Manchmal reicht eine einzige Schwachstelle aus – etwa die falsche Konfiguration der internen Netzwerkkomponenten oder ein zu spät durchgeführtes Sicherheitsupdate. Angreifer könnten dann im schlimmsten Fall auf personenbezogene Daten eines Lebens- und Krankenversicherers zugreifen oder Zahlungsströme einer Bank manipulieren.

Doch soweit sollte es nicht kommen: Durch bedrohungsgeleitete Penetrationstests (Threat-led Penetration Tests – TLPTs) können die Finanzunternehmen Schwachstellen frühzeitig erkennen und sich effektiver gegen Angreifer schützen.

Von Januar 2025 an müssen bestimmte relevante Finanzunternehmen regelmäßig TLPTs durchlaufen. Die Bestimmungen zu diesen Tests finden sich im Digital Operational Resilience Act (DORA). Die europäische Verordnung soll dazu beitragen, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) sicherer zu machen. DORA findet ab dem 17. Januar 2025 Anwendung.

Individuelle Bedrohungsanalyse erforderlich

Ein TLPT erfolgt bedrohungsgeleitet. Das bedeutet: Bevor das jeweilige Unternehmen oder der von ihm beauftragte Dienstleister den Test beginnen, muss die individuelle Bedrohungslage des Unternehmens analysiert werden.

Dabei geht es zum einen um die Bedrohungslage durch die aktuelle geopolitische Lage, die wirtschaftliche Situation und die technologischen Entwicklungen. Zum anderen berücksichtigt die Analyse auch individuelle Eigenschaften des Unternehmens, wie die zu testenden kritischen oder wichtigen Funktionen, das Geschäftsmodell und die IT-Infrastruktur. Auf Grundlage dieser Analyse bildet der TLPT die Taktiken, Techniken und Verfahren realer Angreifer nach. So können Finanzunternehmen ihre kritischen Live-Produktionssysteme auf Schwachstellen hin testen.

TLPTs sind nicht neu: Die Deutsche Bundesbank bietet ausgewählten Instituten und Unternehmen des deutschen Finanzsektors bereits seit 2020 an, sich freiwillig einem TLPT zu unterziehen. Diesen Tests liegt das Regelwerk TIBER-DE (Threat Intelligence-based Ethical Red Teaming) zugrunde. Mehr als 20 Finanzunternehmen haben das freiwillige Angebot in den vergangenen Jahren genutzt, teilweise sogar mehrfach. Für Unternehmen, die mit TIBER-DE bereits vertraut sind, ändert sich bei der Durchführung der Tests daher wenig: Die Regelungen unter DORA orientieren sich am bewährten TIBER-EU-Rahmenwerk, welches in TIBER-DE-Tests umgesetzt wird.

Wer ist verpflichtet?

Welche Unternehmen sind künftig dazu verpflichtet, TLPTs durchzuführen? Das entscheiden die zuständigen Aufsichtsbehörden. Grundlage sind dabei folgende Fragestellungen, die sich aus Artikel 26 DORA ergeben:

• Inwieweit wirken sich die von dem Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den gesamten Finanzsektor aus?
• Könnte ein erfolgreicher Angriff auf das Unternehmen die Stabilität des Finanzmarktes auf nationaler oder gar europäischer Ebene gefährden?
• Welches spezifische Risikoprofil und welchen Reifegrad hat das Finanzunternehmen in Bezug auf die von ihm eingesetzte Informations- und Kommunikationstechnologie?

Diese Kriterien werden in einem technischen Regulierungsstandard (Regulatory Technical Standard – RTS) konkretisiert, der im Moment bereits als Entwurf der Europäischen Aufsichtsbehörden vorliegt. Danach müssen beispielsweise alle Kreditinstitute einen TLPT durchführen, die gemäß Artikel 131 der Richtlinie 2013/36/EU als systemrelevant eingestuft sind. Auch Zentralverwahrer und zentrale Gegenparteien sind aufgrund ihrer Bedeutung für den Finanzmarkt in jedem Fall dazu verpflichtet. Für bestimmte andere Finanzunternehmen wurden in dem RTS branchenspezifische Schwellenwerte für die oben genannten Kriterien festgelegt.

