{"id":311364,"date":"2025-05-13T10:07:37","date_gmt":"2025-05-13T08:07:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311364"},"modified":"2025-05-13T10:09:04","modified_gmt":"2025-05-13T08:09:04","slug":"finanzdienstleister-nachholbedarf-bei-tlpt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/13\/finanzdienstleister-nachholbedarf-bei-tlpt\/","title":{"rendered":"Finanzdienstleister: Nachholbedarf bei TLPT"},"content":{"rendered":"

\"SicherheitSeit dem 17. Januar 2025 ist DORA (Digital Operational Resilience Act) in Kraft. DORA verpflichtet Finanzinstitute in der EU verpflichtet, regelm\u00e4\u00dfig Threat-Led Penetration Testing (TLPT) durchzuf\u00fchren. Experte Dennis Weyel von Horizon3.ai hat mir seine Einsch\u00e4tzung dazu zukommen lassen und meint: \"Alle drei Jahre ein Pentest durchzuf\u00fchren, ist viel zu wenig. Monatliche oder sogar w\u00f6chentliche Tests w\u00e4ren wesentlich effektiver.\" Hier seine Aussagen zum Thema.<\/p>\n

<\/p>\n

Beim Threat-Led Penetration Testing (TLPT) wird die IT-Infrastruktur einem simulierten Cyberangriff unterzogen, um Schwachstellen zu identifizieren, um diese so rasch wie m\u00f6glich zu k\u00f6nnen. \"Das ist zwar gut, aber der vorgeschriebene dreij\u00e4hrige Pr\u00fcfungszyklus ist angesichts der Dynamik in der Cyberkriminalit\u00e4t viel zu lang\", bewertet der Sicherheitsexperte Dennis Weyel, International Technical Director bei der Cybersecurity-Firma Horizon3.ai die Situation.<\/p>\n

Dazu sollte man wissen, dass das Unternehmen Betreiber der autonomen Pentesting-Plattform NodeZero ist. Auf der Plattform k\u00f6nnen\u00a0Finanzdienstleister beliebig oft ihre IT-Infrastruktur Pentests unterziehen, um potenzielle Sicherheitsl\u00fccken aufzusp\u00fcren.<\/p>\n

Technikchef Dennis Weyel verweist auf Erkenntnisse des Bundesamtes f\u00fcr Sicherheit in der Informationstechnologie (BSI), wonach t\u00e4glich knapp 70 sog. Vulnerabilities (\u201eVerletzlichkeiten\") in Softwareprodukten zu verzeichnen sind. Von diesen werden 15 Prozent vom BSI als \"kritisch\" eingestuft.<\/p>\n

\"Bei \u00fcber 25.000 neuen potenziellen Einfallstoren f\u00fcr Hacker im Jahr ist es ein Unding f\u00fcr einen Finanzdienstleister, nur alle drei Jahre zu \u00fcberpr\u00fcfen, ob die IT-Infrastruktur einem Angriff tats\u00e4chlich standh\u00e4lt oder in die Knie geht\", erkl\u00e4rt Dennis Weyel. Er rechnet vor: \"Angesichts von weit mehr als 11.000 amtlich als kritisch eingestuften Sicherheitsl\u00fccken in dieser Zeitspanne w\u00fcrde es geradezu an ein Wunder grenzen, wenn es Cyberkriminellen in den drei Jahren nicht gel\u00e4nge, in eine Bank oder Sparkasse oder Assekuranz einzubrechen.\"<\/p>\n

\"Nadel im Heuhaufen finden\"<\/h2>\n

Die gr\u00f6\u00dfte Herausforderung besteht nach Einsch\u00e4tzung des Sicherheitsexperten darin, aus der ungeheuren Menge an m\u00f6glichen IT-Schwachstellen diejenigen herauszufiltern, die tats\u00e4chlich in einem Unternehmen ausgenutzt werden k\u00f6nnen, und diese f\u00fcr eine schnelle Behebung zu priorisieren.<\/p>\n

\"Die Liste m\u00f6glicher Einfallstore ist lang, von veralteten Programmen an irgendeiner Stelle \u00fcber schwache und mehrfach verwendete Passworte oder \u00fcberm\u00e4\u00dfig weitreichende Zugriffsrechte f\u00fcr einzelne Sachbearbeitungsstellen bis hin zu Bedrohungen aus der Softwarelieferkette\", verdeutlicht Dennis Weyel die Dimension der Aufgabe. Er erl\u00e4utert: \u201eIn dieser in der Regel heterogenen und un\u00fcbersichtlichen IT-Landschaft eine Sicherheitsl\u00fccke aufzusp\u00fcren ist wie die ber\u00fchmte Nadel im Heuhaufen zu finden. Hacker schaffen das aber, und deshalb m\u00fcssen die Finanzdienstleister dieselben Methoden wie die Cyberkriminellen anwenden, um ihnen zuvorzukommen. Und genau das sind Penetrationstests: Die Suche nach Nadeln im eigenen IT-Heuhaufen, bevor Angreifer sie finden.\"<\/p>\n

Umfangreiche Compliance-Anforderungen<\/h2>\n

Dabei geht es nicht nur um den technischen Schutz, sondern ebenso sehr auch um die Compliance, betont Cybersecurity-Experte Dennis Weyel. Er verweist auf die umfangreichen Verpflichtungen f\u00fcr Finanzdienstleister durch den Digital Operational Resilience Act: IKT-Risikomanagement, digitale Operationale Resilienz-Tests, zu denen TLPT geh\u00f6rt, IKT-Vorfallmeldung, Planung zur Gesch\u00e4ftsfortf\u00fchrung und Notfallmanagement, Management von IKT-Drittparteienrisiken sowie der Informationsaustausch untereinander, um kollektiv die Resilienz zu verbessern.<\/p>\n

