EU-DORA-Compliance
Die EU-Digital Operational Resilience Act (DORA) verpflichtet Finanzinstitute, die Resilienz ihrer IKT-Systeme zu testen. Erfahren Sie, wie ImmuniWeb die Schwachstellenanalysen und Penetrationstests gemäß DORA unterstützt.
Einhaltung des EU-Gesetzes über digitale operative Resilienz (DORA)
Was ist die EU-DORA?
DORA schafft einen einheitlichen, EU-weiten Rahmen für die digitale operative Widerstandsfähigkeit von Finanzunternehmen. Es basiert auf fünf Säulen: IKT-Risikomanagement, Meldung von IKT-bezogenen Vorfällen, Tests der digitalen operativen Widerstandsfähigkeit, IKT-Drittanbieter-Risikomanagement und Informationsaustausch.
Der Testbereich ist zentral für die Anwendungssicherheit: Unternehmen müssen ein Programm zur Prüfung der Resilienz durchführen, das Schwachstellenanalysen und Penetrationstests umfasst, und die wichtigsten Unternehmen müssen erweiterte Threat-Led Penetration Testing (TLPT) durchführen.
Sehen Sie, wie ImmuniWeb die DORA-Resilienztests unterstützt – Schwachstellenanalysen und Penetrationstests Ihrer Finanzanwendungen. Fordern Sie eine Demo an · oder führen Sie einen kostenlosen Community Edition Test durch.
Who Must Comply with DORA?
DORA gilt im gesamten Finanzsektor der EU:
- Finanzinstitute – Banken, Versicherer, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Krypto-Asset-Dienstleister, Handelsplätze und mehr.
- Kritische IKT-Drittanbieter, die dem Finanzsektor dienen und einem Aufsichtsregime unterliegen.
- Entitäten unterschiedlicher Größe – wobei der Verhältnismäßigkeitsgrundsatz auf kleinere Entitäten angewandt wird.
Die von diesen Einrichtungen betriebenen Web-, Mobil- und API-Anwendungen fallen eindeutig in den Anwendungsbereich der DORA-Resilienztests.
Wichtige DORA-Anforderungen an die Anwendungssicherheit
Der DORA-Pfeiler „Digital Operational Resilience Testing“ treibt die Anwendungssicherheitsarbeit voran:
- Resilience Testing Programm (Artikel 24–25): Regelmäßige Tests von ICT-Systemen, einschließlich Vulnerability Assessments, Scans und Penetration Testing, mit Behebung der festgestellten Mängel.
- Bedrohungsorientierte Penetrationstests (Articles 26-27): Fortgeschrittene, intelligenzgesteuerte Penetrationstests (basierend auf TIBER-EU) für bedeutende Einrichtungen, mindestens alle drei Jahre.
- IKT-Risikomanagement & Drittanbieterrisiken: : Identifizieren und schützen Sie IKT-Assets, einschließlich solcher, die von Providern betrieben werden.
DORA Resilience-Testing Requirements in Depth
Digital Operational Resilience Testing (Articles 24-25)
DORA verlangt ein risikobasiertes Testprogramm, das IKT-Systeme und -Anwendungen abdeckt, einschließlich Schwachstellenanalysen, Scans und Penetrationstests. Für internetexponierte Finanzanwendungen bedeutet dies regelmäßige Web- und Mobile Penetrationstests und Scans, inklusive Remediation und Retesting.
Bedrohungsgetriebene Penetrationstests (Artikel 26–27)
Significant financial entities must perform advanced Threat-Led Penetration Testing - realistic, intelligence-led attacks against live production systems, based on the TIBER-EU framework, at least every three years. Manual, expert-led penetration testing is core to meeting this requirement.
Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind
Die Schwachstellen, die das Testprogramm von DORA in Finanzanwendungen aufdecken soll, entsprechen stark den OWASP Top 10:
- Broken Access Control — Benutzer erreichen Daten oder Aktionen, die sie nicht erreichen sollten.
- Kryptografische Ausfälle – schwache oder fehlende Verschlüsselung, die sensible Daten exponiert.
- Injektion — SQL-, Befehls- oder sonstige Injektionen durch nicht validierte Eingaben.
- Insecure Design — fehlende Sicherheitskontrollen durch Design, nicht nur durch Bugs.
