DORA ist eine neue EU-Verordnung (mit dem klangvollen Namen “Verordnung (EU) 2022/2554”), die sich an Finanzunternehmen und ihre IKT-Lieferanten (Informations- und Kommunikationstechnologie) richtet. Das Ziel von DORA ist es, kritische Finanzunternehmen resistenter gegen Angriffe auf ihre IKT-Infrastruktur zu machen.
DORA baut auf früheren Grundlagen (z. B. TIBER-EU) sowie auf etablierten Cybersicherheitsframeworks und bewährten Verfahren auf. Im Gegensatz zum TIBER-EU-Rahmenwerk sind die Anforderungen innerhalb von DORA jedoch verbindlich und müssen in den folgenden Monaten und Jahren von den betroffenen Parteien umgesetzt werden.
Sie gilt ab dem 17. Januar 2025.
Grob zusammengefasst gilt DORA für die folgenden Organisationen (siehe Art. 2 der Verordnung für Einzelheiten):
- Finanzunternehmen wie Banken, Versicherungsgesellschaften und Wertpapierfirmen
- Drittdienstleister, die IKT-bezogene Dienstleistungen für Finanzunternehmen erbringen
Die Verordnung führt auch einige sehr spezifische Ausnahmen auf, für die die Regelungen nicht gelten.
Eine gute Faustregel ist hier: Wenn Sie in einer früheren Richtlinie nicht ausgeschlossen waren, sind Sie es höchstwahrscheinlich auch jetzt nicht. Beispielsweise werden Versicherungsunternehmen ausgenommen, die bereits in Artikel 4 der Richtlinie 2009/138/EG ausgenommen wurden.
DORA verlangt von den Finanzunternehmen, dass sie einen internen Governance- und Kontrollrahmen einrichten, um IKT-Risiken wirksam zu managen. Sie führt einen verbindlichen Rahmen für das IKT-Risikomanagement ein, der in die folgenden Teilprozesse unterteilt ist (ähnlich zu den Fünf Funktionen des NIST Cybersecurity Frameworks):
- Identifizierung
- Schutz und Prävention
- Erkennung
- Reaktion und Wiederherstellung
Sie enthält außerdem Vorschriften für Backup- und Notfallwiederherstellungsrichtlinien und -verfahren sowie Vorschriften zur Einrichtung eines Incident Management Process, zur Durchführung von Digital Operational Resilience Testing und zum Management von Risiken Dritter.
Beachten Sie jedoch, dass Artikel 4, der “Grundsatz der Verhältnismäßigkeit”, allen oben genannten Anforderungen übergeordnet ist, was bedeutet, dass die Umsetzung der oben genannten Vorschriften proportional zur Größe und zum Risikoprofil des Finanzunternehmens sein soll.
DORA erkennt an, dass kleine Finanzunternehmen möglicherweise nicht über die Ressourcen verfügen, um den vollständigen IKT-Risikomanagementrahmen umzusetzen. Daher enthält sie einen vereinfachten IKT-Risikomanagementrahmen für kleine Finanzunternehmen.
In Kapitel IV “Testen der digitalen operationalen Resilienz” werden die Grundlagen für ein umfassendes Programm zur Prüfung der digitalen Ausfallsicherheit festgelegt. Artikel 24 besagt Folgendes (Hervorhebung durch uns):
Finanzunternehmen, die keine Kleinstunternehmen sind, stellen sicher, dass bei allen IKT-Systemen und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, mindestens einmal jährlich angemessene Tests durchgeführt werden.
Diese angemessenen Tests müssen von unabhängigen Parteien durchgeführt werden und sind zum Beispiel Schwachstellenbewertungen und -scans, physische Sicherheitsüberprüfungen, Quellcodeüberprüfungen und Penetrationstests.
Zusätzlich zu diesen regelmäßigen Tests verlangt DORA von den Finanzunternehmen die regelmäßige Durchführung fortgeschrittener Tests, sogenannter threat-led penetration tests (TLPTs).
Bedrohungsorientierte Penetrationstests (TLPTs) sind kein neues Konzept. Im Jahr 2016 veröffentlichte die G7-Cyber-Expertengruppe ihre “Grundlegenden Elemente der Cybersicherheit”, die in den Folgejahren mehrfach erweitert wurden. Eine dieser Erweiterungen war das G7FE-TLPT, das die fundamentalen Elemente von TLPTs spezifizierte. Im selben Jahr veröffentlichte die EZB das TIBER-EU-Rahmenwerk, das detaillierte Anleitungen für die Durchführung von Red Teaming Assessments basierend auf einer vorherigen Bedrohungsanalyse (threat-intelligence oder TI-Phase) enthält.
