Finanzsektor sollte laut EU-Verordnung DORA Penetration Tests in Eigenregie durchführen
Banken stehen unter Druck, die EU-Verordnung DORA schnellstens umzusetzen
Frankfurt am Main (ots)
2022 lag die wöchentliche Anzahl an Cyberattacken in der Finanzbranche bei durchschnittlich 1.131 Angriffen - ein Anstieg von 52 Prozent in einem Jahr, so die Zahlen von Check Point Research. Mehr als zwei Drittel der großen Institute waren von mindestens einem Cyberangriff betroffen, erfolgreich verhinderte Angriffe und Dunkelziffern nicht eingerechnet. Die EU-Verordnung "Digital operational resilience for the financial sector and amending regulations" (EU-Verordnung 2022/2254 - kurz DORA) gibt der Branche einen einheitlichen Gesetzesstandard, um die Anfälligkeit für ITK-Störungen und Cyberbedrohungen entlang der gesamten Wertschöpfungskette zu mindern. Ein entscheidendes Merkmal der Verordnung sind regelmäßige Tests. Mindestens einmal pro Jahr müssen die Systeme einem Test auf unterschiedliche Bedrohungsszenarien unterzogen werden. Die Abwälzung der Verantwortung an Dritte - ITK-Dienstleister also - wird kritisch betrachtet. "Die BaFin führt explizit an, dass die Konzentration auf Mehrmandantendienstleister - also für mehrere Unternehmen tätige Firmen - Risiken für den Gesamtmarkt implizieren. Banken sollten also dringlich versuchen, Maßnahmen wie den geforderten Penetration Test selbstständig zur Identifikation von Risiken durchzuführen", sagt Rainer M. Richter, IT-Experte und Vice President EMEA & APAC bei Horizon3.ai.
Autonome Penetration Tests für die Finanzbranche
Das Unternehmen hat mit NodeZero eine Technologie entwickelt, die über autonome Penetration Tests reale Angriffsszenarien auf die gesamte IT-Infrastruktur durchführt. Die Technologie von Horizon3.ai arbeitet über eine datenschutzkonforme und für Europa in Deutschland gehostete Cloud-Plattform und kann unabhängig von einem externen Dienstleister oder einem professionellen Pentester jederzeit und so oft wie gewünscht während des laufenden Tagesgeschäfts durchgeführt werden. So werden nicht nur Schwachstellen aufgedeckt, sondern auch die vorhandenen Schutzmechanismen - Hard- und Software - auf ihre Wirksamkeit überprüft. Die Benutzerführung ist auf die Bedürfnisse von IT-Abteilungen ausgerichtet und gibt IT-Teams, CIOs, CISOs und Administratoren eine detaillierte Analyse der Angriffspfade mit Nachweis der Ausnutzung und priorisierten Korrekturmaßnahmen. Zum Abschluss der bewährten "Find, fix and verify"-Methodik kann anschließend mit einer 1-Klick-Überprüfung die vorgenommene Korrektur auf Erfolg geprüft werden. Auf Grundlage der Erkenntnisse aus der Testdurchführung sind institutsindividuelle Präventionsmaßnahmen zu spezifizieren. Diese setzen bereits im Erkennen von Bedrohungen an und reichen bis zu Regelungen von Backupmaßnahmen.
Die Zeit wird knapp
Bei Banken, die bereits vorab die regulatorischen Anforderungen umgesetzt haben, besteht kein Grund zur Panik. Anders sieht es aus bei Instituten, die bisher wenig Aufmerksamkeit auf das Thema gelegt haben: "Es ist zu erwarten, dass in den kommenden Monaten eine massive Anfragewelle auf Dienstleister zukommen wird. Die Folge: Was bereits jetzt enorme Vorlaufzeiten für professionelle Dienste bedeutet, wird dann noch schlimmer werden und ist kaum gesetzeskonform umzusetzen. Ein weiterer Grund, der für eine bankinterne Umsetzung eines Penetration Test-Konzeptes spricht", erklärt Rainer M. Richter von Horizon3. Bereits jetzt kann sein auf autonome Penetration Tests mit einer Cloud-Lösung spezialisiertes Unternehmen eine deutliche Anfragezunahme aus der Finanzbranche verzeichnen - "der Leidensdruck ist hoch, finanziell wie in Bezug auf die Kapazitäten", so der IT-Experte. Mit Horizon3.ai haben auch kleinere Institute die Möglichkeit, bedrohungsorientierte Penetrationstests (TLPT) selbst durchzuführen.
Über Horizon3.ai
Horizon3.ai hat es sich zur Aufgabe gemacht, potenzielle Angriffschancen für Angreifer zu finden und zu beheben, bevor diese ausgenutzt werden können. NodeZero ist eine Software-Lösung für autonome Penetration Tests und steht als SaaS-Angebot für Unternehmen und Institutionen zur Verfügung. So können professionelle Pentester ihr Angebot mit automatisierten Dienstleistungen erweitern, Unternehmen aber auch ohne spezielle Fachkenntnisse und spezialisierte IT-Abteilungen die Sicherheit und Integrität ihrer Infrastruktur prüfen. NodeZero arbeitet mit den Augen des Angreifers und identifiziert so die Schwächen in der Sicherheitsarchitektur, während die IT-Teams ihre Ressourcen für die Behebung wichtiger Probleme sowie die zukunftssichere Entwicklung ihrer Netzwerke verwenden können. So können nicht nur gesetzliche Vorgaben eingehalten, sondern auch das höchstmögliche Sicherheitsniveau erreicht werden. Horizon3.ai wurde 2019 von ehemaligen Angehörigen verschiedener US-Streitkräfte gegründet und hat seinen Hauptsitz in San Francisco, Kalifornien.
Pressekontakt:
Kontakt: Horizon3.AI Europe GmbH,
Sebastian-Kneipp-Straße 41, 60439 Frankfurt am Main, Deutschland,
Web: www.horizon3.ai
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
Tel.: +49 611 973150, E-Mail: team@euromarcom.de,
Web: www.euromarcom.de
Original-Content von: Horizon3.AI Europe GmbH, übermittelt durch news aktuell