Jul 24, 2024 von Patrick Schmid
In der immer stärker digitalisierten Welt stehen Finanzinstitute vor einer Vielzahl an Herausforderungen. Ein wichtiger Teil davon ist die immer stärker zunehmende Bedrohung vor Cyberangriffen. Um die Resilienz des Finanzsektors gesamtheitlich zu stärken, hat die Europäische Union den sogenannten “Digital Operational Resilience Act” oder kurz “DORA” eingeführt. Eine der Hauptkomponenten von DORA zur Prüfung der Sicherheit von Finanzinstituten ist das Threat-Led Penetration Testing (TLPT). Dies stellt sicher, dass Finanzunternehmen komplexen Cyberbedrohungen nicht nur standhalten, sondern auch entsprechend darauf reagieren und sich davon wieder erholen können.
Der Digital Operational Resilience Act (DORA) ist ein umfassendes Rahmenwerk, das darauf abzielt, die operationelle Resilienz von Finanzinstituten innerhalb der EU zu stärken. DORA wurde 2020 verabschiedet und zielt darauf ab, einen einheitlichen Ansatz für das Management von Informations- und Kommunikationstechnologierisiken (IKT-Risiken) zu schaffen, um sicherzustellen, dass Finanzunternehmen ihre Geschäfte auch bei schweren Störungen aufrechterhalten können. Der Anwendungsbereich von DORA umfasst eine Vielzahl von Finanzunternehmen, darunter Banken, Versicherungsgesellschaften, Investmentfirmen und Zahlungsdienstleister. Es erstreckt sich auch auf Drittanbieter von IKT-Dienstleistungen und erkennt die entscheidende Rolle an, die diese im Finanzökosystem spielen.
Weiterführende Informationen zum Umfang und der Anwendbarkeit von DORA sind hier zu finden.
Threat-Led Penetration Testing (TLPT) ist eine kontrollierte und gezielte Simulation eines Cyberangriffs, mit dem Ziel, die Resilienz der Systeme und Prozesse einer Organisation gegen reale Bedrohungen zu testen. Im Gegensatz zu herkömmlichen Penetrationstests wird TLPT durch spezifische Bedrohungsinformationen geleitet, wodurch es realistischer und besser auf die tatsächliche Risikolandschaft abgestimmt ist. Ein Threat-Led Penetration Test ist somit eher vergleichbar mit einem Red Teaming, was sich auch durch die enge Verbundenheit von DORA zu TIBER-EU zeigt.
Ein TLPT gemäss DORA besteht jeweils aus den folgenden Schlüsselkomponenten:
Das Threat-Intelligence-Team (TI) ist der Eckpfeiler eines TLPT. Von diesem Team werden Informationen über aktuelle und aufkommende Bedrohungen gesammelt und analysiert, einschliesslich der Taktiken, Techniken und Verfahren (TTPs), die von Angreifern auch verwendet werden. Diese Informationen werden verwendet, um realistische Angriffsszenarien zu entwerfen, die die tatsächlichen Risiken der Organisation genau widerspiegeln. Als Lieferobjekt wird dabei ein Threat-Intelligence-Report erstellt, der als Input für das Red Team genutzt wird. Entsprechenden den Vorgaben von DORA muss das TI-Team bei jeder Durchführung durch einen externen Partner erbracht werden.
Das Red Team (RT) stellt die aktiv angreifende Komponente eines TLPT dar und besteht aus einem Team von ethischen Hackern, die realistische Cyberangriffe auf die Organisation simulieren, basierend auf den Informationen, welche vorgängig durch das Threat-Intelligence-Team zusammengetragen wurden. Das Ziel ist es, Schwachstellen und Schwächen aktiv auszunutzen und die Detektions- und Reaktionsfähigkeiten der angegriffenen Organisation auf die Probe zu stellen. Entsprechend den Vorgaben von DORA darf das Red Team in zwei von drei Durchführungen mit internen Personen besetzt werden, solange die gemäss Artikel 26(11) geforderten Vorgaben eingehalten werden. Bei jeder dritten Durchführung ist jedoch die Involvierung von einem externen Red Team Provider Pflicht.
