DORA2026-02-2413 min Lesezeit

DORA TLPT: Cost, Scope, and Who Needs Threat-Led Penetration Testing

Auch verfügbar auf:English

Inhaltsverzeichnis

  1. 01Einleitung
  2. 02Das zentrale Problem
  3. 03Warum dies jetzt dringend ist
  4. 04Die Lösungs-Framework
  5. 05Häufige Fehler um zu vermeiden
  6. 06Werkzeuge und Ansätze
  7. 07Kosten von DORA TLPT: Was Sie wissen müssen
  8. 08Erste Schritte: Ihre nächsten Maßnahmen
  9. 09Häufig gestellte Fragen
  10. 10Schlüsselerkenntnisse

DORA TLPT: Kosten, Umfang und wer benötigt eine gezielte Penetrationstestung

Einleitung

In der Finanzbranche Europas ist die Compliance ein zentrales Thema. Artikel 6 der Digital Operational Resilience Act (DORA) verlangt von Finanzdienstleistern, ein umfassendes Informations- und Kommunikationstechnologie-Risikomanagement (ICT-Risikomanagement) aufzubauen. Häufig wird hierbei jedoch die Bedeutung von Threat-Led Penetration Testing (TLPT) unterschätzt. Diese Herausforderung betrifft nicht nur die technische Umsetzung, sondern hat auch gravierende Folgen für die Finanzierung, die Compliance und den Ruf eines Unternehmens.

Die TLPT ist ein spezifischer Ansatz der Penetrationstestung, der auf der Identifizierung und Bewertung von Bedrohungen basiert. Die Umsetzung dieser Vorgehensweise ist entscheidend, um sicherzustellen, dass das Unternehmen die Anforderungen von DORA erfüllt und potenzielle Schwachstellen frühzeitig erkennen kann. Dies ist von besonderer Bedeutung, da die Nichtbefolgung von DORA-Bestimmungen mit Geldbußen bis zu 6.000.000 EUR oder 10 % des jährlichen Gesamtumsatzes des Unternehmens(giltArticle 48 DORA) geahndet werden kann.

Das zentrale Problem

Die TLPT wird häufig nur oberflächlich verstanden, und die Realität ist viel komplexer. Die Kosten einer TLPT umfassen nicht nur die Direktausgaben für die Durchführung des Tests, sondern auch die indirekten Kosten, die durch die anschließende Korrektur von Schwachstellen und dieOperational Disruption entstehen. Dazu kommen die Risiken, die dem Unternehmen durch die Offenlegung von Schwachstellen entstehen, wenn diese von externen Hackern oder Wettbewerbern entdeckt werden.

In der Praxis führt die Unterbewertung der TLPT zu einer suboptimalen Identifizierung von Risiken und Schwachstellen. Dies kann dazu führen, dass Unternehmen bei Prüfungen durch die Finanzaufsicht oder bei Schadensfällen nicht über die erforderlichen Belege und Belege verfügen, um die angemessene Umsetzung von Sicherheitsmaßnahmen nachzuweisen. Dies kann nicht nur zu finanziellen Sanktionen führen, sondern auch zu einer erheblichen Vertrauens- und Reputationsschädigung.

Die TLPT sollte also nicht nur als technische Aufgabe, sondern auch als kritischer Bestandteil des Compliance- und Risikomanagements betrachtet werden. Artikel 6 Absatz 1 DORA verlangt von Finanzunternehmen, ein angemessenes Risikomanagement aufzubauen, das alle Aspekte des ICT-Betriebs abdeckt. Eine effektive TLPT ist ein Schlüsselinstrument, um diesen Anforderungen gerecht zu werden.

Warum dies jetzt dringend ist

In den letzten Jahren hat sich die Bedeutung der Cybser-Sicherheit und der ICT-Resilienz immer weiter gesteigert. Dies ist sowohl auf die strenger werdenden Vorgaben der regulatorischen Behörden zurückzuführen, wie auch auf den wachsenden Druck aus dem Markt, der von den Unternehmen eine höhere Sicherheit und Compliance verlangt.