Die zuständigen Aufsichtsbehörden können aber auch andere Unternehmen des Finanzsektors zu einem TLPT verpflichten. Dazu könnte es zum Beispiel kommen, wenn ein Unternehmen zwar nicht die Schwellenwerte des RTS erreicht, nach Einschätzung der zuständigen Aufsichtsbehörde aber dennoch eine große Bedeutung für den Finanzmarkt hat. Von dieser neuen Regelung werden aber voraussichtlich nur wenige Unternehmen betroffen sein. Wer bisher keinen TLPT im Rahmen von TIBER-DE durchgeführt hat, fällt mit hoher Wahrscheinlichkeit nicht in den Anwendungsbereich von Artikel 26 Absatz 8 DORA.

BaFin übernimmt aufsichtliche Aufgaben

Welche Behörde für die Durchführung von TLPTs zuständig ist, hängt von der Art und Größe des Finanzunternehmens ab. Für Kreditinstitute, die als bedeutende Institute (Significant Institutions) im Rahmen des Single Supervisory Mechanism unter direkter Aufsicht der Europäischen Zentralbank (EZB) stehen, ist die EZB zuständig.

Für Handelsplätze entscheidet die Börsenaufsichtsbehörde des jeweiligen Bundeslandes, für alle anderen relevanten Finanzunternehmen ist die BaFin die zuständige Aufsichtsbehörde. In allen Fällen wird die Deutsche Bundesbank aber – wie bereits bei TIBER-DE – die operativen Aufgaben übernehmen.

Für viele deutsche Finanzunternehmen wird demnach die BaFin die aufsichtlichen Aufgaben in Bezug auf TLPTs übernehmen. Das bedeutet im Detail: Die BaFin identifiziert diese Unternehmen anhand der oben genannten Kriterien und informiert sie über die Entscheidung, sie legt die Testfrequenz fest und ordnet die individuelle Testdurchführung in Absprache mit der Deutschen Bundesbank an. Außerdem validiert die BaFin den Testumfang und erhält nach Abschluss des TLPT die Testergebnisse.

DORA sieht ein mehrstufiges Verfahren für die praktische Durchführung der TLPTs vor (siehe Abbildung).

Abbildung 1: Mehrstufiges Verfahren von TLPTs

Quelle: BaFin und Deutsche Bundesbank

Grundsätzlich muss ein TLPT alle drei Jahre durchgeführt werden. Die BaFin kann in Ausnahmefällen davon abweichen. Da nicht alle ausgewählten Finanzunternehmen gleichzeitig getestet werden können, werden die BaFin und die Deutsche Bundesbank die geplanten TLPTs priorisieren. Sie berücksichtigen dabei auch, dass einige Unternehmen erst vor Kurzem einen TLPT im Rahmen von TIBER-DE durchgeführt haben: Die meisten von ihnen müssen nicht direkt einen erneuten Test durchführen.

Die BaFin informiert das Finanzunternehmen mit ausreichendem zeitlichen Vorlauf über den Zeitpunkt des TLPT. Die Begleitung des Tests übernimmt die Deutsche Bundesbank. Sie bestätigt auch die regelkonforme Durchführung. Die durch den Test gewonnenen Erkenntnisse erhalten alle zuständigen Aufsichtsbehörden.

Weitere Informationen zum Thema TLPT unter DORA hat die BaFin auf ihrer Website veröffentlicht. Auf einer Infoseite stellt die BaFin die wichtigsten Informationen zu DORA und der Umsetzung des Regelwerks zusammen. Die Seite wird laufend aktualisiert und erweitert.