schlecht für seine Firma.
Auch wenn der Ansatz grundsätzlich nicht falsch ist, die Intention ist hier aber nicht mehr Sicherheit, sondern mehr €.
Der TüV hätte auch gerne das Autos jedes Jahr zum Untersuchung müssen
Fahrlehrer sind sicher auch der Meinung das man alle X Jahre nochmal eine Prüfung ablegen muss
Gruß
früher hat man uns gelehrt, dass man Qualität nicht hinein testen könne, sondern hineinbauen muss.
und auch: je später ein Fehler gefunden wird, umso teuerer wird es.
wie sich die Zeiten ändern ..
..
Ich kann mir auch beim besten Willen nicht vorstellen, dass die Banken nur alle 3 Jahre ihre IT Infrastruktur ändern oder erweitern, im Übrigen ist so ein Penetrationstest eine Art TÜV Versicherung, das alles richtig läuft.
Vielleicht sollten auch die Versicherer, die Banken Versichern Penetrationstests auch zur Pflicht werden lassen, solange Banken außer ihren guten Ruf nichts verlieren haben, weil die Versicherung ja zahlt, so lange werden Banken eben nur die Vorgeschriebenen 3 Jahre einhalten.
Das hat leider die Folge, dass Versicherungen laufend Teurer werden.
Zur Folge haben die Pentester auch mehr zu tun, aber dafür wird der ganze Krempel eben auch sicherer.
>> Ich kann mir auch beim besten Willen nicht vorstellen, dass die Banken nur alle 3 Jahre ihre IT Infrastruktur ändern oder erweitern
Tun sie auch nicht. Und die Leute, die da arbeiten, sind auch nicht alle komplett ignorant. Deshalb ist es auch ganz ohne DORA schon lange üblich, bei Änderungen an der IT-Infrastruktur, die sich nach aussen zeigen oder zeigen könnten, unter anderem eben auch Penetration Tests durchführen zu lassen.
Passiert also in der Realität auch ohne die freundliche Unterstützung von Herrn Weyel zwar wohl nicht gerade wöchentlich und vielleicht auch nicht einmal monatlich, aber doch mehrmals im Jahr.
Ich meine, wenn Industrie und Handel Sicher wäre, könnte sich Jürgen den Blog hier auch ganz sparen und könnte sich ein neues Hobby suchen.
Meine Hausbank, bei der ich nun schon seit fast 20 Jahren bin, hat jetzt innerhalb von einem Vierteljahr 3 Secure Apps zum Home Banking Ausgegeben von Der Mittlerweile keine Mehr So Richtig Funktioniert oder sich im andauernden Störmodus befindet.
Ich tätige also meine Überweisungen und warte dann einfach ab, welche der Drei Apps sich auf meinem Telefon meldet, um die Überweisung abzuschließen. Habe gleich mal eine Anfrage gestartet, wann ich eine oder am besten zwei der drei Apps auch wieder Löschen kann, ohne dass ich über eine Veraltete App am Ende noch ein Einfallstor bekomme. Da wurde mir mitgeteilt ich solle, falls ich weiterhin Home Banking betreiben möchte, erst mal alle Apps behalten.
Ich sehe schon ohne App geht nichts mehr.
Wie sieht das eigentlich in der Praxis aus? Gibt es da dedizierte Leute (eigene Mitarbeiter) die (nur) pentesting machen, zusätzlich zu evtl. beauftragten Dienstleistern. Ich weiß auch nicht was die Dientleister machen, ob die nur irgendwelche Routinen gegen die Inrastruktur schießen oder wirklich versuchen "rein zu kommen".
Selbst einige der größten Software/Hardwarhersteller der Welt bekommen es nicht mal auf die Reihe ihre Produkte vorher auf Funktion zu testen. Würde mir da schon wundern, wenn da der Banking-Sektor auf einem halbwegs akzeptablen Level aggiert.
Sicherheits-Theater
Erinnert ein bisschen an "die Bauern fordern einen höheren Milchpreis"
So kann man nur kommentieren, wenn man keinen blassen Funken davon hat, um was es hier geht.
Du meinst um ein Produkt eines Dienstleisters, das Probleme und Versäumnisse von anderen Produkten magisch beheben soll?
Wie soll das technisch funktionieren? Firma hat alten vergammelten Code unter vielen Schichten neuer Interfaces versteckt. Die Firmen und Entwickler sind schon lange nicht mehr greifbar.
Und nun soll eine Software auf der "obersten" Schicht "Unsicherheit" erkennen? Und der Anbieter fordert, dass hier einfach viel hilft viel.
Am besten öfter, noch öfter, noch mehr, und noch mehr.
Wogegen ist gar nicht so bekannt.
Der Anbieter des Produktes hat auch kein Interesse, dass am UrZustand etwas besser wird, das wäre ja Geschäfts-Bedrohend.
Nichtmal Erfolg ist relevant. Denn bis es zu einem Sicherheitsvorfall kommt, kann man viel Geld verdienen. Danach.. kann man dem Kunden ja noch mehr verkaufen, oder eben einem anderen.
Warum also sollte so ein Konzept, zu irgendeiner nachhaltigen Verbesserung führen?
Die meisten dieser Richtlinien, und Produkte die damit zu tun haben, dienen nicht dazu etwas sicherer zu machen. Sondern nur um zu sagen "man hat alles gemacht, man ist nicht Schuld, man konnte nichts dafür, niemand hätte es verhindern können"
Software wird immer mehr zu einem "Blob" wie aus einem Horrorfilm.
Was bringt den wöchentlich? Natürlich hat er irgendwie recht, dass man permanent pentesting sollte. Es kann zwischendrin immer mal was falsch eingerichtet sein, neue Schwachstelen kommen hinzu.
Aber das klingt etwas nach "wir machen was und das möglichst oft". Es ist ja auch nicht Sinn der Sache permanent 0815 Pentests gegen relativ statische Infrastruktur zu fahren. Das gibt zwar eine gewisse Basisabsicherung was auch notwendig ist, aber da sollte doch nicht Schluss sein. Gerade bei größere Umstellungen/Änderungen sollte man doch intensiv testen und auch wirklich das konkrete System betrachten. Keine Ahnung wie die PenTests genau aussehen, aber wenn man da irgendwelche vorfertigten Tests loslässt ohne sich mit dem System/Firma/Mitarbeiterverhalten zu beschäftigen.
Das "Wie oft" spielt aus meiner Sicht gar keine Rolle, sondern "was ist sinnvoll". Am Ende geht es auch auch wieder um finanzielle Ressourcen. Das man da dann zu der Einschätzung kommt, dass ein gewisses Intervall für bestimmte Sachen sinnvoll ist. OK. Aber mal 2 Monate "nichts" zu machen und dann mal intensiv was zu testen/versuchen.
Sinn sollte nicht sein zu sagen, dass man "etwas gemacht hat" sondern es möglichst gut macht.
ich hatte früher ein Script laufen, das die Passwörter versuchte zu knacken und schaute, welche Dienste von außen zu erreichen waren.
Wird mit der Zeit immer komplexer. Dabei ist es natürlich sinnvoll, das Script wenigstens täglich laufen zu lassen, ob wohl es Unix war.
Bei all den Rucksäcken die dem Management bei Windows angedreht werden ist es verführerisch, einen externen zu beauftragen, auf den man im Falle des Falles zeigen könnte.
Aber es wird ja nichts mehr passieren, weil der externen so viel besser ist als man selbst