top of page
AdobeStock_318867985_edited_edited.jpg
City Sky

DORA und Threat-Led Penetration Testing (TLPT)

"DORA verpflichtet alle Finanzunternehmen dazu, ihre Informations- und Kommunikationstechnologie auf Herz und Nieren zu prüfen, indem sie ein risikobasiertes, proportionales Testprogramm etablieren sollen." Bafin

Traditionelle Penetrationstests, die zwar effektiv bei der Aufdeckung von Schwachstellen sind, konzentrieren sich in der Regel auf eng gefasste Bereiche und beschränken sich auf IT-Ressourcen, wobei sie oft die breiteren geschäftlichen Auswirkungen eines Sicherheitsvorfalls übersehen.

Unser Threat-Led Penetration Testing (TLPT) geht über diese Grenzen hinaus und bietet eine umfassende Sichtweise, die mögliche Auswirkungen auf Geschäftsprozesse einschließt und eine breitere Palette von Stakeholdern einbezieht. Dieser Ansatz gewährleistet eine ganzheitliche Bewertung der Widerstandsfähigkeit Ihrer Organisation, nicht nur eine Momentaufnahme technischer Schwachstellen.

funwithdora.png

Was beinhaltet DORA TLPT?

TLPT wird als ein umfassendes Red Teaming Engagement betrachtet, das darauf ausgelegt ist, die Widerstandsfähigkeit einer Organisation gegen digitale Angriffe zu bewerten. Dieser Prozess wird methodisch in mehrere Phasen unterteilt, beginnend mit Threat Intelligence, um relevante Angriffsvektoren zu identifizieren. Diese Einblicke leiten dann die Entwicklung verschiedener Red Team-Szenarien ein, die jeweils darauf abzielen, unterschiedliche Aspekte der Verteidigung der Organisation zu testen:

  1. Bei der physischen Angriffsfläche wird die Sicherheit physischer Grenzen bewertet, einschließlich des Potenzials für unbefugten Zugang über öffentliche Bereiche.B
     

  2. Bei der menschlichen Angriffsfläche wird die Anfälligkeit für Social Engineering-Taktiken beurteilt, insbesondere durch verschiedene Formen des Phishings.
     

  3. Bei der digitalen Angriffsfläche werden die digitale Präsenz und Cybersicherheitsmaßnahmen der Organisation analysiert und überprüft.

Die Mission des Red Teams besteht darin, vordefinierte Ziele mit allen notwendigen Mitteln in einer lebenden Betriebsumgebung zu erreichen, um so eine realistische und umfassende Bewertung der Verteidigungshaltung der Organisation zu gewährleisten.

Wie lange dauert ein TLPT?

Regulierungsbehörden legen typischerweise einen umfassenden Zeitplan für Threat-Led Penetration Testing (TLPT)-Engagements fest, der 6 bis 12 Monate umfasst.

Diese Dauer beinhaltet die Beteiligung der Regulierungsbehörden, von der anfänglichen Genehmigung bis zu den abschließenden Aktivitäten, und schließt festgelegte Fristen für Interaktionen und Berichtsaustausche zwischen den beteiligten Teams ein. Wichtig ist, dass die aktive Phase des Red Teamings vorgeschrieben ist, nicht weniger als 12 Wochen zu dauern, um einen gründlichen und aussagekräftigen Bewertungsprozess zu gewährleisten.

Wie oft muss ein TLPT durchgeführt werden?

Ein TLPT muss alle 3 Jahre durchgeführt werden.

Wie findet man einen geeigneten Service Provider?

Die Auswahl eines Anbieters für Threat-Led Penetration Testing, insbesondere in live Produktionsumgebungen, erfordert sorgfältige Überlegungen.

Artikel 27 legt spezifische Anforderungen für Anbieter fest, die qualifiziert sind, solche Tests durchzuführen.

Exploit Labs erfüllt stolz die Kriterien, die in den TIBER-EU-Beschaffungsrichtlinien dargelegt sind, und stellt damit eine geeignete Wahl für DORA-konforme Penetrationstests dar.

Das TIBER-Rahmenwerk, das als Referenz für DORA dient, bietet einen zuverlässigen Maßstab zur Bewertung der Fähigkeiten und Compliance eines Anbieters und stellt sicher, dass Exploit Labs bestens ausgestattet ist, um qulatitativ hocherwertige Ergebnisse zu erzielen.