DORA formalisiert diese früheren Bemühungen und macht sie jetzt zur Pflicht. Um genau zu sein veröffentlichen die Europäischen Aufsichtsbehörden (ESAs) derzeit Entwürfe für zukünftige technische Regulierungsstandards (RTS) für DORA. Der RTS-Entwurf zu TLPTs stellt ausdrücklich fest, dass DORA TLPT derzeit in einigen Punkten vom TIBER-EU-Rahmen abweicht. Es heißt jedoch auch, dass der TIBER-EU-Rahmen aktualisiert werden sollte, um den Anforderungen aus DORA zu entsprechen. Dies bedeutet, dass Sicherheitsbewertungen die gemäß TIBER-EU durchgeführt werden, zukünftig die Anforderungen der DORA TLPTs erfüllen sollen.
Brauchen Sie Hilfe?
Die Navigation durch DORA und andere Rechtsvorschriften kann komplex erscheinen und ist anfangs entmutigend. Unsere Experten verschaffen Ihnen Klarheit und helfen Ihnen auf Ihrem Weg in eine sichere Zukunft.
FAQ
Nein. TLPTs sind keine gewöhnlichen Pentests und definitiv kein einfacher Schwachstellenscan, wie viele Anbieter Sie glauben machen wollen.
TLPT beschreibt im Wesentlichen ein Red Team Assessment mit einer Threat Intelligence (TI)-Phase, in der ein TI-Team Informationen über die Bedrohungen sammelt, denen das Unternehmen ausgesetzt sein könnte. Diese Bedrohungen werden dann in der Angriffsphase durch das Red Team nachgeahmt, um eine realistische Beurteilung zu erhalten.
Nach der Angriffsphase des Assessments arbeiten das Red Team und das Blue Team zusammen, um den Verlauf des Angriffes aufzuarbeiten. Dazu gehört festzustellen, was gut und was schlecht gelaufen ist, sowie das Auffinden und Schließen von Lücken bei den Erkennungs- und Reaktionsfähigkeiten. Dies wird durch das sogenannte Purple Teaming erreicht.
Alles in allem dauert allein die Angriffsphase eines solchen Assessments mindestens 12 Wochen und ist ein echter Härtetest für Ihre IT-Sicherheit.
DORA legt zwei verschiedene Intervalle für Sicherheitsbewertungen fest:
- Angemessene Tests (z. B. Schwachstellenbewertungen und -scans, physische Sicherheitsüberprüfungen, Source Code Reviews und Penetrationstests) mindestens jährlich für alle IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen.
- Bedrohungsorientierte Penetrationstests (TLPTs) mindestens alle 3 Jahre (die zuständige Behörde kann dieses Intervall jedoch ändern).
Das hängt vom aktuellen Stand der IT-Sicherheit in Ihrem Unternehmen ab. Wenn Sie regelmäßig interne und externe Audits durchführen und über ein IT-Risikomanagement verfügen (z. B. auf der Grundlage von ISO 27001), müssen Sie wahrscheinlich nur alle drei Jahre ein TLPT durchführen.
TLPTs sind allerdings ein Kostenpunkt, den Sie in Ihr Budget einplanen müssen. Der RTS, der das TLPT-Testverfahren spezifiziert, schreibt derzeit vor, dass der aktive Teil des Red-Teaming-Tests mindestens 12 Wochen dauern muss. Zusammen mit allen notwendigen Vorbereitungen, der TI-Phase und der Abschlussphase mit Purple Teaming und Berichterstattung sollten Sie eine Gesamtlaufzeit von mindestens einem halben Jahr einplanen. Unserer Erfahrung nach ist es realistischer, von Projektplanung bis -ende mit einem Jahr zu rechnen.
Wenn Sie gerade erst mit der Einführung eines Risikomanagementrahmens beginnen, sollten Sie mindestens ein Jahr einplanen, um die erforderlichen Risikomanagementprozesse und -verfahren einzurichten.
DORA schreibt nur TLPT vor und nicht direkt TIBER-EU. Es ist jedoch geplant, dass TIBER-EU in Zukunft die Anforderungen für TLPT erfüllen wird. Das heißt, wenn Sie bereits Assessments gemäß dem TIBER-EU-Rahmen durchführen, sollten Sie keine Probleme haben.
Die betroffenen Organisationen sind in Art. 2 der DORA definiert. Dazu gehören Finanzunternehmen (z.B. Banken, Versicherungen, Wertpapierfirmen) sowie sogenannte IKT-Drittdienstleister. Letztere umfassen alle Dritten, die IKT-bezogene (Informations- und Kommunikationstechnologien) Dienstleistungen für die Finanzunternehmen selbst erbringen.
Im Klartext bedeutet dies: Wenn Sie auf die eine oder andere Weise Geld verwalten oder IKT-Dienstleistungen (z. B. Softwareentwicklung) für Unternehmen erbringen, die dies tun, sind Sie höchstwahrscheinlich betroffen.
