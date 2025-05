München (ots) - Dennis Weyel zu DORA: "Alle drei Jahre ein Pentest ist viel zu

wenig. Monatliche oder sogar wöchentliche Tests wären wesentlich effektiver."



Mit der Anwendung des Digital Operational Resilience Act (DORA) seit 17. Januar

dieses Jahres sind Finanzinstitute in der EU verpflichtet, regelmäßig Threat-Led

Penetration Testing (TLPT) durchzuführen. Dabei wird die IT-Infrastruktur einem

simulierten Cyberangriff unterzogen, um Schwachstellen zu identifizieren und

diese so rasch wie möglich beheben zu können. "Das ist zwar gut, aber der

vorgeschriebene dreijährige Prüfungszyklus ist angesichts der Dynamik in der

Cyberkriminalität viel zu lang", bewertet der Sicherheitsexperte Dennis Weyel,

International Technical Director bei der Cybersecurityfirma Horizon3.ai. Das

Unternehmen ist Betreiber der autonomen Pentesting-Plattform NodeZero, auf der

Finanzdienstleister beliebig oft ihre IT-Infrastruktur Pentests unterziehen

können, um potenzielle Sicherheitslücken aufzuspüren. Technikchef Dennis Weyel

verweist auf Erkenntnisse des Bundesamtes für Sicherheit in der

Informationstechnologie (BSI), wonach täglich knapp 70 sog. Vulnerabilities

("Verletzlichkeiten") in Softwareprodukten zu verzeichnen sind, von denen das

Amt 15 Prozent als "kritisch" einstuft.







Unding für einen Finanzdienstleister, nur alle drei Jahre zu überprüfen, ob die

IT-Infrastruktur einem Angriff tatsächlich standhält oder in die Knie geht",

erklärt Dennis Weyel. Er rechnet vor: "Angesichts von weit mehr als 11.000

amtlich als kritisch eingestuften Sicherheitslücken in dieser Zeitspanne würde

es geradezu an ein Wunder grenzen, wenn es Cyberkriminellen in den drei Jahren

nicht gelänge, in eine Bank oder Sparkasse oder Assekuranz einzubrechen."



"Nadel im Heuhaufen finden"



Die größte Herausforderung besteht nach Einschätzung des Sicherheitsexperten

darin, aus der ungeheuren Menge an möglichen IT-Schwachstellen diejenigen

herauszufiltern, die tatsächlich in einem Unternehmen ausgenutzt werden können,

und diese für eine schnelle Behebung zu priorisieren. "Die Liste möglicher

Einfallstore ist lang, von veralteten Programmen an irgendeiner Stelle über

schwache und mehrfach verwendete Passworte oder übermäßig weitreichende

Zugriffsrechte für einzelne Sachbearbeitungsstellen bis hin zu Bedrohungen aus

der Softwarelieferkette", verdeutlicht Dennis Weyel die Dimension der Aufgabe.

Er erläutert: "In dieser in der Regel heterogenen und unübersichtlichen

IT-Landschaft eine Sicherheitslücke aufzuspüren ist wie die berühmte Nadel im

Heuhaufen zu finden. Hacker schaffen das aber, und deshalb müssen die Seite 2 ► Seite 1 von 3





"Bei über 25.000 neuen potenziellen Einfallstoren für Hacker im Jahr ist es einUnding für einen Finanzdienstleister, nur alle drei Jahre zu überprüfen, ob dieIT-Infrastruktur einem Angriff tatsächlich standhält oder in die Knie geht",erklärt Dennis Weyel. Er rechnet vor: "Angesichts von weit mehr als 11.000amtlich als kritisch eingestuften Sicherheitslücken in dieser Zeitspanne würdees geradezu an ein Wunder grenzen, wenn es Cyberkriminellen in den drei Jahrennicht gelänge, in eine Bank oder Sparkasse oder Assekuranz einzubrechen.""Nadel im Heuhaufen finden"Die größte Herausforderung besteht nach Einschätzung des Sicherheitsexpertendarin, aus der ungeheuren Menge an möglichen IT-Schwachstellen diejenigenherauszufiltern, die tatsächlich in einem Unternehmen ausgenutzt werden können,und diese für eine schnelle Behebung zu priorisieren. "Die Liste möglicherEinfallstore ist lang, von veralteten Programmen an irgendeiner Stelle überschwache und mehrfach verwendete Passworte oder übermäßig weitreichendeZugriffsrechte für einzelne Sachbearbeitungsstellen bis hin zu Bedrohungen ausder Softwarelieferkette", verdeutlicht Dennis Weyel die Dimension der Aufgabe.Er erläutert: "In dieser in der Regel heterogenen und unübersichtlichenIT-Landschaft eine Sicherheitslücke aufzuspüren ist wie die berühmte Nadel imHeuhaufen zu finden. Hacker schaffen das aber, und deshalb müssen die