DORA: Threat-Led Penetration Testing. Was bedeutet das Red Teaming für die Finanzinstitute.

von Alexander Klug und Sascha Peindl

Mit den am 17. Juli 2024 veröffentlichten technischen Regulierungs- und Durchführungsstandards haben die drei europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die ESAs) unter anderem Entwürfe für das Testen von IKT-Tools, Systemen und Prozeduren unter Einsatz von Threat-Led Penetration Testing (TLPT) veröffentlicht. Dieser Artikel beschäftigt sich mit den Fragen WER und WIE mit TLPT getestet werden muss.

Threat-Led Penetration Testing wurde in Anlehnung an den TIBER-EU-Rahmen1 entwickelt. TIBER-EU und somit auch TLPT ahmen die Taktiken, Techniken und Prozeduren von tatsächlichen Angreifern nach, um so einen Angriff auf kritische Funktionen darzustellen und mögliche Schwachstellen zu erkennen. Verschiedene Akteure arbeiten gemeinsam an einer möglichst realitätsnahen Simulation zur Überprüfung der Resilienz der eingesetzten Informations- und Kommunikationstechnologie (IKT) -Tools und -Systeme. Der TIBER-EU Rahmen wird auf nationaler Ebene unter Einhaltung der jeweiligen nationalen Ausprägungen (TIBER-DE, TIBER-AT) bereits auf freiwilliger Basis durchgeführt. Die TIBER-Prozesse spiegeln die Anforderungen an TLPT im Zuge von DORA weitgehend wider. Somit werden die TLPT-Prozesse auf jene von TIBER aufbauen. Dadurch werden hierbei auch die für die TIBER-EU Umsetzungen verantwortlichen nationalen Behörden wie die BaFin und die Deutsche Bundesbank als auch die FMA und die Österreichische Nationalbank im Zuge von TLPT ihre aufsichtsrechtlichen und operativen Aufgaben nachkommen3,4.

Neben den allgemeinen Testvoraussetzungen des Digital Operational Resilience Acts (DORA), liefert TLPT als erweiterter Test entsprechend detailliertere Ergebnisse. Auch wenn die Methodik von TLPT sich an TIBER-EU orientiert, liefern die europäischen Aufsichtsbehörden (EIOPA, ESMA und EBA – die ESAs) dennoch einige Abweichungen. Die Hauptunterschiede zwischen den beiden Herangehensweisen lassen sich wie folgt darstellen:

  • Durchführungsbehörde für TLPT: Im Rahmen von DORA kann ein Mitgliedsstaat eine öffentliche Behörde mit den Verantwortlichkeiten für TLPT betrauen. Hierbei können einzelne Aufgaben auch anderen Behörden übertragen werden und somit unterschiedliche Mitgliedsstaaten verschiedene Verteilungen von Aufgaben umsetzen. Je nach Aufgabenverteilung ergibt sich eine unterschiedliche Anzahl an TLPT-Behörden in einem Mitgliedsstaat.
  • Europaweit zuständige Behörden: Für spezielle Finanzinstitutionen sind die zuständigen Behörden nicht im jeweiligen Mitgliedsstaat ansässig. Beispielsweise fallen Handelsplätze, Kreditratingagenturen oder kritische Benchmark-Anbieter in die Verantwortlichkeit der ESMA oder als signifikant klassifizierte Kreditinstitute in jene der EBA.
  • Verwendung interner Tester: Auch wenn im TIBER-EU-Rahmen nur die Verwendung externer Tester vorgesehen ist, können unter gewissen Voraussetzungen für TLPT auch interne Tester verwendet werden.
  • Purple Team Übungen: Durch die Kollaboration zwischen Blue Team (Cybersicherheitsteam) und Red Team (Tester) können die Vorteile kooperativer Testaktivitäten genutzt und forciert werden. Im Gegensatz zum TIBER-EU Rahmen sind Purple Team Übungen in der letzten Phase von TLPT verpflichtend durchzuführen.