Die europäische Verordnung NIS2, die bald in Kraft treten wird, stellt noch einmal die Notwendigkeit von Penetrationstestungen und anderen Sicherheitsmaßnahmen hervor. Unternehmen, die nicht in der Lage sind, die erforderlichen Tests durchzuführen und die Ergebnisse aufrecht zu erzwingen, riskieren es, von den Finanzaufsichtsbehörden sanktioniert zu werden.

Die Kunden erwarten heute ein hohes Maß an Sicherheit und Compliance von ihren Finanzdienstleistern. Unternehmen, die nicht in der Lage sind, die erforderlichen Tests durchzuführen und die Ergebnisse aufrecht zu erzwingen, verlieren das Vertrauen ihrer Kunden und können somit wettbewerbsfähig werden.

Die Lücke zwischen der aktuellen Situation, in der sich die meisten Unternehmen befinden, und den Anforderungen, die ihnen gestellt werden, ist beträchtlich. Dies zeigt sich auch in der Tatsache, dass viele Unternehmen die Durchführung von TLPT nicht in ihren Budgets priorisieren oder die notwendigen Ressourcen nicht bereitstellen. Dies kann jedoch schwerwiegende Folgen haben, da die Nichterfüllung der Vorgaben von DORA und NIS2 nicht nur finanzielle Sanktionen, sondern auch betriebliche Störungen und Reputationsschäden nach sich ziehen kann.

Zusammenfassend ist es von entscheidender Bedeutung, dass Unternehmen die TLPT nicht als Optionalität, sondern als zentralen Bestandteil ihres Compliance- und Risikomanagements betrachten. Dies ist notwendig, um den Anforderungen von DORA und anderen regulatorischen Vorgaben gerecht zu werden und gleichzeitig das Vertrauen der Kunden zu erhalten und den Wettbewerbsvorteil aufrechtzuerhalten.

Die Lösungs-Framework

Um die Herausforderungen im Zusammenhang mit der Durchführung von Threat-Led Penetration Testing (TLPT) gemäß den Anforderungen der DORA (Digital Operational Resilience Act) zu bewältigen, müssen Finanzinstitute einen schrittweisen Ansatz verfolgen. Hier sind einige konkrete Empfehlungen mit spezifischen Umsetzungsdetails, die auf relevante Verordnungsartikel und Anforderungen verweisen.

1. Identifizierung relevanter Systeme und Prozesse

Zunächst müssen Sie die Systeme und Prozesse identifizieren, die von der DORA betroffen sind. Artikel 6 Absatz 1 der DORA verlangt, dass finanzielle Institute einen ICT-Risikengesamtmanagement-Rahmen aufrechterhalten. Ausgehend von dieser Anforderung sollten Sie alle Ihre ICT-Systeme und Prozesse evaluieren und ermitteln, welche von den Anforderungen der DORA betroffen sind.

2. Risikobewertung

Als nächstes sollten Sie eine umfassende Risikobewertung durchführen. Sie müssen die potenziellen Risiken identifizieren, die Ihre Systeme und Prozesse beeinträchtigen können, und diese bewerten. Dies sollte anhand der Verordnungsartikel und Anforderungen der DORA erfolgen. Artikel 6 Absatz 2 der DORA verlangt, dass finanzielle Institute die Risiken ihrer Systeme und Prozesse bewerten und Prioritäten setzen.

3. Entwicklung eines Penetration-Testing-Plans

Auf der Grundlage Ihrer Risikobewertung sollte der nächste Schritt die Entwicklung eines Penetration-Testing-Plans sein. Dieser Plan sollte die Zielysteme und Prozesse definieren, die getestet werden sollen, sowie die Methoden und Ansätze, die angewendet werden sollen. Artikel 15 der DORA fordert von Finanzinstituten, dass sie wissenschaftliche Methoden und Techniken zur Identifizierung von Schwachstellen und Risiken in ihren Systemen und Prozessen anwenden.