Das Blue Team, bestehend aus den internen Sicherheitsmitarbeitern der Organisation, ist dafür verantwortlich, die simulierten Angriffe abzuwehren. Ihre Fähigkeit, die Angriffe möglichst effizient und umfassend zu erkennen, darauf zu reagieren und sie zu mitgieren oder zu mindern, ist ein zentraler Aspekt von TLPT.
Zusätzlich existiert auch noch ein oder mehrere überwachende Teams, welche als zentrale Ansprechpartner für alle involvierten Parteien fungieren, sowie den Kontakt zu externen Stellen aufrecht erhalten.
Ein TLPT wird gemäss der deutschen Bundesanstalt für Finanzdienstleistungsaufsicht gemäss den folgenden Phasen durchgeführt:
Die erste Phase, die Vorbereitungsphase, umfasst die Planung und Vorbereitung des TLPT. In dieser Phase wird ein geeigneter Dienstleister ausgewählt und beauftragt. Diese Auswahl basiert auf spezifischen Kriterien, um sicherzustellen, dass der Dienstleister über die notwendige Expertise und Erfahrung verfügt, um den Test effektiv durchzuführen. Die Planungsaktivitäten beinhalten auch die Definition der Ziele und des Umfangs des Tests, um klare Richtlinien und Erwartungen zu setzen.
In der Testphase erfolgt die eigentliche Durchführung des Tests durch das Threat-Intelligence und das Red Team. Zunächst sammelt das Threat-Intelligence Team alle notwendigen Informationen, um passende Angriffspunkte zu identifizieren. Dieser Schritt ist entscheidend, da eine gründliche Informationsbeschaffung die Basis für realistische und relevante Angriffsszenarien bildet. Nachdem die Angriffspunkte identifiziert wurden, werden diese Szenarien durch das Red Team ausgeführt und simuliert, um die Detektions- und Reaktionsfähigkeiten der Organisation zu prüfen.
Nach Abschluss der Testphase beginnt die Abschlussphase. In dieser Phase wird ein konsolidierter Bericht erstellt, der die Informationen aus den Aktivitäten des Threat-Intelligence- und des Red Teams zusammenfasst. Dieser Bericht wird dann durch das Blue Team ergänzt, welches die erkannte Angriffe und die daraufhin eingeleiteten Massnahmen dokumentiert. Schliesslich werden die Ergebnisse des Tests an die relevanten Stakeholder weitergegeben, um sicherzustellen, dass die gewonnenen Erkenntnisse zur kontinuierlichen Verbesserung der Sicherheitsmassnahmen beitragen. Diese Phase ist entscheidend für die nachhaltige Verbesserung der Sicherheitslage, da sie sicherstellt, dass die Organisation aus den durchgeführten Tests lernt und entsprechende Anpassungen vornimmt. Ebenso werden in dieser Phase die notwendigen Aufräumarbeiten initiiert und ausgeführt, sodass keine Artefakte aus der durchgeführten Testphase verbleiben.
Ein zentraler Aspekt bei der Durchführung eines TLPT ist die Auswahl eines geeigneten Providers. Gemäss Artikel 27 von DORA müssen Organisationen sicherstellen, dass die von ihnen beauftragten Providers klar definierte Anforderungen erfüllen. Diese Vorgaben dienen dazu, die Qualität und Integrität des Tests zu gewährleisten und sicherzustellen, dass die Sicherheitsmassnahmen der Organisation effektiv geprüft werden.
