DORA - Digital Operational Resilience Act
Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine umfassende Regulierung für Cybersicherheit, IKT-Risiken und digitale operationale Resilienz im Finanzsektor eingeführt.
Diese Verordnung spielt eine entscheidende Rolle dabei, den europäischen Finanzmarkt gegen Cyberrisiken und Vorfälle im Bereich der Informations- und Kommunikationstechnologie (IKT) zu schützen und zu stärken.
TIBER-EU: Ein Leitfaden für bedrohungsgeleitete Penetrationstests
2018 haben die Notenbanken des Europäischen Systems der Zentralbanken TIBER-EU (Threat Intelligence-based Ethical Red Teaming) eingeführt, ein umfassendes Rahmenwerk für bedrohungsgeleitete Penetrationstests. Dieser Leitfaden legt klare Regeln und Mindeststandards fest, nach denen Unternehmen ihre Cyber-Abwehrfähigkeiten überprüfen lassen können. Ziel dieser Tests ist es, Sicherheitslücken und Schwachstellen im Unternehmen aufzudecken, um gezielte Verbesserungen vorzunehmen. Ein TIBER-EU-Test gilt als erfolgreich, wenn er regelkonform durchgeführt wurde – das Bestehen ist nicht das Ziel. In den Mitgliedsstaaten, die TIBER-EU implementiert haben, wird die Teilnahme an diesen Tests wechselseitig anerkannt. TIBER-EU wird im Rahmen von DORA durch TLPT abgelöst.
TLPT: Thred-led Penetration Testing im Rahmen von DORA
Der Begriff "bedrohungsorientierte Penetrationstests (TLPT — Threat-Led Penetration Testing)" bezeichnet einen Rahmen, der Taktiken, Techniken und Verfahren realer Angreifer nachbildet, die als echte Cyberbedrohung wahrgenommen werden. Dieser Ansatz ermöglicht einen kontrollierten, maßgeschneiderten und erkenntnisgestützten (Red-Team-) Test der kritischen Live-Produktionssysteme eines Finanzunternehmens.
TLPT unterscheidet sich von traditionellen Pentests, die typischerweise darauf ausgerichtet sind, eine vollständige Testabdeckung einzelner Assets zu gewährleisten. DORA verlangt die Durchführung von TLPT als zusätzliches Instrument zu herkömmlichen, asset-basierten Pentests, jedoch nicht als deren Ersatz.