4. Durchführung des Penetration-Tests

Nachdem der Penetration-Testing-Plan erstellt wurde, kann der Test durchgeführt werden. Dies sollte von einem qualifizierten und unabhängigen Penetration-Testing-Anbieter durchgeführt werden, der über die erforderlichen Fähigkeiten und Erfahrungen verfügt. Artikel 6 Absatz 1 der DORA verlangt, dass Finanzinstitute die erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um Risiken zu identifizieren, bewerten und minimieren.

5. Evaluierung und Umsetzung von Korrekturen

Schließlich müssen Sie die Ergebnisse des Penetration-Tests auswerten und notwendige Korrekturen umsetzen. Dies sollte in enger Zusammenarbeit mit Ihrem Penetration-Testing-Anbieter und Ihren internen Teams erfolgen. Artikel 6 Absatz 2 der DORA verlangt von Finanzinstituten, dass sie angemessen auf ermittelte Risiken reagieren und die Integrität, Verfügbarkeit und Vertraulichkeit ihrer Systeme und Prozesse gewährleisten.

Was gute Umsetzung im Vergleich zu "nur über die Bühne bringen" aussieht, ist, wenn Finanzinstitute einen umfassenden und strukturierten Ansatz verfolgen, um die TLPT-Anforderungen der DORA zu erfüllen. Dies beinhaltet nicht nur die Durchführung von Penetration-Tests, sondern auch die kontinuierliche Überwachung und Evaluierung von Risiken, die regelmäßige Aktualisierung von Penetration-Testing-Plänen und die Umsetzung von Verbesserungen und Korrekturen.

Häufige Fehler um zu vermeiden

Es gibt einige häufige Fehler, die Organisationen machen, wenn sie versuchen, die Anforderungen der DORA in Bezug auf TLPT zu erfüllen. Hier sind die Top 3:

  1. Nicht ausreichende Risikobewertung: Viele Unternehmen führen keine umfassende Risikobewertung durch. Dies führt dazu, dass wichtige Systeme und Prozesse nicht identifiziert werden oder dass Prioritäten nicht korrekt gesetzt werden. Stattdessen sollten Organisationen eine detaillierte und systematische Risikobewertung durchführen, um die relevanten Systeme und Prozesse zu identifizieren und Prioritäten zu setzen.

  2. Fehlende Penetration-Testing-Pläne: Einige Finanzinstitute entwickeln keine sorgfältig konzipierten Penetration-Testing-Pläne. Dies führt dazu, dass Tests unzureichend oder nicht zielgerichtet durchgeführt werden. Organisationen sollten einen detaillierten und Penetration-Testing-Plan erstellen, der die Zielsysteme, Methoden und Ansätze definiert.

  3. Nicht umgesetzte Korrekturen: Nach Abschluss des Penetration-Tests sind manche Organisationen nicht gewillt oder in der Lage, notwendige Korrekturen umzusetzen. Dies kann dazu führen, dass Schwachstellen bestehen bleiben und Risiken unvermindert sind. Stattdessen sollten Unternehmen die Ergebnisse des Penetration-Tests gründlich auswerten und notwendige Korrekturen umsetzen, um Risiken zu minimieren und die Sicherheit ihrer Systeme und Prozesse zu erhöhen.

Werkzeuge und Ansätze

Es gibt verschiedene Ansätze, um die Anforderungen der DORA in Bezug auf TLPT zu erfüllen. Hier sind zwei Hauptansätze:

  1. Manuelle Vorgehensweise:
  • Vorteile: Die manuelle Vorgehensweise ermöglicht eine maßgeschneiderte und detaillierte Analyse Ihrer Systeme und Prozesse. Sie können die Tests an Ihre spezifischen Bedürfnisse und Anforderungen anpassen.
  • Nachteile: Diese Methode kann zeitaufwendig und kostspielig sein, insbesondere für große und komplizierte Systeme. Sie erfordert auch eine hohe Menge an und Erfahrung.
  • Wann es funktioniert: Die manuelle Vorgehensweise eignet sich am besten für Organisationen mit begrenzten Ressourcen oder für kleinere und weniger komplexe Systeme.
  1. Automatisierte Compliance-Plattformen:
  • Was zu suchen: Bei der Auswahl einer automatisierten Compliance-Plattform sollten Sie nach Funktionen suchen, die die gesamte Compliance-Journey abdecken, von der Risikobewertung über die Durchführung von Penetration-Tests bis hin zur Evaluierung und Umsetzung von Korrekturen. Darüber hinaus sollten Sie eine Plattform suchen, die 100% Datenresidenz in der EU bietet und speziell für Finanzdienstleister in der EU konzipiert wurde.
  • Matproof: Matproof ist eine Compliance-Automatisierungsplattform, die speziell für die Anforderungen der DORA und anderer wichtiger Compliance-Standards wie SOC 2, ISO 27001, GDPR und NIS2 konzipiert wurde. Sie bietet eine KI-gestützte Policy-Generierung in Deutsch und Englisch, automatisierte Beweissammlungen von Cloud-Anbietern und einen Endpunkt-Compliance-Agenten für Geräteüberwachung. Matproof bietet auch 100% Datenresidenz in der EU (gehostet in Deutschland) und ist speziell für Finanzdienstleister in der EU entwickelt worden.

Zusammenfassend ist die Durchführung von Threat-Led Penetration Testing gemäß den Anforderungen der DORA ein komplexes Unterfangen, das eine sorgfältige Planung und Durchführung erfordert. Eine umfassende und strukturierte Herangehensweise, die die gesamte Compliance-Journey abdeckt, ist entscheidend für den Erfolg. Dies schließt die Identifizierung relevanter Systeme und Prozesse, die Risikobewertung, die Entwicklung von Penetration-Testing-Plänen, die Durchführung von Tests und die Evaluierung und Umsetzung von Korrekturen ein. Darüber hinaus ist es wichtig, häufige Fehler zu vermeiden und die richtigen Werkzeuge und Ansätze zu wählen, um die Anforderungen der DORA effektiv zu erfüllen.

Kosten von DORA TLPT: Was Sie wissen müssen

Die Kosten für TLPT sind vielfältig und hängen von verschiedenen Faktoren ab. Hier sind einige Aspekte, die Sie bei der Planung Ihrer Budgets berücksichtigen sollten:

  1. Umfang der TLPT: Je größer und komplexer Ihre Infrastruktur ist, desto höher werden die Kosten für TLPT sein. Eine umfassende Prüfung erfordert mehr Zeit und Ressourcen als eine gezielte Analyse einer bestimmten Anwendung oder einem System.

  2. Region und Markt: Die Kosten für TLPT können auch von der Region und dem Markt abhängen. In einigen Ländern oder Regionen sind die Preise für TLPT-Dienste möglicherweise höher als in anderen.

  3. Compliance-Bedürfnisse: Wenn Sie mehrere Compliance-Standards oder -Vorschriften erfüllen müssen, können sich die Kosten für TLPT signifikant erhöhen. Jede hat seine eigenen Anforderungen und Vorgaben, die berücksichtigt werden müssen.

  4. Ein- oder Mehrmaligkeit: Wenn Sie planen, TLPT nur einmal durchzuführen, sind die Kosten möglicherweise geringer als bei wiederholten Durchführungen im Laufe des Jahres.

Es ist wichtig, die Kosten für TLPT im Rahmen Ihrer Compliance-Strategie und -Budgets zu betrachten. Es kann sinnvoll sein, externe Experten oder Beratungsunternehmen einzuschalten, um Ihnen bei der Planung und Umsetzung einer kosteneffizienten TLPT-Strategie zu helfen.