Liefert Exploit Labs nur Red Team-Fähigkeiten?

Exploit Labs ist in der Lage, sowohl Red Teaming als auch Threat Intelligence-Rollen im Rahmen von DORA zu erfüllen.

Zusätzlich verfügt unser Team über die Expertise, das White Team oder Control Team zu unterstützen, um eine umfassende Abdeckung Ihrer Sicherheitslage zu gewährleisten.

 

Es ist jedoch unsere interne Richtlinie, Doppelrollen in einem einzigen Engagement zu vermeiden, was bedeutet, dass wir entweder als Ihr Red Team dienen oder das White Team unterstützen, aber nicht beides gleichzeitig, um klare Grenzen und Objektivität zu wahren.

Wer muss einen TLPT durchführen?

Die Anwendbarkeit von DORA ist aufgrund von Ausnahmen nicht leicht zu beantworten, generell gilt DORA jedoch für:

  • Kreditinstitute 

  • Zahlungsinstitute 

  • Kontoinformationsdienstleister 

  • E-Geld-Institute 

  • Wertpapierfirmen

  • Zentralverwahrer 

  • Zentrale Gegenparteien 

  • Handelsplätze 

  • Transaktionsregister

  • Verwalter alternativer Investmentfonds 

  • Verwaltungsgesellschaften 

  • Datenbereitstellungsdienste 

  • Versicherungs- und Rückversicherungsunternehmen 

  • Einrichtungen der betrieblichen Altersvorsorge 

  • Ratingagenturen 

  • Administratoren kritischer Referenzwerte 

  • Schwarmfinanzierungsdienstleister 

  • Verbriefungsregister

  • Versicherungsvermittler & Rückversicherungsvermittler

  • IKT-Drittdienstleister

  • Anbieter von Krypto-Vermögenswerten

Ab wann müssen TLPTs durchgeführt werden?

DORA wird ab Januar 2025 verpflichtend umzusetzen.

Wie ist der Regulator involviert?

Regulierungsbehörden - in Deutschland die Bundesbank - spielen eine zentrale Rolle im Prozess des Threat-Led Penetration Testing (TLPT), indem sie zwei Mitglieder für das TCT (TIBER Cyber Team) ernennen, die für die Überwachung der gesamten Operation verantwortlich sind.

Diese Aufsicht umfasst die Definition des Testumfangs, die Auswahl des Dienstleisters und die Leitung sowohl der Durchführungs- als auch der Behebungsphasen. Die Regulierungsbehörde hat die Befugnis, in verschiedenen Stadien einzugreifen, Anpassungen vorzunehmen oder sogar die Aktivitäten zu pausieren, wenn dies notwendig ist, um sicherzustellen, dass die Ziele effektiv und sicher erreicht werden.

Durch ein "DORA-Light" vorbereiten & TLPT-Slots sichern

Viele Organisationen führen proaktiv Red Team Übungen oder Threat-Led Penetrationstests außerhalb regulatorischer Rahmenbedingungen durch, um sich auf die offiziellen Anforderungen vorzubereiten. Diese vorbereitenden Engagements bieten bedeutende Vorteile:

 

  • Flexibilität beim Timing: Führen Sie die Übung nach Ihrem eigenen Zeitplan durch was eine gründliche Vorbereitung und Planung der Reaktion ermöglicht.
     

  • Unterstützendes Umfeld: Führen Sie Tests in einem nicht-konfrontativen Setting durch, um Lernen und Verbesserung ohne den Druck regulatorischer Überprüfungen zu fördern.

  • Reduzierte Komplexität: Genießen Sie die Kernvorteile des Red Teamings mit weniger verfahrenstechnischem und bürokratischem Aufwand.

  • Effizienz: Schließen Sie das Engagement in einem kürzeren Zeitraum ab, was es zu einer praktischen Wahl für schnelllebige Betriebsumgebungen macht.

  • Wertvolle Einblicke: Erwerben Sie entscheidende Erfahrungen, wie die Identifizierung Ihrer kritischen Funktionen, die für das offizielle Engagement von unschätzbarem Wert sein werden.

Interessieren Sie sich für eine vorbereitende Red Team Übung? Kontaktieren Sie uns, um zu besprechen, wie wir eine Übung an Ihre Bereitschaftsziele anpassen können und Ihnen helfen, reibungslos die Anforderungen von DORA für 2025 zu erfüllen.

bottom of page