Aktuelles aus Ihrer Branche.
Und aus unseren Teams.
Aktuelles aus Ihrer Branche.
Und aus unseren Teams.

Cybersicherheit steht 2024 im Fokus

18. Januar 2024

Was 2024 im Bereich IT auf Sie zukommt

Alljährlich wagen wir zu Beginn des Jahres einen Ausblick auf wesentliche Themen, die im laufenden Kalenderjahr in unterschiedlichen Bereichen auf Banken und Unternehmen zukommen. Im IT-Sektor spielt das Thema Cybersicherheit 2024 eine übergeordnete Rolle.

DORA - wesentliche Änderungen

Das Thema Cybersicherheit dominiert 2024 den Bereich der IT-Regulatorik. Mit dem Digital Operational Resilience Act, kurz DORA, wartet auf den Financel Services-Sektor eine neue Verordnung, die bis zum 17. Januar 2025 verbindlich umgesetzt sein muss. DORA verschärft, erweitert und ersetzt bestehende Vorlagen im Rahmen einer EU-Verordnung, die dazu dienen die Cyber-Resilienz der Finanzinstitute maßgeblich zu verbessern.

Zu den wesentlichen Anforderungen gehören u. a.:

  • Das IKT-Risikomanagement:
    Die besondere Verantwortung der Leitungsorgane bei der Ausgestaltung angemessener und wirksamer Governance- und Kontrollrahmen zur Steuerung der IKT-Risiken (IKT = Informations- und Kommunikationstechnologe) wird hervorgehoben.
     
  • Regelmäßige Durchführung angemessener Tests zur Überprüfung der digitalen Betriebsstabilität:
    Der erforderliche Umfang reicht von Standardtests (bspw. technische Schwachstellenscans, Open-Source-Analysen und Netzwerksicherheitsbewertungen) bis hin zu bedrohungsorientierten Penetrationstests für besonders kritische IKT-Systeme
     
  • Prozess für IKT-bezogene Vorfälle:
    Die Erweiterung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyber-Bedrohungen führt dazu, dass bestehende Meldeverfahren nicht mehr genutzt werden können. Darüber hinaus ist zu erwarten, dass die Ausweitung der Berichterstattungspflichten zu zusätzlichem Umsetzungsaufwand führt. Anderseits führt ein regelmäßiger Austausch über erkannte Bedrohungen langfristig zu einer Erhöhung der Cyber-Resilienz am europäischen Finanzmarkt
     
  • Dienstleistersteuerung:
    Die Steuerung des IKT-Drittparteienrisikos gewinnt zukünftig weiter an Bedeutung. Die Pflege eines Informationsregisters, das sämtliche Vertragsbeziehungen zu IKT-Drittparteien aufführt, ist Voraussetzung dafür, um den zuständigen Aufsichtsbehörden über die Art der Verträge sowie die in Anspruch genommenen Dienstleistungen zu berichten. Auch soll erkennbar werden, welche Dienstleistungen kritische Funktionen unterstützen.

 

Penetrationstests

DORA wird darüber hinaus auch die Notwendigkeit zur Durchführung von Penetrationstests besonders hervorheben. Wesentliches Ziel ist dabei Schnittstellen nach außen zu identifizieren, über die potenzielle Angreifer in IT -Systeme eindringen könnten. Mit unserem IT-Team unterstützen wir unsere Mandantinnen und Mandanten bei der Planung und Durchführung von Penetrationstests. Wie genau das funktioniert?

Gemeinsam mit Ihnen tragen wir notwendige Informationen zusammen und beantworten Fragen, die sich im Zusammenhang mit einen Penetrationstest ergeben. Diese können z. B. sein:

  • Dauer des Penetrationstest: Hierbei werden Aspekte wie Kritikalität, Komplexität berücksichtigt
  • Auswahl und Steuerung des Dienstleisters
  • Informationsbasis: Welche Informationen benötigt der Angreifer, um einen sinnvollen Penetrationstest durchzuführen. (White-Box, Black-Box, Grey-Box)
  • Aggressivität: Wird nur passiv gescannt oder wird ein Fund aggressiv ausgenutzt
  • Umfang: Klare Abgrenzung des Testobjekts
  • Vorgehensweise: Verdeckt oder offensichtlich
  • Technik: Wie wird in das System eingedrungen (Netzwerkzugang, Social-Engineering, physischer Zugang usw.)
  • Ausgangspunkt: von innen oder von außen


Nach Abschluss des Penetrationstest erhalten Sie einen Bericht sowie eine Zusammenfassung der Feststellungen mit Bewertung vom Penetrationstester. Wir helfen Ihnen dabei, die Bedeutung der Feststellung für Ihr Unternehmen zu bewerten.