##DORA TLPT

TLPT ist ein entscheidender Bestandteil einer umfassenden Compliance- und IT-Sicherheitsstrategie, insbesondere für Organisationen, die unter DORA fallen. Hier sind einige der Hauptanforderungen und -bereiche, die Sie bei der Planung Ihrer TLPT-Aktivitäten berücksichtigen sollten:

  1. Muster 6(1) von DORA: Finanzunternehmen sind verpflichtet, einen ICT-Risikomanagement-Rahmen zu pflegen. TLPT sollte ein integraler Bestandteil dieses Rahmens sein, um potenzielle Schwachstellen und Risiken im ICT-Bereich zu identifizieren und zu beheben.

  2. Artikel 28(2) von DORA: Dies fordert Finanzunternehmen auf, angemessene Sicherheitsmaßnahmen zu ergreifen, um die Integrität, Vertraulichkeit und Verfügbarkeit ihrer Systeme und Daten zu gewährleisten. TLPT kann dabei helfen, Schwachstellen und potenzielle Angriffsvektoren zu identifizieren und zu beheben.

  3. DORA-Kompatibilität: Stellen Sie sicher, dass Ihre TLPT-Aktivitäten den Anforderungen von DORA entsprechen und dass Sie alle relevanten Compliance-Standards und -Vorschriften einhalten.

  4. Individuelle Anforderungen: Jede Organisation hat ihre eigenen Compliance- und Sicherheitsanforderungen. Stellen Sie sicher, dass Ihre TLPT-Aktivitäten an Ihre spezifischen Bedürfnisse und Anforderungen angepasst sind.

TLPT sollte ein integraler Bestandteil Ihrer Compliance- und IT-Sicherheitsstrategie sein. Es ist wichtig, die Anforderungen von DORA und anderer relevanter Compliance-Rahmenwerke zu berücksichtigen, wenn Sie Ihre TLPT-Aktivitäten planen und umsetzen.

Erste Schritte: Ihre nächsten Maßnahmen

Um mit der Umsetzung von TLPT und DORA beginnen zu können, haben wir Ihnen einen umfassenden 5-Schrittige Aktionsplan zusammengestellt, den Sie in dieser Woche umsetzen können:

  1. Bewerten Sie Ihre aktuellen Compliance- und IT-Sicherheitsbedürfnisse. Machen Sie eine detaillierte Analyse Ihrer Infrastruktur, Anwendungen und Systeme, um die relevanten Compliance- und Sicherheitsanforderungen zu identifizieren.

  2. Erstellen Sie ein Compliance-Handbuch oder eine Anleitung für Ihre Organisation.Dieses Dokument sollte alle relevanten Compliance-Standards, -Vorschriften und -Rahmenwerke, wie DORA, enthalten und die Verantwortlichkeiten und Verfahren für die Umsetzung von TLPT festlegen.

  3. Trainieren Sie Ihre Mitarbeiter und Teams in Compliance und IT-Sicherheit. Stellen Sie sicher, dass alle Mitarbeiter über die erforderlichen Fähigkeiten und Kenntnisse verfügen, um TLPT-Aktivitäten und Compliance-Aspekte zu verwalten und durchzuführen.

  4. beauftragen Sie externe Experten oder Beratungsunternehmen, um Ihnen bei der Planung und Umsetzung von TLPT zu helfen. Diese können Ihnen wertvolle Einblicke und bewährte Methoden zu Compliance und IT-Sicherheit geben.

  5. Bewerten Sie regelmäßig die Effektivität Ihrer TLPT-Aktivitäten und Compliance-Strategie. Hierbei können automatisierte Tools und Lösungen, wie z. B. Matproof, helfen, den Prozess zu optimieren und die Compliance und Sicherheit Ihrer Organisation zu gewährleisten.

Zusätzlich zu diesem Aktionsplan empfehlen wir Ihnen, sich mit den offiziellen EU-/BaFin-Publikationen über DORA und TLPT vertraut zu machen, um mehr über die jeweiligen Anforderungen und -richtlinien zu erfahren.

