Software-QS-Tag 2024

07.11.2024
09:55 - 10:40 Uhr

Vortrag
Automation & Tools

Prof. Dr. Jan Jürjens
Fraunhofer ISST & Uni Koblenz

Sicherheitstesten für Compliance am Beispiel DORA

Der Vortrag zeigt, wie Sicherheitstesten so durchgeführt werden kann, dass die Anforderungen relevanter Regularien erfüllt werden. Dies wird am Beispiel der EU-Verordnung „Digital Operations Resiliency Act (DORA)“ veranschaulicht, die das Ziel hat, die Widerstandsfähigkeit, Zuverlässigkeit und Kontinuität von Finanzdienstleistungen in der EU zu stärken und im Finanzbereich bis 17. Januar 2025 umgesetzt werden muss.

Das Gesetz in Form einer Verordnung erlegt Dienstleistern (und Drittanbietern ihrer kritischen Dienste) neue Anforderungen auf, um Unterbrechungen digitaler betrieblicher Dienste, wie sie von Finanzunternehmen erbracht werden, zu verhindern, abzumildern und ihre Auswirkungen zu verringern.

Konkret wird erforderlich:

  • Ein jährliches Programm für Sicherheitstests (z. B. Netzwerksicherheitstests, Penetrationstests, Web-App-Tests, Social Engineering usw.) aufzustellen, das von zertifizierten und erfahrenen internen oder externen Prüfern durchgeführt wird.
  • Mindestens einmal alle drei Jahre ein Advanced Threat Led Penetration Test (TLPT) für kritische Infrastrukturen und Dienste durchzuführen. Dieser muss von zertifizierten und erfahrenen internen oder externen Prüfern durchgeführt werden.
  • Einbeziehung von IKT-Drittanbietern kritischer Dienste in den Geltungsbereich des TLPT.
  • Sicherstellung der Behebung aller durch Re-Tests oder Revalidierung festgestellten Probleme.
  • Nutzung einer externen Threat Intelligence-Funktion.
  • Den zuständigen Behörden nach Abschluss des TLPT Bescheinigungsberichte, Zusammenfassungen der Ergebnisse und Pläne zur Behebung der Probleme vorzulegen.

Anhand von praktischen, Werkzeug-gestützten Anwendungsbeispielen wird gezeigt, wie diese Herausforderungen im Rahmen einer umfassenden Sicherheitstestmethodik bewältigt werden können.

Dabei betrachten wir die folgenden Fragen:

  • Wie beeinflusst der DORA die Anforderungen und das Vorgehen im IT-Sicherheitstesten ?
  • Wie können Unternehmen den DORA-Anforderungen gerecht werden und gleichzeitig ein effektives IT-Sicherheitstesten aufrechterhalten?
  • Welche Maßnahmen und Kontrollen sind erforderlich, um die Resilienz der digitalen Operationen gemäß den DORA-Anforderungen durch IT-Sicherheitstesten zu überprüfen ?

Prof. Dr. Jan Jürjens, Fraunhofer ISST & Uni Koblenz

Jan Jürjens ist Director Research Projects am Fraunhofer Institut für Software- und Systemtechnik ISST (Dortmund) und leitet als Professor für Software-Engineering an der Universität Koblenz das Institut für Softwaretechnik und das Institut für Informatik. Er studierte Mathematik an den Universitäten Bremen und Cambridge, promovierte in Informatik an der Universität Oxford, war als Postdoc an der TU München tätig, und vor seiner Tätigkeit in Koblenz zuletzt Professor an der TU Dortmund, Royal Society Industrial Fellow bei Microsoft Research (Cambridge) sowie non-stipendiary Research Fellow am Robinson College (Universität Cambridge), wo er 2009 zum Senior Member ernannt wurde. Er ist Autor des Buches "Secure Systems Development with UML" (Springer-Verlag 2005, chinesische Übersetzung 2009) und vieler weiterer Veröffentlichungen im Bereich sichere Software und Sicherheitstesten.
Weitere Informationen: http://jan.jurjens.de