DE EN

Ethisches Hacking: Einsatz von Penetrationstests zur Stärkung der Unternehmenssicherheit im Kontext des Digital Operational Resilience Act (DORA)

24/10/2024

Ethisches Hacking: Einsatz von Penetrationstests zur Stärkung der Unternehmenssicherheit im Kontext des Digital Operational Resilience Act (DORA)

Unternehmen stehen in der zunehmenden komplexen Welt der Digitalisierung vor der Herausforderung, sich gegen Cyber-Angriffe zu schützen. Erst vor kurzem, musste ein Traditionsunternehmen aus Aachen Insolvenz aufgrund eines Cyber-Angriffs anmelden. Die Schumag AG erklärte die Situation, dass Sie einen Plan für einen Turnaround hatten, dass dieser jedoch nach den zusätzlichen Belastungen des Hackerangriffs empfindlich gestört wurde.

Unternehmen nutzen verschiedene Mittel, um die Resilienz gegenüber Cyber-Angriffen zu erhöhen. Eine Strategie dafür sind Penetrationstests. Dabei handelt es sich um gezielte und kontrollierte Angriffe auf die eigenen Systeme, Netzwerke, Anwendungen oder Geräte, ausgeführt durch Sicherheitsexpert:innen (sogenannten White-Hat-Hacker). Penetrationstests simulieren reale Cyber-Angriffe, um die aktuellen Sicherheitsmaßnahmen des Unternehmens zu testen, um so potenzielle Schwachstellen, welche u.a. durch unsichere Konfiguration, veraltete Software oder Programmierfehler entstanden sind, zu identifizieren. Diese Ergebnisse helfen dem Unternehmen, gezielt Maßnahmen für die Verbesserung ihrer Sicherheitsmaßnahmen einzuleiten und zeigen gleichzeitig, welche Schutzmaßnahmen unzureichend sind. Zu den wichtigsten Vorteilen gehören:

  • Früherkennung von Schwachstellen: Durch Penetrationstests können Schwachstellen in der IT-Infrastruktur frühzeitig erkannt und behoben werden, bevor diese durch Angreifer ausgenutzt werden können.
  • Verbesserung der Sicherheitsmaßnahmen: Im Vergleich zu der Früherkennung von Schwachstellen, identifizieren Penetrationstests fehlerhaft implementierte Sicherheitsmaßnahmen in der IT-Infrastruktur.
  • Höheres Bewusstsein für Cyber-Angriffe: Ein Penetrationstest zeigt auf, wie gefährdet ein Unternehmen gegenüber Cyberbedrohungen ist, und sensibilisiert das Management sowie die Mitarbeiter für die Notwendigkeit strengerer Sicherheitsvorkehrungen. Dies kann zu einem höheren Sicherheitsbewusstsein im Unternehmen führen.
  • Verbesserte Notfallplanung: Penetrationstests helfen dabei, die Reaktionsfähigkeit auf echte Angriffe zu testen. Unternehmen lernen, wie gut ihre Incident-Response-Prozesse funktionieren, und können diese basierend auf den Ergebnissen verbessern.

Penetrationstests können je nach Branche auch eine regulatorische Anforderung an das Unternehmen sein. Im Rahmen des Digital Operational Resilience Act (kurz DORA) sind Finanzunternehmen verpflichtet, Threat Led Penetration Testing (kurz TLPT) durchzuführen. So werden bedrohungsorientierte Penetrationstests in der DORA bezeichnet. (DORA Art. 3 (17)). So werden fünf Parteien beim TLPT eingebunden:

  • TLPT Authority: Kontrolliert die regelkonforme Durchführung des TLPT
  • Threat Intelligence Provider: Sammelt Informationen, welche für das TLPT genutzt werden und erstellt daraus Angriffszenarien
  • Red Team: Das interne oder externe Team, welches das TLPT operativ durchführt
  • Control Team: Der zentrale Ansprechpartner bei dem Unternehmen, welches das TLPT intern verantwortet
  • Blue Team: Das Team, welches die Penetrationstests im Unternehmen zu mitigieren versucht

Das TLPT muss eine minimale Laufzeit von vier Wochen besitzen, anschließend werden die gesammelten Informationen aufbereitet und in mehreren Reports (Red Team und Blue Team) konsolidiert. Diese Tests müssen nicht nur bei dem Finanzunternehmen selbst, sondern auch für Drittdienstleister durchgeführt werden, welche Dienstleistungen für Finanzunternehmen erbringen. Dabei werden nur jene Drittdienstleister getestet, welche wichtige oder kritische Unterstützungsdienstleistungen für das Finanzunternehmen anbietet. Diese sogenannten IKT-Drittdienstleister müssen durch das Finanzunternehmen getestet werden. Das Besondere der DORA ist, dass TLPT an laufenden Produktionssystemen durchgeführt werden müssen. Damit IKT-Drittdienstleister nicht ihre ganze Zeit mit dem Testen der eigenen Infrastruktur vergeuden, ist es möglich, sogenannte „pooled tests“ oder „joined tests“ durchzuführen. Dabei schließen sich Finanzunternehmen bei gemeinsam genutzten IKT-Drittdienstleistern zusammen, um diesen nur einmal zu testen.

Ich hoffe, dass dieser Beitrag Ihnen geholfen hat, einen ersten Einblick in die Welt der Penetrationstests zu verschaffen. Complion bietet umfassende Beratungsleistungen zum Thema DORA an. Wenn Sie hierzu Anliegen haben, so kommen sie gern via mail@complion.de auf uns zu.

Verfasser: Roman Scholtysik