Häufig gestellte Fragen

Hier sind einige häufig gestellte Fragen zu DORA, TLPT und den damit verbundenen Anforderungen und Vorgehensweisen:

  1. Muss ich TLPT als Finanzunternehmen unter DORA durchführen?

Ja, nach Artikel 6(1) von DORA sind Finanzunternehmen verpflichtet, einen ICT-Risikomanagement-Rahmen zu pflegen und angemessene Sicherheitsmaßnahmen zu ergreifen. TLPT sollte ein integraler Bestandteil dieses Rahmens sein, um potenzielle Schwachstellen und Risiken im ICT-Bereich zu identifizieren und zu beheben.

  1. Wie oft sollte ich TLPT durchführen?

Die Häufigkeit von TLPT hängt von mehreren Faktoren ab, wie zum Beispiel der Größe und Komplexität Ihrer Infrastruktur, den Compliance-Anforderungen und den spezifischen Bedürfnissen Ihrer Organisation. Es kann sinnvoll sein, TLPT mindestens einmal im Jahr durchzuführen und bei Bedarf auch häufiger.

  1. Wer kann TLPT durchführen?

TLPT kann von internen Teams oder externen Experten oder Beratungsunternehmen durchgeführt werden. Es ist wichtig, dass die verantwortlichen Personen über die erforderlichen Fähigkeiten, Kenntnisse und Erfahrung verfügen, um TLPT-Aktivitäten durchzuführen und umzusetzen.

  1. Wie kann ich sicherstellen, dass meine TLPT-Aktivitäten den Anforderungen von DORA entsprechen?

Stellen Sie sicher, dass Ihre TLPT-Aktivitäten an die spezifischen Anforderungen von DORA angepasst sind und dass Sie alle relevanten Compliance-Standards und -Vorschriften einhalten. Es kann hilfreich sein, externe Experten oder Beratungsunternehmen einzuschalten, um Ihnen bei der Umsetzung von TLPT zu helfen.

  1. Gibt es Tools oder Lösungen, die mir bei der Umsetzung von TLPT helfen können?

Ja, es gibt verschiedene Tools und Lösungen, die Ihnen bei der Planung, Umsetzung und Automatisierung von TLPT helfen können. Eine solche Lösung ist zum Beispiel Matproof, ein Compliance-Automatisierungs-Plattform, die speziell für die Anforderungen von DORA und anderen Compliance-Rahmenwerken entwickelt wurde.

Schlüsselerkenntnisse

Zusammenfassend sind hier die wichtigsten Erkenntnisse aus diesem Beitrag:

  1. TLPT ist ein wichtiger Bestandteil einer umfassenden Compliance- und IT-Sicherheitsstrategie, insbesondere für Organisationen, die unter DORA fallen.

  2. Die Kosten für TLPT können variieren und hängen von verschiedenen Faktoren wie Umfang, Region, Compliance-Bedürfnissen und Ein- oder Mehrmaligkeit ab.

  3. Die Anforderungen und -bereiche von TLPT müssen an die spezifischen Compliance- und Sicherheitsbedürfnisse Ihrer Organisation angepasst werden.

  4. Eine regelmäßige Bewertung und Anpassung Ihrer TLPT-Aktivitäten und Compliance-Strategie ist essenziell, um die Effektivität und Wirksamkeit zu gewährleisten.

  5. Tools und Lösungen wie Matproof können dabei helfen, den Prozess von TLPT zu automatisieren und zu optimieren und Ihnen mehr Zeit und Ressourcen für andere Compliance- und IT-Sicherheitsaktivitäten zu sparen.

Wenn Sie Interesse an einer kostenlosen Bewertung oder einem Beratungsgespräch haben, um mehr über Matproof und seine Funktionen und Vorteile für Ihre Organisation zu erfahren, besuchen Sie unsere Website https://matproof.com/contact .

DORA TLPT costTLPT scopeTLPT requirementsthreat-led penetration testing who

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern