03.12.2024 | Regulatory Reporting
Threat-Led Penetration Testing wurde in Anlehnung an den TIBER-EU-Rahmen1 entwickelt. TIBER-EU und somit auch TLPT ahmen die Taktiken, Techniken und Prozeduren von tatsächlichen Angreifern nach, um so einen Angriff auf kritische Funktionen darzustellen und mögliche Schwachstellen zu erkennen. Verschiedene Akteure arbeiten gemeinsam an einer möglichst realitätsnahen Simulation zur Überprüfung der Resilienz der eingesetzten Informations- und Kommunikationstechnologie (IKT) -Tools und -Systeme. Der TIBER-EU Rahmen wird auf nationaler Ebene unter Einhaltung der jeweiligen nationalen Ausprägungen (TIBER-DE, TIBER-AT) bereits auf freiwilliger Basis durchgeführt. Die TIBER-Prozesse spiegeln die Anforderungen an TLPT im Zuge von DORA weitgehend wider. Somit werden die TLPT-Prozesse auf jene von TIBER aufbauen. Dadurch werden hierbei auch die für die TIBER-EU Umsetzungen verantwortlichen nationalen Behörden wie die BaFin und die Deutsche Bundesbank als auch die FMA und die Österreichische Nationalbank im Zuge von TLPT ihre aufsichtsrechtlichen und operativen Aufgaben nachkommen3,4.
Neben den allgemeinen Testvoraussetzungen des Digital Operational Resilience Acts (DORA), liefert TLPT als erweiterter Test entsprechend detailliertere Ergebnisse. Auch wenn die Methodik von TLPT sich an TIBER-EU orientiert, liefern die europäischen Aufsichtsbehörden (EIOPA, ESMA und EBA – die ESAs) dennoch einige Abweichungen. Die Hauptunterschiede zwischen den beiden Herangehensweisen lassen sich wie folgt darstellen:
In der Regel schreiben die ESAs die Häufigkeit der Durchführung von TLPT mit einem Intervall von 3 Jahren vor. Wo die Umsetzung des TIBER-EU-Rahmens noch auf freiwilliger Basis ist, gilt TLPT im Rahmen der DORA-Verordnung für eine kleinere Gruppe von ausgewählten Finanzinstituten als verpflichtend. Anhand des Proportionalitätsprinzips werden jene Finanzinstitute ausgewählt, welche eine entsprechende systemische Wichtigkeit tragen und somit TLPT durchführen müssen. Die Kriterien zur Identifikation und Auswahl dieser Finanzinstitute umfassen die folgenden Faktoren:
Die neuesten technischen Regulierungs- und Durchführungsstandards konkretisieren diese Kriterien1. Tabelle 1 zeigt die in Frage kommenden Finanzinstitute.
Nachdem der Aufbau von TLPT nah an dem des TIBER-EU-Rahmens angelehnt ist, unterscheiden sich auch die Akteure nur in einem geringen Umfang. Die folgenden Parteien tragen während der Durchführung die Verantwortlichkeiten für die einzelnen Bereiche:
Wie in Abbildung 1 dargestellt, gliedert sich TLPT in drei Phasen. Angefangen von der Vorbereitung über das eigentliche Testen bis hin zur Zusammenfassung.
Den Einstieg in die Vorbereitungsphase stellt die Benachrichtigung durch die TLPT-Behörde zur Durchführung eines TLPTs dar. Nach dieser haben die Finanzinstitute drei bzw. sechs Monate Zeit die Einstiegsdokumente und die Umfangsspezifikation an die TLPT-Behörde zu übermitteln. Nach deren Genehmigung folgt im nächsten Schritt, der Testphase, zuerst die Zusammenstellung der zu testenden Szenarien, mit Unterstützung des Threat Intelligence-Anbieters. Diese Szenarien und die speziellen Angriffsvektoren werden im Red Team Testplan genauer spezifiziert. Den Hauptfokus in dieser Phase bildet das aktive Testen durch das Red Team. Dieser Teil erfordert einen Umfang von mindestens zwölf Wochen, um heimlich vorgehende Bedrohungsakteure möglichst genau zu imitieren.
