Banken stehen unter Druck, die EU-Verordnung DORA schnellstens umzusetzen. Laut Check Point Research gab es 2022 in der Finanzbranche wöchentlich durchschnittlich 1.131 Cyberattacken – ein Anstieg von 52 Prozent in einem Jahr. Mehr als zwei Drittel der großen Institute waren von mindestens einem Cyberangriff betroffen.
Die EU-Verordnung DORA
Die EU-Verordnung „Digital operational resilience for the financial sector and amending regulations“ (EU-Verordnung 2022/2254 – kurz DORA) gibt der Branche einen einheitlichen Gesetzesstandard, um die Anfälligkeit für ITK-Störungen und Cyberbedrohungen entlang der gesamten Wertschöpfungskette zu mindern. Ein entscheidendes Merkmal der Verordnung sind regelmäßige Tests. Mindestens einmal pro Jahr müssen die Systeme einem Test auf unterschiedliche Bedrohungsszenarien unterzogen werden.
Penetration Tests in Eigenregie durchführen
Die Abwälzung der Verantwortung an Dritte – ITK-Dienstleister also – wird kritisch betrachtet. „Die BaFin führt explizit an, dass die Konzentration auf Mehrmandantendienstleister – also für mehrere Unternehmen tätige Firmen – Risiken für den Gesamtmarkt implizieren. Banken sollten also dringlich versuchen, Maßnahmen wie den geforderten Penetration Test selbstständig zur Identifikation von Risiken durchzuführen“, sagt Rainer M. Richter, IT-Experte und Vice President EMEA & APAC bei Horizon3.ai.
Autonome Penetration Tests für die Finanzbranche
Horizon3.ai hat mit NodeZero eine Technologie entwickelt, die über autonome Penetration Tests reale Angriffsszenarien auf die gesamte IT-Infrastruktur durchführt. Die Technologie von Horizon3.ai arbeitet über eine datenschutzkonforme und für Europa in Deutschland gehostete Cloud-Plattform und kann unabhängig von einem externen Dienstleister oder einem professionellen Pentester jederzeit und so oft wie gewünscht während des laufenden Tagesgeschäfts durchgeführt werden. So werden nicht nur Schwachstellen aufgedeckt, sondern auch die vorhandenen Schutzmechanismen – Hard- und Software – auf ihre Wirksamkeit überprüft.
Präventionsmaßnahmen spezifizieren
Auf Grundlage der Erkenntnisse aus der Testdurchführung sind institutsindividuelle Präventionsmaßnahmen zu spezifizieren. Diese setzen bereits im Erkennen von Bedrohungen an und reichen bis zu Regelungen von Backupmaßnahmen.
Zeitdruck für Banken
Bei Banken, die bereits vorab die regulatorischen Anforderungen umgesetzt haben, besteht kein Grund zur Eile. Für alle anderen Banken wird es jedoch höchste Zeit, die EU-Verordnung DORA umzusetzen und Penetration Tests in Eigenregie durchzuführen.