05.07.2024

DORA zwingt zum Schwachstellenmanagement bei Web-Apps und APIs

Neue Herausforderungen, neuer Vorgaben. Wir zeigen, was nun zu tun ist.

DORA und der Zwang zu mehr Scans

Alle Banken sind jetzt sicher! Oder? Der Digital Operational Resilience Act – kurz DORA – ist bereits seit Januar 2023 in Kraft getreten. Ab dem 17.01.2025 müssen Unternehmen des Finanzsektors die DORA-Vorgaben dann auch umsetzen. Wie die meisten neuen Verordnungen ist DORA ein wenig unübersichtlich. Speziell, wenn es um das Thema Schwachstellenmanagement und noch genauer um Web-Applications und APIs geht. Wir haben hier alles Wichtige zusammengefasst und stellen eine Möglichkeit vor, wie die Aufgabenstellung problemlos gemeistert werden kann.

In seinen 49 Paragrafen stellt DORA ein paar sehr klare Anforderungen an Banken, Versicherungen und andere Finanzdienstleister, wenn es um das Thema Schwachstellen geht.

Web-Frontends und APIs sind in Gefahr

So schreibt DORA mindestens ein wöchentliches Scannen aller kritischen und wichtigen Funktionen vor. Neben der hausinternen IT sind speziell auch von außen erreichbare Web-Frontends und APIs hier zu prüfen, da sie besonders einfache Ziele für Angreifer darstellen. Aufgrund der vor- und nachgelagerten Partner ist bei Banken und Versicherungen diese Angriffsfläche im Vergleich zu anderen Branchen außergewöhnlich groß.

Zuständigkeitsprobleme und Komplexität erschweren die Sicherheit

Erschwerend hinzu kommt, dass Web-Frontends und APIs häufig von unterschiedlichsten Organisationseinheiten innerhalb und auch außerhalb des Unternehmens betrieben werden. Dies kann dazu führen, dass nicht vollständig geklärt ist, wer überhaupt für eine Überwachung verantwortlich wäre.

Und gleichzeitig ist die Überwachung ohnehin schon kompliziert. Insbesondere bei Machine-to-Machine Kommunikation mit externen Adressaten bestehen hoch-dynamische Prozesse innerhalb des Aufbaus und der Veränderung der Schnittstellen. Verantwortliche IT-Organisationen haben daher selbst nur selten vollständige Transparenz über Existenz, Betrieb und Veränderungen dieser Schnittstellen.

Und hier entsteht dann die sehr große Gefahr für das eigene Netzwerk. Denn wenn der Einblick in Web-Apps und APIs fehlt, hat die Compliance keine Chance, bestehende Schwachstellen und Angriffsziele und deren Behebung systematisch zu überwachen.

Tools können Abhilfe schaffen

Ohne strukturierte Tool-Unterstützung lassen sich diese Angriffsflächen für Banken und Versicherungen nicht beherrschen. Mit Tools, die aufgrund der Dynamik in Aufbau- und Veränderung von Web-Anwendungen und APIs automatisiert und rasch nach Schwachstellen suchen, lässt sich der unüberschaubare „Kosmos“ der von außen erreichbaren Schnittstellen sehr gut managen. Wenn Schwachstellen gefunden wurden, müssen diese Tools neben einem transparenten und nachvollziehbaren Reporting, leicht verständliche Maßnahmen zur Behebung dieser mitliefern. da in diesem Bereich Schwachstellen äußerst komplex sein können.

Diese Komplexität steigert sich darüber hinaus wegen des sich permanent verändernden Angreiferverhaltens. Ein Tool kann dem nur beikommen, wenn es der Philosophie des Threat-Led-Penetration-Test verfolgt. Eine Anforderung, die der DORA für größere Institute festgelegt hat. In der Verwendung solcher Tools ist der Bereich also regelmäßig gemäß des TLPT-Gedankenabgedeckt und kann damit bei den wiederkehrenden allgemeinen Tests ausgelassen werden.

F5 Web App Scanner als Lösung

Die Lösung für diese neuen Hürden, ist der Web-App-Scanner von F5. Es ist die vollumfänglichste Lösung, wenn es um das Finden von Schwachstellen in Web-Apps und APIs geht.

Was DORA vorschreibt und wie der F5-Web-App Scanner das löst

  1. Die Pflicht zum mindestens wöchentlichen Scannen von Schwachstellen:
    F5 WAS durchsucht kontinuierlich die externen Angriffsflächen und informiert über neue Dienste in der eigenen Infrastruktur. Und die Threat Intelligence versorgt umgehend mit neuen Schwachstelleninformationen.
  2. Lückenlose Überwachung und Protokollierung von IKT-bezogenen Vorfällen:
    F5 WAS erstellt automatisiert detaillierte Berichte über Schwachstellen und deren Behebung. Darüber hinaus werden konkrete Empfehlungen zur Behebung mitgeliefert und das Berichtswesen entspricht den DORA-Nachweisanforderungen.
  3. Etablierung eines risikobasierten Testprogramms, das die Netzsicherheit und die physische Sicherheit prüft, sowie Gap-Analysen, szenariobasierte Tests, Kompatibilitätstests oder Penetrationstests umfasst:
    F5 WAS bietet Vulnerability Assessments, Scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Gap-Analysen, physische Sicherheitsüberprüfungen, Fragebögen, Szenariotests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Threat-Led-Penetration-Testing.
  4. Risiken, die durch die Nutzung von IKT-Dienstleistungen mit IKT-Drittdienstleistern entstehen können, müssen fortwährend überprüft werden:
    F5 WAS arbeitet eng mit Aufsichtsbehörden zusammen, um sicherzustellen, dass die Tests den regulatorischen Anforderungen entsprechen.

DORA ist ein Schritt zu mehr Sicherheit

Nein, mit DORA sind noch nicht alle Banken, Versicherungen und Finanzdienstleister auf einen Schlag sicher, aber das Augenmerk auf Schwachstellen zu legen ist richtig und sorgt am Ende für mehr Sicherheit.

Mit Tools wie dem F5 Web App Scanner werden diese wichtigen Einrichtungen besser geschützt und die Daten der Kunden sind einen Schritt sicherer.

Zurück

DAS KÖNNTE DICH AUCH INTERESSIEREN

18.12.2024

Ökoprofit 2024: DATAKOM wird ausgezeichnet

Ein weiterer Meilenstein in unseren ökologischen Bemühungen

01.10.2024

Nvidia-Sicherheitslücke bedroht Cloud-KI-Systeme: Eine tiefere Analyse

Hier die Analyse über die Gefahren sowie die notwendigen Schritte, um diese zu minimieren.