{{brizy_dc_image_alt imageSrc=

DORA - Testen der digitalen Resilienz

Das Jahr 2025 neigt sich dem Ende zu und damit beginnt die Saison der Jahresabschlussprüfungen - in der Finanzwelt erstmalig nach den Vorgaben des Digital Operational Resilienz Act (kurz: DORA). Mit den ersten Anforderungslisten der Wirtschaftsprüfer kommt nun auf den Prüfstand, was in den letzten Monaten emsig voran getrieben wurde. Neben Formalalien und Compliance ist auch die Umsetzung ein Schwerpunkt in DORA - und das Testen.

Das Testen der digitalen operationalen Resilienz und die Nachweise dazu sind eine gewaltige Aufgabe.

Um mal einige der nicht so offensichtlichen Beispiele zu benennen:

  • Überprüfung / Validierung der Detektion sicherheitsrelevanter Ereignisse - Art. 10 Abs. 2 DORA-VO
  • Überprüfung / Test der Krisenkommunikationspläne - Art. 11 Abs. 7 DORA-VO
  • Test der BCM- / Notfall- und Wiederanlaufpläne - Art. 25 Abs. 2e RTS "IKT-Risikomanagement", Art. 8 Abs. 2c RTS "IKT-Risikomanagement"

Und natürlich ist da auch die Frage nach dem Programm zum Testen der digitalen Resilienz gemäß Art. 25 Abs. 1 DORA-VO u.a. mit:

  • Threat-Modelling
  • Schwachstellenscans
  • Analyse von Open-Source-Software
  • Bewertung der Netzwerksicherheit
  • GAP-Analyse
  • Analyse der physischen Sicherheit
  • Fragebögen für Softwarelösungen
  • Quellcodeprüfungen
  • Kompatibilitätstestes
  • Lasttestest
  • Ende-zu-Ende-Tests

Wer zusätzlich noch in den Bereich der Threat-Let Penetrationtests (TLPT) fällt, der hat noch mehr zu tun.

Testprogramm

Technische Prüfschritte - automatisiert und manuell

Mit den in Artikel 25 Abs. 1 definierten Anforderungen fordert DORA ein umfassendes Testprogramm. Ein Blick in das typische Portfolio eines IT-Sicherheitsdienstleisters lässt erahnen, dass hier das volle Spektrum gefordert ist:

  • Statische Analyse von selbst-entwickelten Anwendungen
  • Quellcode-Scans (machbar z. B. mit SonarScan)
  • Dependency-Scans (machbar z. B. mit Dependency Track)
  • Konfigurationsprüfungen (machbar z. B. mit Lynis)
  • Dynamische Analysen von selbst-entwickelten Anwendungen
  • Anwendungstests (machbar z. B. mit ZAP)
  • Unsichere Konfiguration / Verwundbarkeitsprüfung (machbar z. B. mit nuclei)

Die CI/CD-Pipeline und ein hoher Automatisierungsgrad sind da schon fast Pflicht.

Bei Infrastruktur und Anwendungen für kritische Funktionen geht es nicht einfacher weiter:

  • Wöchentliche Schwachstellenscans (automatisiert, beispielsweise mit openVAS)
  • Penetrationstests (manuelle Durchführung, externe Beauftragung oder interne Experten)

Wer in der Cloud-Welt wie Entra ID unterwegs ist, dem nutzt ein klassischer Schwachstellenscan nichts. Die Überprüfung der Sicherheit der Konfiguration der eigenen Cloud-Umgebung ist dennoch ratsam. Ein Werkzeug was hier helfen kann ist Maester. Auch dies lässt sich automatisieren und in den wöchentlichen Scan-Zyklus integrieren.

Die OWASP und andere Organisationen führen ganze listen an technischen Werkzeugen. Die Herausforderung ist weniger die Einführung der Scans, als der Umgang mit den Ergebnissen.