Zunächst einmal müssen die Threat-Intelligence und Red Team Provider von höchster Eignung und Reputation sein. Dies bedeutet, dass die ausgewählten Provider nachweislich über ein hohes Mass an Professionalität und Vertrauenswürdigkeit verfügen müssen. Weiterhin müssen sie über die technischen und organisatorischen Fähigkeiten sowie die spezifische Expertise in den Bereichen Threat-Intelligence und Red Teaming verfügen. Diese Kompetenzen sind essentiell, um realistische und effektive Angriffsszenarien zu entwickeln und durchzuführen.
Darüber hinaus müssen die Provider sich an formelle Verhaltenscodes und ethische Rahmenwerke halten. Diese Zertifizierungen und Codes gewährleisten, dass die Tester nach anerkannten Standards arbeiten und ethische Richtlinien einhalten. Ein weiterer wichtiger Punkt ist, dass die Tester eine unabhängige Absicherung oder einen Audit-Bericht über das solide Management der Risiken im Zusammenhang mit der Durchführung von TLPT bereitstellen müssen. Dies schliesst den angemessenen Schutz der vertraulichen Informationen des Finanzinstituts und die Bereitstellung von Abhilfemassnahmen für die Geschäftsrisiken der Organisation ein.
Schlussendlich müssen die Provider über entsprechende Haftpflichtversicherungen verfügen, die auch Risiken im Zusammenhang mit Fehlverhalten und Fahrlässigkeit abdecken. Diese Versicherungen bieten eine zusätzliche Sicherheitsebene, indem sie das finanzielle Risiko minimieren, das durch potenzielles Fehlverhalten oder Nachlässigkeiten des Providers entstehen könnte.
Durch die Einhaltung dieser Vorgaben stellen Organisationen sicher, dass die durchgeführten TLPTs von höchster Qualität sind und die Sicherheit und Integrität ihrer Systeme wirksam geprüft und verbessert werden.
Die Wahl des richtigen Providers für TLPT ist entscheidend für den Erfolg der Tests und die Sicherheit Ihrer Organisation. Redguard erfüllt die strengen Vorgaben gemäß Artikel 27 von DORA und hat sich als führender Anbieterin in diesem Bereich etabliert. Mit jahrelanger Erfahrung in der Durchführung von Penetration Tests, Angriffssimulationen, Red Teamings und Purple Teamings bietet Redguard tiefgehende Einblicke und umfangreiche Expertise in Threat Intelligence und Red Teaming. Unsere Erfahrung erstreckt sich über verschiedene Organisationen und Branchen, was uns ermöglicht, die einzigartigen Herausforderungen, denen heutige Finanzinstitute gegenüberstehen, zu verstehen und effektiv anzugehen.
Unser Team besteht aus 30 hochqualifizierten Security Testern, die über vielfältige Fachkenntnisse in Netzwerksicherheit, Anwendungssicherheit, Social Engineering und physischer Sicherheit verfügen. Diese Vielfalt an Expertise ermöglicht es uns, eine breite Palette realistischer Angriffsszenarien zu simulieren und sicherzustellen, dass alle Aspekte der Sicherheit Ihrer Organisation gründlich getestet werden. Redguard arbeitet nach anerkannten Standards und ethischen Richtlinien, was durch Zertifizierungen und formelle Verhaltenskodizes belegt wird. Darüber hinaus bieten wir unabhängige Absicherungen und Audit-Berichte, die das solide Management der Risiken im Zusammenhang mit der Durchführung von TLPT bestätigen. Unsere umfassenden Berufshaftpflichtversicherungen, die auch Risiken im Zusammenhang mit Fehlverhalten und Fahrlässigkeit abdecken, bieten zusätzliche Sicherheit.
Mit Redguard haben Sie einen zuverlässigen Partner, der die höchsten Standards erfüllt und Ihre Organisation dabei unterstützt, ihre Sicherheitsmaßnahmen kontinuierlich zu verbessern und den Anforderungen der DORA gerecht zu werden. Lassen Sie sich jetzt unverbindlich beraten.