Im weiteren Verlauf betaten wir Sie gerne bei der Behebung der Feststellung und planen mit Ihnen, wenn notwendig, einen Re-Penetrationstest um zu prüfen, ob die Feststellung/Sicherheitslücke behoben wurde. 

Identitäts- und Rechtemanagement

Im Rahmen unserer IT-Prüfungen haben wir auch wesentliche Erkenntnisse im Bereich des Identitäts- und Rechtemanagements gewonnen, die erhebliche Risiken in Bezug auf die Informationssicherheit und die IT-Compliance aufzeigen. Unsere Feststellungen betreffen hauptsächlich die bankinternen Vorgaben und Überwachung von Zugriffsberechtigungen.

  1. Fehlen adäquater Berechtigungskonzepte: Ein signifikanter Anteil der IT-Anwendungen, insbesondere solche mit hohem Schutzbedarf, verfügte zum Prüfungszeitpunkt nicht über angemessene Berechtigungskonzepte.
  2. Abweichung von regulatorischen Vorgaben: Es wurden Unstimmigkeiten festgestellt, bezüglich der Übereinstimmung mit regulatorischen Vorgaben für die Erstellung von Berechtigungskonzepten. Wesentliche Informationen und Prozessbeschreibungen fehlen oder sind unvollständig.
  3. Mangelhafte Überwachung von besonders kritischen Berechtigungen: Eine angemessene Dokumentation und Überwachung toxischer Berechtigungskombinationen, sowohl innerhalb einzelner Anwendungen als auch institutsübergreifend, ist nicht sichergestellt.
  4. Fehlende Vorgaben und Kontrollen für Berechtigungsverwaltungssysteme: Es fehlen definierte Vorgaben und regelmäßige Kontrollen für die Konfigurations- und Parametrisierungseinstellungen von zentralen Berechtigungsverwaltungssystemen. Dies beeinträchtigt die Rollendefinition und Funktionstrennung.
  5. Unzureichende Risikoanalysen und Kontrollmaßnahmen: Notwendige Analysen zur Implementierung von Kontrollmaßnahmen und Risikoanalysen bei deren Nichtumsetzbarkeit wurden nicht adäquat durchgeführt.


Diese Ergebnisse zeigen, dass im Bereich des Identitäts- und Rechtemanagements häufig erhebliche Defizite bestehen, die sowohl die Sicherheit als auch die Einhaltung regulatorischer Vorgaben betreffen.

Sie brauchen Unterstützung bei der Umsetzung von DORA, bei der Durchführung etwaiger Penetrationstests oder im Bereich des Identitäts- und Rechtemanagements? Dann kommen Sie gerne auf uns zu!

Sie möchten mehr erfahren?

 

Jede gute Zusammenarbeit beginnt mit einem guten Gespräch. Nehmen Sie einfach Kontakt zu uns auf – wir nehmen uns gerne Zeit für Ihr Anliegen. 

Oder suchen Sie einen Austausch zu einem anderen Thema? Dann hinterlassen Sie uns doch direkt eine Nachricht.
Wir melden uns umgehend bei Ihnen.

 

Alexander Beck
Leiter Kompetenzteam IT
Wirtschaftsprüfer
CISA

+49 696 9783078
alexander.beck@awado-gruppe.de
Ich freue mich auf eine E-Mail oder einen Anruf von Ihnen!
Alexander Beck
Leiter Kompetenzteam IT
Wirtschaftsprüfer
CISA

+49 696 9783078
alexander.beck@awado-gruppe.de
Ich freue mich auf eine E-Mail oder einen Anruf von Ihnen!
AWADO Gruppe:
Gemeinsam. Stark.
Die AWADO ist die etwas andere Unternehmensgruppe im Bereich Prüfung, Beratung und Service. Menschlich, verantwortungsvoll, mit Gemeinschaftssinn.
Wir bieten Expertise in Wirtschaftsprüfung und Steuerberatung, Unternehmensberatung, Kommunikationsberatung und Rechtsberatung bis hin zur Auslagerung kompletter Dienstleistungen.
Es geht immer einen Schritt weiter.
Gehen wir ihn gemeinsam.
ImpressumDatenschutzSitemapShop AGBidgardHinweisgebersystem
Es geht immer einen Schritt weiter.
Gehen wir ihn gemeinsam.
AWADO GmbH WPG StBGAWADO Vertriebsberatung GmbHAWADO Agrar-und Energieberatung GmbHAWADO Kommunikationsberatung GmbHAWADO Rechtsanwaltsgesellschaft mbHAWADO Services GmbH
ImpressumDatenschutzSitemapShop AGBidgardHinweisgebersystem
LeistungenBranchenMagazinAWADO GruppeKarriereKontaktShop