Abschließend erfolgt einerseits die Mitteilung an das Blue Team über die Durchführung des TLPTs, als auch die Fertigstellung der Abschlussberichte. Diese müssen innerhalb festgelegter Zeitspannen, welche Abbildung 1 entnommen werden können, den jeweiligen Teams, Akteuren und Behörden zur Verfügung gestellt werden. Zusätzlich wird von Red und Blue Team gemeinsam sowohl eine Wiederholung der relevanten defensiven und offensiven Aktionen, welche während der Testphase eingesetzt wurden, sowie Purple Team Übungen durchgeführt und gemeinsames Feedback erarbeitet.
Nach der Genehmigung durch die TLPT-Behörden, folgen der Abschlussbericht und der Sanierungsplan, welche ebenso an die TLPT-Behörden übermittelt werden müssen. Den Abschluss bildet die Bescheinigung der TLPT-Behörde über die Durchführung des TLPTs. Die Vorlagen mit den konkreten Inhalten der Dokumente und Berichte können den technischen Regulierungs- und Durchführungsstandards entnommen werden2.
Spezialfälle für TLPT liefern das „Pooled Testing“ und das „Joint Testing“.
Erstere beschreiben Tests, an welchen mehrere Finanzinstitute beteiligt sind, wobei ein IKT-Drittdienstleister direkt externe Tester beauftragt. Hierbei ist jedoch ein besonderes Augenmerk auf jene Kunden des IKT-Drittdienstleisters zu legen, welche nicht in den Anwendungsbereich von DORA fallen. Externe Tester dürfen nur dann beauftragt werden, wenn ein TLPT ohne Pooled Testing negative Auswirkungen auf die Qualität oder Sicherheit einer Dienstleistung oder die Vertraulichkeit der mit einer Dienstleistungen verbundenen Daten hat, welche für diese Kunden ausgeführt werden.
Joint Testing beschreibt einen Test, an dem mehrere Finanzinstitute beteiligt sind, die einerseits denselben konzerninternen IKT-Dienstleister nutzen oder andererseits zum selben Konzerngehören und somit gemeinsame IKT-Systeme nutzen.
Wir bei Nagler & Company arbeiten seit Jahren für Banken, Versicherungen und Vermögensverwalter. Unsere Projekterfahrung reicht von der Automation über die Optimierung von Datenbanken und Schnittstellen bis hin zur Prozessgestaltung und dem Testen sowie der fachlichen Unterstützung in übergreifenden Projekttätigkeiten. Wenn wir Sie als verlässlicher Partner bei Ihrem Projekt unterstützen können, oder Sie weitere Fragen zu diesem oder verwandten Themen haben, freuen wir uns auf Ihre Kontaktaufnahme.
Literaturverzeichnis
1https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
2https://www.eiopa.europa.eu/document/download/9f9d0023-6667-4985-a7fd-b7b3d9f6e0d9_en?filename=JC%202024-29%20-%20Final%20report_DORA%20RTS%20on%20TLPT.pdf
3https://www.bafin.de/DE/Aufsicht/DORA/Digitale_Resilienz_TLPT/Digitale_Resilienz_TLPT_node.html
4https://www.oenb.at/en/financial-market/tiber-at.html
Die zweite Tranche ist veröffentlicht. Was die finalen Entwürfe bereithalten.
Weiterlesen >>>
Meldung von IKT-bezogenen Vorfällen. Herausforderungen im Detail.
Weiterlesen >>>
Schätzung der Bruttokosten und Bruttoverluste. Worauf es bei deren Ermittlung ankommt.
Weiterlesen >>>
Threat-Led Penetration Testing. Was bedeutet das Red Teaming für die Finanzinstitute.
Weiterlesen >>>