In Bezug auf alle diese Pflichten unterliegen die Finanzdienstleister einer verst\u00e4rkten Aufsicht durch nationale und europ\u00e4ische Beh\u00f6rden einschlie\u00dflich Inspektionen und Audits.\u00a0 \"Kommt es zu einem ernsthaften Sicherheitsvorfall, wird die Frage, wie detailliert die Vorgaben beim jeweiligen Institut tats\u00e4chlich umgesetzt worden sind, in den Vordergrund r\u00fccken\", ist sich Dennis Weyel sicher.<\/p>\n

Er stellt klar: \"Ein bestandener Selbstangriff auf die eigene IT-Infrastruktur, und genau das ist ein Penetrationstest, stellt den besten Beweis f\u00fcr die Resilienz dar. Allein aus dieser Compliance-\u00dcberlegung heraus ist ein Penetrationstest im Monats- wenn nicht im Wochenrhythmus zu empfehlen.\"<\/p>\n

CTEM und ASM spielen Schl\u00fcsselrolle<\/h2>\n

Die Erweiterung des mit DORA vorgeschriebenen Threat-Led Penetration Testing (TLPT)<\/a> auf ein Continuous Threat Exposure Management (CTEM) ist nach Ansicht des Experten dringend geraten. Dabei wird das Risiko nicht nur kontinuierlich \u00fcberwacht, sondern auch sowohl auf der IT-Ebene als auch auf Managementlevel sichtbar gemacht.<\/p>\n

Eine Schl\u00fcsselrolle spielt dabei das Attack Surface Management (ASM), also die \u00dcberwachung desjenigen Teils der IT-Infrastruktur, der mit dem Internet verbunden und dar\u00fcber von au\u00dfen angreifbar ist. \"Im Zeitalter von Online-Banking und Smartphone-Apps ist permanentes ASM f\u00fcr Finanzdienstleister ein Must-have\", erkl\u00e4rt Dennis Weyel. Durch die Einbeziehung der autonomen Pentesting-Plattform NodeZero in ihre CTEM- und ASM-Strategien k\u00f6nnten die Institute ihre Sicherungsbem\u00fchungen gezielt auf die tats\u00e4chlichen Schwachstellen ausrichten, die sich w\u00e4hrend der Tests als ausnutzbar erwiesen haben.<\/p>\n

\"Gezielte Reparatur an den kritischen Stellen statt Nadel im Heuhaufen suchen\", vereinfacht der Technikchef von Horizon3.ai das Vorgehen. Dadurch l\u00e4sst sich die sogenannte Mean Time to Remediation (MTTR), also die Zeit zwischen der Entdeckung einer Schwachstelle und deren Behebung, deutlich verk\u00fcrzen. Diese Zeitspanne, in der die IT-Infrastruktur besonders verletzlich ist, betr\u00e4gt in der Praxis typischerweise ein bis drei Monate, weil es am Personal fehlt, um \u201ealle Fehler auf einmal\" zu beheben.<\/p>\n

Bei einer NodeZero-Pr\u00fcfung werden die Schwachstellen indes nach ihrem Risiko f\u00fcr das jeweilige Unternehmen priorisiert, so dass das IT-Team die gr\u00f6\u00dften Einfallstore f\u00fcr Hacker so schnell wie m\u00f6glich schlie\u00dfen und sich erst anschlie\u00dfend um die \u201ekleinen Tore\" k\u00fcmmern kann.<\/p>\n

\"DORA ist ein wichtiger Schritt in die richtige Richtung\", sagt Dennis Weyel, \u201eaber nur mit deutlich verk\u00fcrzten Pentesting-Intervallen kann eine dem Ma\u00df an krimineller Energie in der Hackerszene angemessen Cybersicherheit in der Finanzbranche hergestellt werden. Und nur durch eine autonome Pentesting-Plattform wie NodeZero ist diese erh\u00f6hte Frequenz zu tragbaren Kosten und mit \u00fcberschaubarem Personalaufwand zu leisten.\"<\/p>\n

Weitere Informationen zu DORA und den Anforderungen an den Nachweis der Resilienz finden sich in einem Whitepaper<\/a> hier. Ein kostenloses Exemplar des Gartner\u00ae Market Guide for Adversarial Exposure Validation 2025<\/a> ist vom Anbieter ebenfalls verf\u00fcgbar.<\/p>\n

\u00dcber Horizon3.ai und NodeZero<\/h2>\n

Horizon3.ai bietet unter der Bezeichnung NodeZero (NodeZero und alle Varianten davon sind Trademarks von Horizon3.ai) eine Cloud-basierte Plattform an, mit der Unternehmen und Beh\u00f6rden einen Selbstangriff auf ihre IT-Infrastruktur durchf\u00fchren k\u00f6nnen, um ihre Cyberresilienz zu \u00fcberpr\u00fcfen (sog. Penetration Tests oder Pentests). Die Kosten sind aufgrund des Cloud-Konzepts niedrig, so dass regelm\u00e4\u00dfiges Pentesting auch f\u00fcr mittelst\u00e4ndische Firmen erschwinglich ist.<\/p>\n","protected":false},"excerpt":{"rendered":"

Seit dem 17. Januar 2025 ist DORA (Digital Operational Resilience Act) in Kraft. DORA verpflichtet Finanzinstitute in der EU verpflichtet, regelm\u00e4\u00dfig Threat-Led Penetration Testing (TLPT) durchzuf\u00fchren. Experte Dennis Weyel von Horizon3.ai hat mir seine Einsch\u00e4tzung dazu zukommen lassen und meint: … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-311364","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311364","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311364"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311364\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311364"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311364"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311364"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}