Thought Leadership
Der Digital Operational Resilience Act (DORA) der EU schreibt Finanzinstituten seit dem 17. Januar vor, alle drei Jahre Tests der IT-Infrastruktur gegen simulierte Cyber-Angriffe durchzuführen. Nach Einschätzung von Dennis Weyel, International Technical Director beim Cyber-Security-Spezialisten Horizon3.ai, ist dieser Zeitraum jedoch viel zu lang – Tests sollten stattdessen monatlich stattfinden.
Täglich neue Sicherheitslücken
Weyel stützt seine Einschätzung auf Erkenntnisse des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), wonach täglich etwa 70 neue “Vulnerabilities” in Software-Produkten festgestellt werden. Das BSI klassifiziert rund 15 Prozent dieser Schwachstellen als “kritisch”.
“Bei über 25.000 neuen potenziellen Einfallstoren für Hacker im Jahr ist es ein Unding für einen Finanzdienstleister, nur alle drei Jahre zu überprüfen, ob die IT-Infrastruktur einem Angriff tatsächlich standhält oder in die Knie geht”, kritisiert Weyel. Er rechnet vor, dass in einem Drei-Jahres-Zeitraum mehr als 11.000 als kritisch eingestufte IT-Lücken auftreten, wodurch es “geradezu an ein Wunder grenzen würde, wenn es Cyber-Kriminellen in den drei Jahren nicht gelänge, in eine Bank oder Sparkasse oder Assekuranz einzubrechen”.
Priorisierung als Herausforderung
Laut dem Experten besteht die größte Herausforderung darin, aus der Vielzahl möglicher Schwachstellen diejenigen zu identifizieren, die in einem Unternehmen tatsächlich ausgenutzt werden könnten, und diese für eine schnelle Behebung zu priorisieren.
Als typische Einfallstore für Cyber-Kriminelle nennt Weyel veraltete Programme, schwache und mehrfach verwendete Passwörter, zu weitreichende Zugriffsrechte für einzelne Bearbeitungsstellen sowie Bedrohungen aus der Software-Lieferkette.
“Ein bestandener Selbstangriff auf die eigene IT-Infrastruktur ist der beste Beweis für die Resilienz. Allein aus dieser Compliance-Überlegung heraus ist ein Penetrationstest im Monats- wenn nicht im Wochenrhythmus zu empfehlen”, so Weyels abschließender Rat.
