Der Digital Operational Resilience Act: So gelingt die Umsetzung
Mod IT Services
von Sebastian Brabetz, Mod IT Services
Das Datenleck in der Datenübertragungssoftware Moveit hat Banken und Versicherer erschüttert. Monatelang blieb eine Schwachstelle in der Software unentdeckt, sodass diese von der kriminellen Hackergruppe Clop ausgenutzt werden konnte. Weltweit sind hunderte Unternehmen und Behörden Opfer des Datendiebstahls, unter anderem die Commerzbank, die Direktbank ING und die Deutsche Bank. Aber auch ein für die Finanzbranche wichtiger Dienstleister aus Deutschland.Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) warnt vor dem Risiko durch externe Dienstleister. Denn ein starkes – und teures – Sicherheitssystem nützt auch den großen Finanzinstituten wenig, wenn es Schwachstellen in der Wertschöpfungskette gibt.”
Die Europäische Union (EU) möchte daher mehr Cyber-Resilienz im europäischen Finanzsektor schaffen. Hier kommt der Digital Operational Resilience Act ins Spiel.
DORA und was dahintersteckt
Der Digital Operational Resilience Act, kurz DORA, ist am 16. Januar 2023 in Kraft getreten. Er gilt grundsätzlich für alle regulierten Finanzunternehmen in der EU und insbesondere auch für Drittdienstleister der Informations- und Kommunikationstechnik (IKT). Die betroffenen Unternehmen haben ab Inkrafttreten 24 Monate Zeit, die Anforderungen nach DORA zu erfüllen. Welche Anforderungen sind das genau?
DORA soll einen umfangreichen Rahmen zur Überwachung und Meldung IKT-bezogener Vorfälle etablieren.”
Unternehmen stehen zukünftig stärker in der Pflicht, das IKT-Risikomanagement in ihrem Betrieb zu optimieren und zu kontrollieren. Dazu gehört die Entwicklung von geeigneten Plänen, um auf digitale Störungen vorbereitet zu sein. Zur Meldung dieser Störungen sollen Managementprozesse installiert werden.
Eine Neuerung ist dabei die Überwachung der IKT-Drittanbieter.”
Dabei werden IKT-Dienstleister, die besonders kritisch für die Betriebsfähigkeit des Finanzsektors sind, gesondert durch die European Supervisory Authorities (ESA) überwacht. Die europäischen Behörden werden zudem intensiver im Informationsaustausch mit den Unternehmen stehen. Diese sind zukünftig verpflichtet, nicht nur IKT-Vorfälle regelmäßig zu melden, sondern auch ihre Risikomanagementpraktiken offenzulegen. Im Gegenzug stellen die Aufsichtsbehörden den Finanzunternehmen relevante anonymisierte Informationen über Cyberrisiken bereit. Konkrete Maßnahmen können Finanzunternehmen und IKT-Drittdienstleister zur Stärkung ihrer operationellen Widerstandsfähigkeit ergreifen. Dazu sollten sie Programme implementieren, die regelmäßig das Sicherheitssystem auf Schwachstellen und Lücken prüfen. Diese Tests legen den Grundstein für eine solide Sicherheitsstrategie.
Schwachstellen managen
Der erste Schritt, um den DORA-Anforderungen nachzukommen, ist ein solides Patchmanagement für alle Systeme, ob Windows, Linux oder andere Open-Source-Komponenten. Doch auch das beste Patchmanagement ist nie komplett: Manche Systeme fallen aus der kontrollierten Netzwerk-Architektur heraus. Andere sind zwar bei den Windows Server Update Services (WSUS) hinterlegt, installieren aber dennoch keine Updates, oder diese sind fehlerhaft. Das bietet willkommene Angriffsziele für Hacker.
Daher ist die Planung und Umsetzung eines langfristigen Schwachstellenmanagements essenziell, das regelmäßig und professionell Scans durchführt.”
Der Schwachstellenscanner spürt systematisch Lücken im Patchmanagement auf und schlägt Alarm, wenn mit einer Konfiguration etwas nicht stimmt, Passwörter unsicher sind oder Updates mittel WSUS auf einem Server nicht mehr funktionieren. Werden diese Sicherheitslücken mit einem etablierten Schwachstellenmanagement-Prozess kontrolliert, sind im nächsten Schritt Penetrationstests (auch Pentesting genannt) sinnvoll.