In der Regel schreiben die ESAs die Häufigkeit der Durchführung von TLPT mit einem Intervall von 3 Jahren vor. Wo die Umsetzung des TIBER-EU-Rahmens noch auf freiwilliger Basis ist, gilt TLPT im Rahmen der DORA-Verordnung für eine kleinere Gruppe von ausgewählten Finanzinstituten als verpflichtend. Anhand des Proportionalitätsprinzips werden jene Finanzinstitute ausgewählt, welche eine entsprechende systemische Wichtigkeit tragen und somit TLPT durchführen müssen. Die Kriterien zur Identifikation und Auswahl dieser Finanzinstitute umfassen die folgenden Faktoren:

  1. Auswirkungsbezogene Faktoren: Insbesondere das Ausmaß in welchem sich eine Unterbrechung der Services und der ausgeübten Tätigkeiten auf den Finanzsektor auswirken würden.
  2. Finanzstabilität: Mögliche Bedenken hinsichtlich der Finanzstabilität, zuzüglich des systemischen Charakters des Finanzinstituts auf Unions- und nationaler Ebene (wenn anwendbar).
  3. Informations- und Kommunikationstechnologie (IKT): Spezifisches IKT-Risikoprofil, IKT-Reifegrad des Finanzunternehmens oder technologische Merkmale.

Die neuesten technischen Regulierungs- und Durchführungsstandards konkretisieren diese Kriterien1. Tabelle 1 zeigt die in Frage kommenden Finanzinstitute.

TLPT-Hauptakteure

Nachdem der Aufbau von TLPT nah an dem des TIBER-EU-Rahmens angelehnt ist, unterscheiden sich auch die Akteure nur in einem geringen Umfang. Die folgenden Parteien tragen während der Durchführung die Verantwortlichkeiten für die einzelnen Bereiche:

  • TLPT-Cyberteam: Dieses Team wird durch die TLPT durchführende Behörde gestellt und befasst sich mit den anfallenden operativen Tätigkeiten.
  • Kontrollteam (White Team): Das Kontrollteam leitet den TLPT-Test seitens des Finanzinstituts.
  • Blue Team: Das Blue Team umfasst jene Angestellten des Finanzinstituts, welche für die Sicherheit bezüglich simulierten und tatsächlichen Cyberbedrohungen verantwortlich sind. (Dieses Team ist nicht darüber informiert, dass es getestet wird)
  • Threat Intelligence-Anbieter: Stellt den Prozess der Informationsbeschaffung unter Verwendung unterschiedlicher Ressourcen aus Sicht des Hackers da.
  • Tester (Red Team): Im Zuge von DORA umfassen die Tester nicht nur externe, sondern auch interne Tester. Bei der Verwendung interner Tester werden jedoch strikte Voraussetzungen von den europäischen Aufsichtsbehörden vorgegeben1.
  • Purple Team: Kollaboration von Blue und Red Team.

TLPT-Testablauf

Wie in Abbildung 1 dargestellt, gliedert sich TLPT in drei Phasen. Angefangen von der Vorbereitung über das eigentliche Testen bis hin zur Zusammenfassung.

Den Einstieg in die Vorbereitungsphase stellt die Benachrichtigung durch die TLPT-Behörde zur Durchführung eines TLPTs dar. Nach dieser haben die Finanzinstitute drei bzw. sechs Monate Zeit die Einstiegsdokumente und die Umfangsspezifikation an die TLPT-Behörde zu übermitteln. Nach deren Genehmigung folgt im nächsten Schritt, der Testphase, zuerst die Zusammenstellung der zu testenden Szenarien, mit Unterstützung des Threat Intelligence-Anbieters. Diese Szenarien und die speziellen Angriffsvektoren werden im Red Team Testplan genauer spezifiziert. Den Hauptfokus in dieser Phase bildet das aktive Testen durch das Red Team. Dieser Teil erfordert einen Umfang von mindestens zwölf Wochen, um heimlich vorgehende Bedrohungsakteure möglichst genau zu imitieren.

