Dr. Antje Winkler
Partnerin | Offensive Security
DORA Resilience Testing
Threat-Led Penetration Testing
Umfassende Bedrohungssimulation gemäß DORA
Der Digital Operational Resilience Act (DORA) fordert von Unternehmen in der Finanzbranche, dass sie ihre operative Resilienz stärken, um den zunehmenden Cyber-Bedrohungen zu begegnen. Threat-Led Penetration Tests (TLPT) ermöglichen es, potenzielle Schwachstellen gezielt zu identifizieren, indem realistische Cyber-Angriffe simuliert werden.
Im Rahmen eines TLPT werden bereits etablierte Sicherheitsmechanismen gezielt im Rahmen definierter Bedrohungsszenarien überprüft. Neben Sicherheitslücken einzelner Systeme stehen dabei besonders die technischen und organisatorischen Cyber-Defense-Maßnahmen des Auftraggebers im Fokus. Dies hilft Unternehmen, ihre Sicherheitslage besser zu verstehen und die Effektivität ihrer bestehenden Sicherheitsmaßnahmen zu evaluieren.
Im Rahmen eines TLPT werden bereits etablierte Sicherheitsmechanismen gezielt im Rahmen definierter Bedrohungsszenarien überprüft. Neben Sicherheitslücken einzelner Systeme stehen dabei besonders die technischen und organisatorischen Cyber-Defense-Maßnahmen des Auftraggebers im Fokus. Dies hilft Unternehmen, ihre Sicherheitslage besser zu verstehen und die Effektivität ihrer bestehenden Sicherheitsmaßnahmen zu evaluieren.
Unser Angebot für Sie
Wir bieten Ihnen die Durchführung von Threat-Led Penetration Tests nach der DORA-Verordnung und dem TIBER-Framework. In diesen Regulatorien werden verschiedene Szenarien definiert, welche unterschiedliche Arten von Angreifern abbilden. Das jeweilige Szenario bestimmt den Ausgangspunkt für den Threat-Led Penetration Test und beschreibt die Mittel und Vorgehensweise des simulierten Angreifers:
Nation State Group
Dieses Szenario beschreibt Bedrohungen, die von staatlich unterstützten Akteuren ausgehen. Diese Gruppen verfügen über umfangreiche Ressourcen, Fachwissen und technologische Fähigkeiten, um gezielte Angriffe auf kritische Infrastrukturen, staatliche Einrichtungen oder Unternehmen durchzuführen.
Der Fokus bei Angriffen von staatlich gestützten Akteuren liegt oft auf strategischen, politischen sowie militärischen Zielen, insbesondere im Bereich der kritischen Infrastruktur. Schwerpunkte der Angriffe sind neben der gezielten Sabotage mittels Malware und Ransomware auch die Spionage und der Zugriff auf sensible Kommunikationswege und Daten. Hierbei versuchen die Angreifer oft, möglichst lange unentdeckt zu bleiben und ihren Zugriff aufrecht zu erhalten.
Organized Crime Group
Das Angreiferszenario "Organized Crime Group" bezieht sich auf Bedrohungen, die von kriminellen Organisationen ausgehen, welche oft wirtschaftliche Motive haben und auf finanzielle Gewinne abzielen.
Es sind verschiedene Vorgehensweisen krimineller Gruppen bekannt. Einige verschaffen sich finanzielle Vorteile durch gezielte Manipulation bestimmter Systeme oder das Verkaufen von gestohlener Daten. Andere sorgen mittels Malware bzw. Ransomware dafür, dass geschäftskritische Systeme nicht mehr funktionsfähig sind und erpressen damit Lösegelder. Manche Gruppen verkaufen die erlangten Zugriffe auf entsprechenden Marktplätzen an weitere Akteure.
Insider
Bei diesem Ansatz wird die Rolle eines Angreifers angenommen, welcher Cyberangriffe aus dem Unternehmen heraus durchführt. Dabei handelt es sich um böswillige Akteure aus dem Unternehmen selbst bzw. um Dienstleister mit Zugriff auf Systeme innerhalb des Unternehmens.