Pentesting – aber automatisiert
Die Zahl der Cyberangriffe steigt und die Hacker gehen immer professioneller vor. Der Druck ist für IT-Abteilungen entsprechend hoch und die Kapazitäten oft nicht ausreichend, um diesem Trend entgegenzuwirken.
Entlastung bietet die Automatisierung. Speziell: automatisierte Pentests.”
Für die Ausführung benötigt man weder spezielle Hardware, noch tiefgehende Expertise. Die Software wird auf einem performanten Endgerät oder einem Server installiert. Zudem ist eine NVIDIA Grafikkarte mit einer hohen Leistung nötig, damit Passwort-Hashes in Echtzeit geknackt werden können. Im nächsten Schritt muss der Umfang festgelegt werden, in dem der Scan das Netzwerk testen soll. Denn zum Teil müssen bestimmte Bereiche des Netzwerks nicht in den Test integriert werden, damit es zu keinen Betriebsunterbrechungen kommt. Dafür muss bekannt sein, welche IP-Kreise welche Systeme umfassen. Ist geklärt, welche Systeme getestet werden sollen und in welchem Umfang, kann der eigentliche Test starten.
In den Schuhen eines Hackers
Autor Sebastian Brabetz, Mod IT Services
Sebastian Brabetz ist in der Geschäftsleitung bei Mod IT Services (Website) für die Professional Security Solutions verantwortlich. Er ist als „Offensive Security Certified Professional“ sowie als „Tenable Certified Security Engineer“ zertifiziert und hat darüber hinaus zwei Bücher zum Thema „Penetration Testing“ veröffentlicht.Der Clou beim automatisierten Pentesting:
Das Infiltrieren des Systems ist keine Simulation. Es wird tatsächlich gehackt.”
Sebastian Brabetz ist in der Geschäftsleitung bei Mod IT Services (Website) für die Professional Security Solutions verantwortlich. Er ist als „Offensive Security Certified Professional“ sowie als „Tenable Certified Security Engineer“ zertifiziert und hat darüber hinaus zwei Bücher zum Thema „Penetration Testing“ veröffentlicht.Das Infiltrieren des Systems ist keine Simulation. Es wird tatsächlich gehackt.”
Denn nur wenn das System aus der Perspektive eines Hackers angegriffen wird, findet man die schädlichsten Lücken. Dafür muss der Exploit vollständig durchgeführt werden. Das ist mit einem herkömmlichen Schwachstellenscanner nicht möglich. Auch hier bieten automatisierte Pentests die Lösung. Mit Hilfe der sicheren Echtzeit-Angriffe der Tests wird genau dokumentiert, wie sich Hacker Zugang zum Netzwerk verschaffen und wie sie weiter vorgehen. Die gefundenen Schwachstellen werden in Prioritäten eingeteilt, sodass die gefährlichsten Sicherheitslücken so schnell wie möglich erkannt und geschlossen werden können. Die Software liefert Lösungsvorschläge wie zum Beispiel Group Policy Object-Konfiguration (GPO) direkt mit.
Von SIEM bis SOC
Cybersecurity ist kein Nine-to-five-Job. Hacker können jeder Zeit angreifen. Wie das Moveit-Datenleck zeigt, sind Schwachstellen, die lange Zeit unentdeckt bleiben, fatal. Die effiziente Lösung: Screening rund um die Uhr. Eine automatisierte Sicherheitslösung, die Daten in Echtzeit auf Anomalien prüft, ist das Security Information and Event Management (SIEM). SIEM-Tools sind Teil von Security Operation Centers (SOCs). Diese bilden sozusagen das Sahnehäubchen auf einer IT-Sicherheitsstrategie. Denn ein SOC besteht aus einem unternehmensinternen oder externen Team von IT-Sicherheitsexperten, die das IT-Netzwerk eines Unternehmens rund um die Uhr überwachen. Dadurch werden Sicherheitsrisiken sofort erkannt und können schnellstmöglich behoben werden. So haben Hacker keine Chance, monatelang unentdeckt zu bleiben.Sebastian Brabetz, Mod IT Services
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/156758
Schreiben Sie einen Kommentar