- Sicherheitsmiskonfiguration — Standard-, unvollständige oder unsichere Konfiguration.
- Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
- Identification & Authentication Failures —weak login, session or credential handling.
- Software- und Datenintegritätsfehler — nicht vertrauenswürdige Updates, unsichere CI/CD-Pipelines.
- Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
- Server-Side Request Forgery (SSRF) — Der Server wird dazu verleitet, bösartige Anfragen zu stellen.
Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.
So gehen Sie DORA-Resilienztests mit ImmuniWeb an
- 1. Kartieren Sie Ihre IKT-Assets. Inventarisieren Sie internetexponierte Finanz-Apps und APIs mit ImmuniWeb Discovery.
- 2. Führen Sie Schwachstellenanalysen (Art. 24-25) mit Neuron Scanning durch.
- 3. Penetration test web and mobile applications with On-Demand and MobileSuite.
- 4. Unterstützung von TLPT (Art. 26–27) durch expertengeführte, intelligence-gestützte manuelle Tests.
- 5. Remediate and retest with actionable, zero-false-positive reports.
- 6. Testen Sie kontinuierlich mit Continuous in CI/CD, um die Widerstandsfähigkeit aktuell zu halten.
So hilft Ihnen ImmuniWeb bei der DORA-Compliance.
ImmuniWeb unterstützt den DORA-Pfeiler für Resilienztests mit den von der Verordnung geforderten Schwachstellenanalysen und Penetrationstests.
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| Resilienz-Tests (Art. 24–25) | Schwachstellenanalysen, Scans und Penetrationstests. | On-Demand, Neuron, Continuous |
| TLPT (Art 26-27) | Fortgeschrittene, bedrohungsgetriebene Penetrationstests. | On-Demand, MobileSuite |
| IKT-Assets und Drittanbieterrisiken | Kartierung und Überwachung der externen Angriffsfläche. | Discovery (ASM / Dark Web) |
ImmuniWeb On-Demand und MobileSuite führen manuelle Web- und Mobile-Penetrationstests durch (einschließlich Unterstützung für TLPT-ähnliche Engagements); Neuron und Neuron Mobile bieten automatisiertes Scanning; Continuous integriert Tests in CI/CD; und Discovery kartiert Ihre Angriffsfläche für ICT- und Drittanbietersrisiken.
DORA im Vergleich zu internationalen Frameworks
Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:
| Framework | Aspekt der Anwendungssicherheit | Wie ImmuniWeb abbildet |
|---|---|---|
| EU-DORA | Resilienztests: Schwachstellenanalysen, Penetrationstests, TLPT | Web/mobile pentest, scanning, ASM, TLPT support |
| EU NIS 2 | Risikomanagementmaßnahmen gemäß Artikel 21 | Dieselben Tests decken beide ab |
| ISO/IEC 27001 | Anhang A technische Kontrollen | Tests als Kontrollnachweis |
| PCI DSS 4.0.1 | Req 6 & Req 11 | Web app pentest + scanning |
Penetrationstests vs. Security Scanning
Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.
Compliance-Checkliste (Anwendungssicherheit)
- Inventar der internetexponierten Finanz-Apps und APIs
- Regelmäßig durchgeführte Schwachstellenanalysen und -scans (Art. 24–25)
- Penetrationstests für Web- und mobile Anwendungen
- Bedrohungsorientierte Penetrationstests für erhebliche Unternehmen (Art. 26–27)
- Findings remediated and re-tested; evidence retained
- In CI/CD integrierte Tests für anhaltende Resilienz
- Überwachung der ICT-Drittanbieter- und Angriffsflächenrisiken
Warum DORA-Compliance wichtig ist
DORA unterliegt der direkten Aufsicht der Finanzaufsichtsbehörden, und die zuständigen Behörden können bei Nichteinhaltung Verwaltungsmaßnahmen und Bußgelder verhängen. Resilienztests sind eine ausdrückliche, wiederkehrende Verpflichtung – und keine unverbindliche Übung.
Da Web-, Mobil- und API-Anwendungen eine primäre Angreifungsfläche für Finanzinstitute darstellen, ist ein nachweisbares Testing einer der direktesten Wege, DORAs Testing-Pillar zu erfüllen und das operationale Risiko zu verringern.