Abschließend erfolgt einerseits die Mitteilung an das Blue Team über die Durchführung des TLPTs, als auch die Fertigstellung der Abschlussberichte. Diese müssen innerhalb festgelegter Zeitspannen, welche Abbildung 1 entnommen werden können, den jeweiligen Teams, Akteuren und Behörden zur Verfügung gestellt werden. Zusätzlich wird von Red und Blue Team gemeinsam sowohl eine Wiederholung der relevanten defensiven und offensiven Aktionen, welche während der Testphase eingesetzt wurden, sowie Purple Team Übungen durchgeführt und gemeinsames Feedback erarbeitet.

Nach der Genehmigung durch die TLPT-Behörden, folgen der Abschlussbericht und der Sanierungsplan, welche ebenso an die TLPT-Behörden übermittelt werden müssen. Den Abschluss bildet die Bescheinigung der TLPT-Behörde über die Durchführung des TLPTs. Die Vorlagen mit den konkreten Inhalten der Dokumente und Berichte können den technischen Regulierungs- und Durchführungsstandards entnommen werden2.

Spezialfälle für TLPT liefern das „Pooled Testing“ und das „Joint Testing“.

Erstere beschreiben Tests, an welchen mehrere Finanzinstitute beteiligt sind, wobei ein IKT-Drittdienstleister direkt externe Tester beauftragt. Hierbei ist jedoch ein besonderes Augenmerk auf jene Kunden des IKT-Drittdienstleisters zu legen, welche nicht in den Anwendungsbereich von DORA fallen. Externe Tester dürfen nur dann beauftragt werden, wenn ein TLPT ohne Pooled Testing negative Auswirkungen auf die Qualität oder Sicherheit einer Dienstleistung oder die Vertraulichkeit der mit einer Dienstleistungen verbundenen Daten hat, welche für diese Kunden ausgeführt werden.

Joint Testing beschreibt einen Test, an dem mehrere Finanzinstitute beteiligt sind, die einerseits denselben konzerninternen IKT-Dienstleister nutzen oder andererseits zum selben Konzerngehören und somit gemeinsame IKT-Systeme nutzen.

Wir bei Nagler & Company arbeiten seit Jahren für Banken, Versicherungen und Vermögensverwalter. Unsere Projekterfahrung reicht von der Automation über die Optimierung von Datenbanken und Schnittstellen bis hin zur Prozessgestaltung und dem Testen sowie der fachlichen Unterstützung in übergreifenden Projekttätigkeiten. Wenn wir Sie als verlässlicher Partner bei Ihrem Projekt unterstützen können, oder Sie weitere Fragen zu diesem oder verwandten Themen haben, freuen wir uns auf Ihre Kontaktaufnahme.


Literaturverzeichnis

1https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
2https://www.eiopa.europa.eu/document/download/9f9d0023-6667-4985-a7fd-b7b3d9f6e0d9_en?filename=JC%202024-29%20-%20Final%20report_DORA%20RTS%20on%20TLPT.pdf
3https://www.bafin.de/DE/Aufsicht/DORA/Digitale_Resilienz_TLPT/Digitale_Resilienz_TLPT_node.html
4https://www.oenb.at/en/financial-market/tiber-at.html


 

DORA: Artikelreihe

Die zweite Tranche ist veröffentlicht. Was die finalen Entwürfe bereithalten.
Weiterlesen >>>

Meldung von IKT-bezogenen Vorfällen. Herausforderungen im Detail.
Weiterlesen >>>

Schätzung der Bruttokosten und Bruttoverluste. Worauf es bei deren Ermittlung ankommt.
Weiterlesen >>>

Threat-Led Penetration Testing. Was bedeutet das Red Teaming für die Finanzinstitute.
Weiterlesen >>>

Alexander Klug

Alexander Klug

Sascha Peindl

Sascha Peindl

Unternehmen