
Dr. Antje Winkler
DORA Resilience Testing
Wir bieten Ihnen die Durchführung von Threat-Led Penetration Tests nach der DORA-Verordnung und dem TIBER-Framework. In diesen Regulatorien werden verschiedene Szenarien definiert, welche unterschiedliche Arten von Angreifern abbilden. Das jeweilige Szenario bestimmt den Ausgangspunkt für den Threat-Led Penetration Test und beschreibt die Mittel und Vorgehensweise des simulierten Angreifers:
Dieses Szenario beschreibt Bedrohungen, die von staatlich unterstützten Akteuren ausgehen. Diese Gruppen verfügen über umfangreiche Ressourcen, Fachwissen und technologische Fähigkeiten, um gezielte Angriffe auf kritische Infrastrukturen, staatliche Einrichtungen oder Unternehmen durchzuführen.
Der Fokus bei Angriffen von staatlich gestützten Akteuren liegt oft auf strategischen, politischen sowie militärischen Zielen, insbesondere im Bereich der kritischen Infrastruktur. Schwerpunkte der Angriffe sind neben der gezielten Sabotage mittels Malware und Ransomware auch die Spionage und der Zugriff auf sensible Kommunikationswege und Daten. Hierbei versuchen die Angreifer oft, möglichst lange unentdeckt zu bleiben und ihren Zugriff aufrecht zu erhalten.
Das Angreiferszenario "Organized Crime Group" bezieht sich auf Bedrohungen, die von kriminellen Organisationen ausgehen, welche oft wirtschaftliche Motive haben und auf finanzielle Gewinne abzielen.
Es sind verschiedene Vorgehensweisen krimineller Gruppen bekannt. Einige verschaffen sich finanzielle Vorteile durch gezielte Manipulation bestimmter Systeme oder das Verkaufen von gestohlener Daten. Andere sorgen mittels Malware bzw. Ransomware dafür, dass geschäftskritische Systeme nicht mehr funktionsfähig sind und erpressen damit Lösegelder. Manche Gruppen verkaufen die erlangten Zugriffe auf entsprechenden Marktplätzen an weitere Akteure.
Bei diesem Ansatz wird die Rolle eines Angreifers angenommen, welcher Cyberangriffe aus dem Unternehmen heraus durchführt. Dabei handelt es sich um böswillige Akteure aus dem Unternehmen selbst bzw. um Dienstleister mit Zugriff auf Systeme innerhalb des Unternehmens.
Das vorrangige Ziel böswilliger Insider ist die eigene Bereicherung durch Betrugsversuche. Dies geschieht meist durch Missbrauch der eigenen Berechtigungen als Mitarbeitender oder Dienstleister. Folge sind unter anderem die Erstellung nicht legitimierter Konten und Zahlungsvorgänge, der nicht autorisierte Zugriff und die Manipulation legitimer Konten oder die Beantragung und Genehmigung unzulässiger Kredite. Zur Vorbereitung der Betrugsmasche und der Identifikation lohnender Ziele recherchieren Insider oft in den internen Kundenstammdaten.
Neben den oben beschriebenen Szenarien kann auch ein speziell zugeschnittenes Szenario basierend auf dem zuvor bereitgestellten Threat Intelligence Report erarbeitet werden.
Das Ziel des sogenannten „Szenario X“ ist es, neben den bereits definierten Szenarien eine Möglichkeit zu bieten, weitere, auf aktuelle Bedrohungslage angepasste Szenarien zu definieren. Damit soll erreicht werden, dass der Threat-Led Penetration Test auch den aktuellen Entwicklungen im Bereich Cybersicherheit entspricht.
Das Ziel des Threat-Led Penetration Tests ist es, unter realen Bedingungen zu simulieren, welche Auswirkungen ein Cyberangriff auf das Zielunternehmen hätte. Um mögliche Auswirkungen auf Betriebsprozesse und IT-Systeme zu minimieren, ist eine enge Abstimmung zwischen den Beteiligten von hoher Bedeutung.
Die folgenden Akteure sind an der Durchführung der Threat-Led Penetration Tests beteiligt:
Ein Threat-Led Penetration Test umfasst gemäß DORA und TIBER die folgenden Phasen:
Die durchgeführten Testaktivitäten erfolgen gemäß dem abgestimmten Testplan, welcher basierend auf dem Threat Intelligence Report des Threat Intelligence Providers erstellt wurde. Die Testschritte entsprechen dem Vorgehen bei einer Red Teaming Kampagne basierend auf dem Threat Intelligence-based Ethical Red Teaming Frameworks (TIBER), welches als Rahmenwerk für Red Teaming Kampagnen im Finanz- und Bankensektor gilt und in Kombination mit der Verordnung DORA zum Einsatz kommt.
Dr. Antje Winkler