DORA Resilienztests & TLPT

Resilienztests nach DORA: Digitale Widerstandsfahigkeit beweisen

Kapitel IV der DORA-Verordnung (Artikel 24-27) verpflichtet Finanzunternehmen zur Durchfuhrung regelmassiger Tests der digitalen operationalen Resilienz. DORA geht damit uber reine Compliance-Prufungen hinaus und verlangt den aktiven Nachweis, dass IKT-Systeme und -Prozesse tatsachlich widerstandsfahig gegen Storungen und Cyberangriffe sind.

Die Testanforderungen sind zweistufig aufgebaut: ein allgemeines Testprogramm (Basis-Tests) fur alle Finanzunternehmen und ein erweitertes Testprogramm mit Threat-Led Penetration Testing (TLPT) fur systemrelevante Institute. Beide Programme mussen in den IKT-Risikomanagementrahmen integriert sein.

Das allgemeine Testprogramm (Art. 24-25)

Artikel 24 verpflichtet alle Finanzunternehmen zur Einrichtung eines umfassenden Programms fur Tests der digitalen operationalen Resilienz. Das Testprogramm muss risikoorientiert sein und alle kritischen und wichtigen IKT-Systeme abdecken.

Pflichten und Haufigkeit

Finanzunternehmen mussen alle kritischen IKT-Systeme und -Anwendungen mindestens einmal jahrlich testen lassen. Das Testprogramm muss verschiedene Szenarien abdecken, darunter sowohl technische Ausfalle als auch Cyberangriffe. Die Testergebnisse mussen dokumentiert und dem Leitungsorgan vorgelegt werden. Festgestellte Schwachstellen mussen priorisiert und zeitnah behoben werden.

Basis-Tests: Methoden und Umfang

Artikel 25 listet die Mindestanforderungen an Basis-Tests auf. Finanzunternehmen mussen aus dem folgenden Methodenkatalog die geeigneten Tests auswahlen:

• Schwachstellenscans: Automatisierte Scans aller IKT-Systeme auf bekannte Schwachstellen (CVEs), fehlerhafte Konfigurationen und veraltete Softwareversionen
• Netzwerksicherheitsbewertungen: Analyse der Netzwerkarchitektur, Segmentierung, Firewall-Regeln und Kommunikationsflüsse auf Schwachstellen
• Gap-Analysen: Vergleich des Ist-Zustands mit den DORA-Anforderungen und branchenublichen Standards zur Identifikation von Lucken
• Quellcode-Uberprufungen: Statische und dynamische Analyse von Anwendungscode auf Sicherheitslucken, insbesondere bei eigenentwickelter Software
• Szenariobasierte Tests: Simulation spezifischer Angriffsszenarien oder Ausfallszenarien, um die Reaktionsfahigkeit zu prufen
• Performance-Tests: Lasttests und Stresstests, um die Widerstandsfahigkeit von IKT-Systemen unter erhoter Last zu validieren
• Kompatibilitatstests: Prufung der Interoperabilitat zwischen verschiedenen IKT-Systemen und -Komponenten
• End-to-End-Tests: Vollstandige Prufung von Geschaftsprozessen uber alle beteiligten IKT-Systeme hinweg

TLPT — Threat-Led Penetration Testing (Art. 26-27)

TLPT ist das anspruchsvollste Testverfahren unter DORA. Anders als konventionelle Penetrationstests simuliert TLPT realistische Angriffsszenarien auf Basis aktueller Bedrohungslage (Threat Intelligence) und testet die gesamte Verteidigungskette eines Finanzunternehmens — von der technischen Infrastruktur uber die Erkennungsfahigkeit bis zur Reaktion des Incident-Response-Teams.

Wer muss TLPT durchfuhren?

TLPT ist nicht fur alle Finanzunternehmen verpflichtend. Die zustandige Aufsichtsbehorde bestimmt, welche Institute TLPT durchfuhren mussen, basierend auf:

• Systemrelevanz des Finanzunternehmens
• Komplexitat des IKT-Risikoprofils
• Kritikalitat der erbrachten Finanzdienstleistungen
• Umfang der grenzuberschreitenden Tatigkeit

In der Praxis bedeutet dies, dass insbesondere grosse Kreditinstitute, systemrelevante Versicherungen, zentrale Gegenparteien und Handelsplatzbetreiber TLPT-pflichtig sind. Kleinere Institute konnen sich uber das Proportionalitatsprinzip von der TLPT-Pflicht befreien.

