Digitale Zwillinge für Cybersicherheit: Unterstützung für DORA & Co

Schwerpunkt: Datenschutz & Datensicherheit

Indem digitale Zwillinge IT-Umgebungen präzise virtuell abbilden, ermöglichen sie proaktive Cybersicherheit auf einem neuen Level: Unternehmen können Risiken kontinuierlich simulieren, Abwehrmaßnahmen realitätsnah testen und strategische Entscheidungen auf fundierter Basis treffen, bevor Angreifer Schaden anrichten. Damit können sie regulierten Finanzunternehmen dabei helfen, Anforderungen aus DORA zu erfüllen.

von Udo Schneider, Governance, Risk & Compliance Lead Europe, Trend Micro

Ein digitaler Zwilling ist ein virtuelles Abbild eines physischen Produkts, Prozesses oder Systems. Er wird kontinuierlich mit Echtzeitdaten gespeist, um Verhalten, Interaktionen und Zustände zu simulieren, zu analysieren und zu überwachen – ohne die reale Umgebung zu beeinträchtigen. In der Finanzindustrie wird dieses Konzept seit Jahren erfolgreich eingesetzt, etwa zur Überwachung technischer Anlagen oder zur Optimierung von Wartungsintervallen. Übertragen auf die Cybersicherheit bildet ein Digital Twin die sicherheitsrelevante Struktur und das Verhalten einer digitalen Umgebung ab. Dabei geht es nicht um eine vollständige Kopie, sondern um eine Modellierung der Elemente, die für den jeweiligen Anwendungszweck relevant sind.

Ein Cybersecurity Digital Twin erfasst Infrastruktur, Datenflüsse, Identitäten, Kontrollmechanismen und Verhaltensweisen, um aussagekräftige Simulationen und Validierungen zu ermöglichen.”

Digitale Zwillinge reichen weiter als bisherige Ansätze zur proaktiven Security

Die Bedeutung von proaktiver Cybersicherheit ist heute hinlänglich bekannt: Viele Unternehmen haben bereits entsprechende Maßnahmen wie Red Teaming oder Pentesting etabliert – und auch DORA verlangt ausdrücklich die Durchführung von Threat-Led Penetration Testing.

Diese Maßnahmen sind zweifellos wertvoll, stellen aber immer nur eine Momentaufnahme dar. Da sie zudem mit einem hohen finanziellen und manuellen Aufwand verbunden sind, erfolgen sie nur sporadisch. In dynamischen Umgebungen, in denen sich Konfigurationen, Systeme und Risiken permanent verändern, reicht das nicht weit genug. Digitale Zwillinge ermöglichen ergänzend eine automatisierte, kontinuierliche Sicherheitsbewertung.

So unterstützen Digital Twins die DORA-Anforderungen

Ein zentrales Element von DORA ist der umfassende IKT-Risikomanagementrahmen, der unter anderem eine stets aktuelle Risikobewertung für Informations- und IT-Assets fordert (siehe z.B. Art. 6.2 und 6.3). Ein digitaler Zwilling in Kombination mit simulierten Angriffen (“Attack Path Prediction” bzw. ”Cyber Risk Exposure Management”) kann hierbei Einblicke in mögliche Risiken von Systemen liefern, bei denen echte Angriffe (z.B. im Rahmen von Pentests) zu viel oder zu häufig das Risiko von Ausfällen bergen. Die entsprechend gewonnenen Erkenntnisse fließen dabei direkt in die Identifikation von möglichen Risiken ein, wie sie DORA explizit in Art. 8 fordert.

Aber auch der Schadensfall will abgewogen sein: Artikel 11 fordert zum Beispiel, dass regulierte Unternehmen eine Schätzung der jährlichen Kosten und Verluste bereitstellen. Kombiniert man die gewonnenen Informationen aus den (simulierten) Angriffen auf digitale Zwillinge mit den entsprechenden Zahlen aus dem Betrieb, ermöglicht dies eine deutlich genauere Abschätzung. Die Auswertung dieser Kennzahlen adressiert auch Art. 13, der die Beobachtung von Veränderungen des IKT-Risikos über die Zeit abdeckt.

Digital Twins unterstützen auch bei Resilienzprüfungen nach Art. 24. Sie ersetzen zwar keineswegs die geforderten 3rd-Party-Pentest-Anforderungen, geben aber, wie schon erwähnt, einen guten kontinuierlichen Einblick in die Risiken, die bei einem Pentest auftauchen können – und zwar im Gegensatz zu Pentests „virtuell“ und ohne Beeinträchtigung der entsprechenden Systeme. Die genannten Vorteile von digitalen Zwillingen gelten natürlich auch dann, wenn ein vereinfachter vereinfachter IKT-Risikomanagementrahmen nach Art. 16 zum Einsatz kommt.Udo Schneider, Trend Micro/dk