Art. 4 der DORA definiert den “Grundsatz der Verhältnismäßigkeit”:
“Die Finanzunternehmen wenden die in Kapitel II festgelegten Vorschriften im Einklang mit dem Grundsatz der Verhältnismäßigkeit an, wobei ihrer Größe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte Rechnung zu tragen ist.”
Dies kommt an mehreren Stellen in der DORA selbst zum Ausdruck, z.B.:
- DORA ermöglicht es kleineren Unternehmen, nur einen vereinfachten IKT-Risikomanagementrahmen zu implementieren.
- Kleinere Unternehmen müssen keine bedrohungsorientierten Penetrationstests (TLPTs) durchführen.
- Für “Kleinstunternehmen” gibt es eine Reihe weiterer Ausnahmen und Änderungen, z. B. sind sie größtenteils von den Vorschriften zum Testen der digitalen operationalen Resilienz ausgenommen. Stattdessen sollen sie IKT-Tests auf der Grundlage eines risikobasierten Ansatzes durchführen.
- TLPTs sind eine realitätsnahe Angriffssimulation, die aus einer TI-Phase und einer mindestens zwölfwöchigen Red-Teaming-Phase besteht.
- TLPTs sind keine einfachen Scans, Schwachstellenanalysen oder Pentests.
- TIBER-EU ist ein älteres Rahmenwerk, das eine umfassende Anleitung für die Durchführung von Red Teaming Assessments basierend auf einer vorherigen Bedrohungsanalyse (threat-intelligence oder TI-Phase) bereitstellt.
- TIBER-EU erfüllt (bald) die Anforderungen von DORA TLPT.
Die Anforderungen an externe Tester, die TLPTs durchführen können, finden sich im RTS, sind aber noch nicht endgültig.
Zum aktuellen Zeitpunkt sind die Anforderungen an das Red Team in etwa wie folgt:
- Ein Team bestehend aus einem Manager mit mindestens fünf Jahren Erfahrung und zwei weiteren Testern mit jeweils mindestens zwei Jahren Erfahrung
- Ein breites Spektrum und ein angemessenes Niveau an fachlichen Kenntnissen und Fähigkeiten
- Zusammengezählt, Teilnahme an mindestens fünf früheren Assessments, die vergleichbar mit TLPTs sind
Jetzt. Zumindest wenn Sie noch keine Erfahrung mit Pentesting und Red Teaming haben. TLPTs sind komplex und werden auf Ihren Produktionssystemen durchgeführt. Daher müssen diese angemessen vorbereitet werden. Zumindest grundlegende Sicherheits- und Wiederherstellungsmaßnahmen sollten vorhanden und im Vorfeld getestet sein.
Die Vorgaben aus DORA gelten ab dem 17.01.2025. Bis dahin müssen Sie die für Sie relevanten Bestimmungen einhalten. Das bedeutet unter anderem, dass Sie über einen wirksamen IKT-Risikomanagementrahmen verfügen und regelmäßige angemessene Tests Ihrer IKT-Systeme durchführen müssen.
Beim sogenannten Purple Teaming arbeiten das Red Team und das Blue Team eng zusammen. Ziel ist es, die Fähigkeiten des Blue Teams, durch aktive Kommunikation und Wiederholung der Angriffstechniken des Assessments, zu verbessern. Was lief schief? Was ist gut gelaufen? Wie können die Erkennungs- und Reaktionsfähigkeiten verbessert werden?
Das sagen unsere Kunden
Lutra Security haben mich durch Flexibilität, einer durchdachten Angebotspräsentation sowie Kompetenz in modernen Technologien und Methoden überzeugt. Die passgenaue Durchführung und der umfangreiche Abschlussbericht haben meine Erwartungen weit übertroffen. Als Kunde habe ich mich jederzeit bestens informiert gefühlt und konnte die verschiedenen Phasen des red-teaming Ansatzes gut nachvollziehen. Ich kann Lutra Security guten Gewissens an alle weiterempfehlen, die das Thema Sicherheit wirklich ernst nehmen und mehr für ihr Geld bekommen wollen.
— Martin Heiland (CISO, Open-Xchange)
Die Zusammenarbeit mit Lutra Security war sehr konstruktiv. Die Durchführung des Penetration-Test wurde flexibel gehandhabt und wir wurden stets über den aktuellen Stand informiert. Mit dem sehr gut aufbereiteten Abschlussbericht konnten wir an unseren Schwachstellen arbeiten. Da uns das professionelle Vorgehen überzeugt hat, wird unser nächster Penetration-Test sicher wieder mit Lutra Security stattfinden.
— Claudia Maier (Product Owner, Sopra Financial Technology)