TLPT-Voraussetzungen und Ablauf

TLPT-pflichtige Institute mussen den Test mindestens alle drei Jahre durchfuhren. Der Ablauf folgt einem strukturierten Prozess:

• Scoping: Definition des Testumfangs in Absprache mit der Aufsichtsbehorde, Identifikation der kritischen Funktionen und Systeme
• Threat Intelligence: Erstellung eines aktuellen Bedrohungsprofils durch einen unabhangigen Threat-Intelligence-Anbieter
• Red-Team-Phase: Durchfuhrung des Angriffs durch ein zertifiziertes Red Team auf Basis der Threat Intelligence, ohne Vorwissen des Blue Teams
• Ergebnisauswertung: Gemeinsame Analyse durch Red Team, Blue Team und Aufsichtsbehorde
• Behebung: Umsetzung der identifizierten Verbesserungsmassnahmen mit Nachverfolgung

TIBER-EU als Referenzrahmen

DORA baut bei TLPT auf dem bewahrten TIBER-EU Framework (Threat Intelligence-Based Ethical Red Teaming) auf. TIBER-EU wurde von der EZB entwickelt und in mehreren EU-Mitgliedstaaten bereits implementiert — darunter Deutschland (TIBER-DE). DORA ubernimmt die wesentlichen Prinzipien von TIBER-EU und macht sie fur die betroffenen Institute rechtsverbindlich.

Anforderungen an TLPT-Anbieter (Art. 27)

Artikel 27 stellt strenge Anforderungen an die Anbieter von TLPT-Dienstleistungen. Red-Team-Anbieter mussen:

• Unabhangig sein vom getesteten Finanzunternehmen (keine Interessenkonflikte)
• Uber angemessene Zertifizierungen und nachweisbare Erfahrung im Bereich Red Teaming verfugen
• Haftpflichtversicherungen fur ihre Tatigkeit vorhalten
• Vertraulichkeit sicherstellen und angemessene Sicherheitsvorkehrungen fur den Umgang mit sensiblen Testdaten treffen

Ausnahmsweise durfen interne Tester eingesetzt werden, wenn das Finanzunternehmen nachweist, dass externe Anbieter nicht verfugbar sind. In diesem Fall muss mindestens jeder dritte TLPT von einem externen Anbieter durchgefuhrt werden. Die Aufsichtsbehorde muss dem Einsatz interner Tester vorab zustimmen.

Vergleich: Basis-Tests vs. TLPT

Proportionalitat bei Resilienztests

DORA wendet das Proportionalitatsprinzip auch bei Resilienztests an. Kleinstunternehmen und weniger komplexe Institute mussen zwar ein Testprogramm unterhalten, konnen aber den Umfang und die Komplexitat der Tests an ihr Risikoprofil anpassen. Insbesondere gilt: Kleinstunternehmen sind von der TLPT-Pflicht ausgenommen.

Gleichwohl mussen auch kleinere Unternehmen nachweisen, dass ihre IKT-Systeme regelmassig getestet werden. Die DORA-Anforderungen gelten hier in angepasstem Umfang. Weitere Details zum vereinfachten Rahmen findest du auf unserer Seite zur DORA-Proportionalitat.

Zusammenspiel mit anderen DORA-Saulen

Resilienztests stehen nicht isoliert, sondern sind eng mit den anderen DORA-Saulen verknupft:

• IKT-Risikomanagement: Testergebnisse fliessen in die Risikobewertung und die Aktualisierung von Schutzmassnahmen ein
• Drittparteienrisiko: Kritische IKT-Drittanbieter konnen in das Testprogramm einbezogen werden, insbesondere bei TLPT
• Meldepflichten: Tests konnen Schwachstellen aufdecken, deren Ausnutzung zu meldepflichtigen Vorfallen fuhren wurde