DORA, der „Digital Operational Resilience Act“, setzt neue Maßstäbe für die Cybersicherheit in der Finanzbranche. Während viele Unternehmen bereits mit den Anforderungen der vier Säulen vertraut sind, fehlt oft ein klarer Weg zur Umsetzung der Vorgaben. Dieser Artikel bietet praktische Einblicke und einen strategischen Ansatz, wie Ihr Unternehmen für die Säule „Testen der digitalen operationalen Resilienz“ die DORA-Konformität erreichen kann.
DORA wurde eingeführt, um das operative Risiko im Finanzsektor zu minimieren und eine robuste digitale Widerstandsfähigkeit zu gewährleisten. Als integraler Bestandteil sind regelmäßige IKT-Sicherheitstests unerlässlich, um Schwachstellen frühzeitig zu erkennen und zu beheben. Hier kommt unser maßgeschneiderter Advanced Threat Inspection (ATI) Service ins Spiel. Dieser Ansatz bietet eine umfassende Prüfung der Sicherheitslage und ermöglicht gezielte Verbesserungen und Maßnahmen zur Behebung der gefundenen Schwachstellen. Die folgenden Punkte zeigen, wie eine effektive Prüfung erfolgen kann. Unser "Advanced Threat Inspection" Service beinhaltet die folgenden Leistungen, die je nach Priorität individuell abgestimmt werden:
Scans und Bewertungen öffentlicher IPs/Services, gefolgt von einer gezielten Überprüfung dedizierter Systeme, sogenannter Fokus-Systeme. Fokus-Systeme sind Systeme, die entweder ein "leichtes Ziel" sind, also ein Quick Win und/oder Systeme die einen "High Reward" darstellen.
Überprüft interne Server/Services, den Client und Detailüberprüfungen von Fokus-Systemen wie zum Beispiel Active Directory, File-Server, ERP & CRM-Systeme
Spezifische Penetrationtests für dedizierte Systeme wie zum Beispiel Schlüssel-Systeme. Das können unter Anderem Kundenportale, Active Directory, ERP-Systeme, HR-Datenbanken sein.
Threat-Led Penetration Tests, oft auch als 'Ethical Red Teaming' bezeichnet, stellen die fortschrittlichste Methode der Penetrationstests dar und ermöglichen es Unternehmen, ihre Cyber-Resilienz gründlich zu bewerten und zu stärken. TLPTs werden als der kontrollierte Versuch definiert, die Cyber-Resilienz eines Unternehmens durch einen simulierten Angriff von ethischen Hackern zu komprmittieren. Die Umsetzung von Threat-Led Penetration Testing (TLPT) innerhalb des Rahmens von TIBER-EU und dem Digital Operational Resilience Act (DORA) ist insbesondere für größere und systemrelevante Finanzinstitutionen vorgesehen. Beispielsweise große Banken und Versicherungen, wichtige Finanzmarkteinrichtungen und signifikante Investmentfirmen.
Best-Practice-Reviews und "Threat-Workshops" zur Verbesserung der Datensicherung.
Experten-Reviews des Netzwerks bzw. der Firewall Sicherheit.
Cloud Security Compliance Assessments, um die Security Konfiguration zu überprüfen.
Die Erreichung der DORA-Konformität stellt mit vier 4 Säulen eine Herausforderung dar, doch mit dem Advanced Threat Inspection Service sind Unternehmen bestens gerüstet, um das Digital Operational Resilience Testing systematisch und effizient anzugehen.
DORA tritt am 17.01.2025 in Kraft und erfordert noch viele Vorbereitungen. Lesen Sie den Artikel von Florian Kölbl, Business Advisor bei BearingPoint, über DORA-Konformität, die Umsetzung in Finanzunternehmen und die Folgen von Verzögerungen. Veröffentlicht in der Fachzeitschrift Versicherungswirtschaft am 02.08.2023.
Nutzen Sie unsere Expertise, um Schwachstellen zu identifizieren und Ihre Organisation widerstandsfähiger gegen digitale Bedrohungen zu machen.
Jetzt Beratungstermin vereinbaren!