Finanzsektor sollte laut EU-Verordnung DORA Penetration Tests in

Eigenregie durchführen / Banken stehen unter Druck, die EU-Verordnung

DORA schnellstens umzusetzen

Frankfurt am Main (ots) - 2022 lag die wöchentliche Anzahl an Cyberattacken in

der Finanzbranche bei durchschnittlich 1.131 Angriffen - ein Anstieg von 52

Prozent in einem Jahr, so die Zahlen von Check Point Research. Mehr als zwei

Drittel der großen Institute waren von mindestens einem Cyberangriff betroffen,

erfolgreich verhinderte Angriffe und Dunkelziffern nicht eingerechnet. Die

EU-Verordnung "Digital operational resilience for the financial sector and

amending regulations" (EU-Verordnung 2022/2254 - kurz DORA) gibt der Branche

einen einheitlichen Gesetzesstandard, um die Anfälligkeit für ITK-Störungen und

Cyberbedrohungen entlang der gesamten Wertschöpfungskette zu mindern. Ein

entscheidendes Merkmal der Verordnung sind regelmäßige Tests. Mindestens einmal

pro Jahr müssen die Systeme einem Test auf unterschiedliche Bedrohungsszenarien

unterzogen werden. Die Abwälzung der Verantwortung an Dritte - ITK-Dienstleister

also - wird kritisch betrachtet. "Die BaFin führt explizit an, dass die

Konzentration auf Mehrmandantendienstleister - also für mehrere Unternehmen

tätige Firmen - Risiken für den Gesamtmarkt implizieren. Banken sollten also

dringlich versuchen, Maßnahmen wie den geforderten Penetration Test

selbstständig zur Identifikation von Risiken durchzuführen", sagt Rainer M.

Richter, IT-Experte und Vice President EMEA & APAC bei Horizon3.ai

(https://www.horizon3.ai/) .

Autonome Penetration Tests für die Finanzbranche

Das Unternehmen hat mit NodeZero eine Technologie entwickelt, die über autonome

Penetration Tests reale Angriffsszenarien auf die gesamte IT-Infrastruktur

durchführt. Die Technologie von Horizon3.ai arbeitet über eine

datenschutzkonforme und für Europa in Deutschland gehostete Cloud-Plattform und

kann unabhängig von einem externen Dienstleister oder einem professionellen

Pentester jederzeit und so oft wie gewünscht während des laufenden

Tagesgeschäfts durchgeführt werden. So werden nicht nur Schwachstellen

aufgedeckt, sondern auch die vorhandenen Schutzmechanismen - Hard- und Software

- auf ihre Wirksamkeit überprüft. Die Benutzerführung ist auf die Bedürfnisse

von IT-Abteilungen ausgerichtet und gibt IT-Teams, CIOs, CISOs und

Administratoren eine detaillierte Analyse der Angriffspfade mit Nachweis der

Ausnutzung und priorisierten Korrekturmaßnahmen. Zum Abschluss der bewährten

"Find, fix and verify"-Methodik kann anschließend mit einer 1-Klick-Überprüfung

die vorgenommene Korrektur auf Erfolg geprüft werden. Auf Grundlage der

Erkenntnisse aus der Testdurchführung sind institutsindividuelle

Präventionsmaßnahmen zu spezifizieren. Diese setzen bereits im Erkennen von

Bedrohungen an und reichen bis zu Regelungen von Backupmaßnahmen.

Die Zeit wird knapp

Bei Banken, die bereits vorab die regulatorischen Anforderungen umgesetzt haben,

besteht kein Grund zur Panik. Anders sieht es aus bei Instituten, die bisher

wenig Aufmerksamkeit auf das Thema gelegt haben: "Es ist zu erwarten, dass in

den kommenden Monaten eine massive Anfragewelle auf Dienstleister zukommen wird.

Die Folge: Was bereits jetzt enorme Vorlaufzeiten für professionelle Dienste

bedeutet, wird dann noch schlimmer werden und ist kaum gesetzeskonform

umzusetzen. Ein weiterer Grund, der für eine bankinterne Umsetzung eines

Penetration Test-Konzeptes spricht", erklärt Rainer M. Richter von Horizon3.

Bereits jetzt kann sein auf autonome Penetration Tests mit einer Cloud-Lösung

spezialisiertes Unternehmen eine deutliche Anfragezunahme aus der Finanzbranche

verzeichnen - "der Leidensdruck ist hoch, finanziell wie in Bezug auf die

Kapazitäten", so der IT-Experte. Mit Horizon3.ai haben auch kleinere Institute

die Möglichkeit, bedrohungsorientierte Penetrationstests (TLPT) selbst

durchzuführen.

Über Horizon3.ai

Horizon3.ai (https://www.horizon3.ai/) hat es sich zur Aufgabe gemacht,

potenzielle Angriffschancen für Angreifer zu finden und zu beheben, bevor diese

ausgenutzt werden können. NodeZero ist eine Software-Lösung für autonome

Penetration Tests und steht als SaaS-Angebot für Unternehmen und Institutionen

zur Verfügung. So können professionelle Pentester ihr Angebot mit

automatisierten Dienstleistungen erweitern, Unternehmen aber auch ohne spezielle

Fachkenntnisse und spezialisierte IT-Abteilungen die Sicherheit und Integrität

ihrer Infrastruktur prüfen. NodeZero arbeitet mit den Augen des Angreifers und

identifiziert so die Schwächen in der Sicherheitsarchitektur, während die

IT-Teams ihre Ressourcen für die Behebung wichtiger Probleme sowie die

zukunftssichere Entwicklung ihrer Netzwerke verwenden können. So können nicht

nur gesetzliche Vorgaben eingehalten, sondern auch das höchstmögliche

Sicherheitsniveau erreicht werden. Horizon3.ai wurde 2019 von ehemaligen

Angehörigen verschiedener US-Streitkräfte gegründet und hat seinen Hauptsitz in

San Francisco, Kalifornien.