Organisatorische Prüfschritte - viel Arbeit

Während technische Werkzeuge mit überschaubarem Aufwand installiert sind, stellen Anforderungen wie Threat-Modelling größere Herausforderungen. Beim Threat-Modelling geht es darum, Bedrohungen zu identifizieren und deren Auswirkungen abzuschätzen, um geeignete Maßnahmen zu ergreifen.

Eine Aufgabe, die initial und regelmäßig für die IKT in kritischen Geschäftsprozessen gefordert wird. Ein gutes Threat-Modelling ist keine einfache Aufgabe und kritische und wichtige IKT gibt es meist nicht wenig.

Für den IKT-Risikomanagementbericht müssen auch die nicht-technischen Verfahren beschrieben und Beispiele der Durchführung dokumentiert werden. Wer hier noch nicht angefangen hat, der sollte sich Art. 6 Abs. 5 DORA-VO zum jährlichen Review des IKT-Risikomanagementrahmens anschauen. Am 17. Januar ist ein Jahr vorbei und die Prüfer schauen auf jeden Fall hin, ob ein Template vorliegt.

IKT-Risikomanagement - qualitativ und quantitativ

Bei so vielen Teste-Szenarien und Überprüfungen kommen zwangsläufig IKT-Risiken ans Licht. Kein Beinbruch, sondern ein normaler Prozess.

Die Fragen quantitatives oder qualitatives Risikomanagement spaltet die Herzen:

  • Qualitative Abschätzung eines Experten auf Basis fest definierter Kriterien?

oder

  • Quantitative Abschätzung auf Basis von Kosten und Berechnungen?


Am Ende wird es wohl eine Kombination sein, die den meisten Wert bringt. In der Praxis sind beide Verfahren nicht einfach umzusetzen.

  • Wie hoch ist die Eintrittswahrscheinlichkeit eines Flugzeugabsturzes auf das eigene Rechenzentrum?
  • Wie wahrscheinlich ist es, dass die geopolitische Lage eskaliert?
  • Wie hoch ist die Schadensumme, wenn Ransomware alle Systeme verschlüsselt?
  • Wie hoch ist die Eintrittswahrscheinlichkeit von Ransomware?


Während zu Naturkatastrophen zumindest in der Versicherungsbranche Erfahrungswerte existieren, ist schon die Frage nach Ransomware nicht einfach zu beantworten. Bei Jaguar Landrover wäre die Abschätzung der Schadenhöhe von 1,9 Milliarden Pfund für ein einzelnes Schadensereignis (SLE) wohl kaum so im IKT-Risikomanagement aufgetaucht. Bei über 100 Ransomware-Vorfällen pro Monat und einer solchen Schadensumme wären sonst vernünftige Schutzmaßnahmen wohl günstiger gewesen. Folgt man dem qualitativen Risikomanagement, so gibt es in UK laut Google etwa 5,5 Millionen Firmen. Für 2024 gibt es - je nach Quelle - in UK etwa 250 Ransomwarevorfälle. Das ergibt eine Annualized Rate of Occurence (ARO) von 0,00004545 also 0,0045%. Bei dem entstandenen Schaden bliebe eine Annualized Loss Expectancy (ALE = SLE X ARO) von 98k EUR. Nicht viel Geld für bessere Sicherheitsmaßnahmen.

Final words

Bald feiern wir 1 Jahr DORA Verordnung. Viel Aufwand zur Stärkung der digitalen Resilienz, der aber - bei sinnhafter Ausführung - tatsächlich den einen oder anderen Schwachpunkt in einer Organisation zu Tage führen und zu deren Behebung beitragen kann. Die richtigen Ideen sind da.

Risikomanagement bleibt eine Herausforderung, insbesondere wenn die Einschläge näher kommen aber die wirtschaftliche Lage nicht rosig ist.

Bei Fragen unterstützen wir Sie gerne im Rahmen unserer Dienstleistungen!

Am Autobahnkreuz 2A

74248 Ellhofen

® 2025 bi-sec

Nach oben scrollen