Das vorrangige Ziel böswilliger Insider ist die eigene Bereicherung durch Betrugsversuche. Dies geschieht meist durch Missbrauch der eigenen Berechtigungen als Mitarbeitender oder Dienstleister. Folge sind unter anderem die Erstellung nicht legitimierter Konten und Zahlungsvorgänge, der nicht autorisierte Zugriff und die Manipulation legitimer Konten oder die Beantragung und Genehmigung unzulässiger Kredite. Zur Vorbereitung der Betrugsmasche und der Identifikation lohnender Ziele recherchieren Insider oft in den internen Kundenstammdaten.
Szenario X
Neben den oben beschriebenen Szenarien kann auch ein speziell zugeschnittenes Szenario basierend auf dem zuvor bereitgestellten Threat Intelligence Report erarbeitet werden.
Das Ziel des sogenannten „Szenario X“ ist es, neben den bereits definierten Szenarien eine Möglichkeit zu bieten, weitere, auf aktuelle Bedrohungslage angepasste Szenarien zu definieren. Damit soll erreicht werden, dass der Threat-Led Penetration Test auch den aktuellen Entwicklungen im Bereich Cybersicherheit entspricht.
Vorgehensweise bei einem Threat-Led Penetration Test
Das Ziel des Threat-Led Penetration Tests ist es, unter realen Bedingungen zu simulieren, welche Auswirkungen ein Cyberangriff auf das Zielunternehmen hätte. Um mögliche Auswirkungen auf Betriebsprozesse und IT-Systeme zu minimieren, ist eine enge Abstimmung zwischen den Beteiligten von hoher Bedeutung.
Beteiligte Akteure
Die folgenden Akteure sind an der Durchführung der Threat-Led Penetration Tests beteiligt:
- TIBER-Cyber-Team – Das TIBER-Cyber-Team innerhalb der Bundesbank ist für die Überwachung des Tests verantwortlich und stellt sicher, dass der Test den Anforderungen des TIBER-EU-Rahmens entspricht.
- Threat Intelligence Provider – Der Threat Intelligence Provider untersucht im Vorfeld der aktiven Analyse das Spektrum möglicher Bedrohungen auf Basis einer OSINT Analyse.
- White Team / Control Team – Das White Team steuert die Kampagne und steht im regelmäßigen Austausch mit dem Red Team. Es besteht aus ein bis zwei Personen, welche Kenntnis über die Infrastruktur des Unternehmens haben. Zentrale Aufgabe des White Teams ist es, sicherzustellen, dass mögliche Beeinträchtigungen ohne große Verzögerungen gelöst werden können.
- Blue Team - Das Blue Team stellt den Verteidiger dar, der die Infrastruktur des Kunden gegen Angriffe schützt. Gegenstand des Tests ist es, die Präventions-, Erkennungs- und Reaktionsfähigkeiten dieses Teams, ohne dessen Wissen zu überprüfen.
- Red-Team-Provider - Die Experten der BDO Cyber Security GmbH agieren nach den vereinbarten Rules of Engagement und stellen als Red Team den Angreifer dar.
Ablauf eines Threat-Lead Penetration Tests
Ein Threat-Led Penetration Test umfasst gemäß DORA und TIBER die folgenden Phasen:
Die durchgeführten Testaktivitäten erfolgen gemäß dem abgestimmten Testplan, welcher basierend auf dem Threat Intelligence Report des Threat Intelligence Providers erstellt wurde. Die Testschritte entsprechen dem Vorgehen bei einer Red Teaming Kampagne basierend auf dem Threat Intelligence-based Ethical Red Teaming Frameworks (TIBER), welches als Rahmenwerk für Red Teaming Kampagnen im Finanz- und Bankensektor gilt und in Kombination mit der Verordnung DORA zum Einsatz kommt.