Zum Inhalt springen
Resilience Platform Resilience Platform

DORA Kapitel IV / Testarten

12 Operative Testarten nach DORA.

Detaillierte Übersicht aller Testmethoden für digitale operationale Resilienz mit Schutzzielen, Anwendungsbereichen und regulatorischem Bezug.

Hinweis: Diese Inhalte stellen keine vollständige Wiedergabe der DORA-Verordnung dar. Die Darstellung bietet eigene, praxisnahe Interpretationen der Anforderungen zur Unterstützung der Umsetzung. Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.

Management-Zusammenfassung

  • 12 operative Testarten decken technische, prozessuale und organisatorische Resilienzprüfungen ab.
  • Jede Testart ist mit DORA-Artikeln, Schutzzielen und regulatorischen Anforderungen verknüpft.
  • Systematische Auswahl und Kombination von Testarten ermöglicht effiziente Testprogramm-Gestaltung.
  • Abgestimmt auf DORA Kapitel IV (Resilienztests) und EBA-Leitlinien.

Technische Tests

Art. 24(1) vulnerability-scanning

Schwachstellen-Scanning

Technisch

Proaktive Erkennung bekannter Sicherheitslücken in Hard- und Softwarekomponenten vor Ausnutzung durch Bedrohungsakteure.

Anwendungsbereich

Automatisierte Identifikation technischer Schwachstellen in IKT-Systemen und -Netzwerken durch standardisierte Scan-Tools. Ergänzt durch manuelle Validierung kritischer Befunde.

Schutzziele

  • Einsatz zertifizierter Schwachstellenscanner
  • Zyklenbasierte Scan-Planung
  • Priorisierung nach CVSS-Score
  • Integration in Patch-Management
Minimale Frequenz 3 Monate
Kritikalität Alle Assets
Nachweisanforderungen
  • Scan-Bericht mit Zeitstempel
  • Liste identifizierter Schwachstellen
  • Eskalationsprotokoll für Critical/High
  • Remediation-Tracking
Art. 24(2) penetration-testing

Penetrationstests

Technisch

Validierung der tatsächlichen Widerstandsfähigkeit gegen realistische Angriffszenarien über die reine Schwachstellenerkennung hinaus.

Anwendungsbereich

Simulierte Angriffe auf IKT-Systeme durch qualifizierte Tester, um tatsächliche Angriffspfade und Exploitationsmöglichkeiten zu identifizieren. Kombiniert automatisierte Tools mit manueller Expertise.

Schutzziele

  • Externe oder interne Testteams
  • Definierte Testziele und -grenzen
  • Regelbasierte Autorisierung (RoE)
  • Nachweis der Exploitierbarkeit
Minimale Frequenz 12 Monate
Kritikalität kF 3-4 (Hoch/Sehr Hoch)
Nachweisanforderungen
  • Technical Report mit Befunden
  • Executive Summary für Management
  • Remediation-Plan mit Zeitplan
  • RoE-Dokumentation
Art. 24(1), Art. 9 security-configuration-review

Sicherheitskonfigurations-Review

Technisch

Sicherstellung, dass Systeme gemäß Sicherheitsrichtlinien konfiguriert sind und keine unsicheren Default-Einstellungen oder veralteten Protokolle verwendet werden.

Anwendungsbereich

Systematische Überprüfung der Konfiguration kritischer IKT-Komponenten (Betriebssysteme, Datenbanken, Netzwerkgeräte, Cloud-Services) gegen Hardening-Standards und Best Practices.

Schutzziele

  • CIS Benchmarks oder äquivalent
  • Automatisierte Compliance-Scans
  • Manuelle Stichprobenvalidierung
  • Drift-Erkennung für Konfigurationsänderungen
Minimale Frequenz 6 Monate
Kritikalität kF 3-4 (Hoch/Sehr Hoch)
Nachweisanforderungen
  • Konfigurations-Checklist
  • Abweichungsreport
  • Hardening-Nachweis
  • Change-Tracking-Log
Art. 24(1), Art. 8-10 application-security-testing

Applikationssicherheitstests

Technisch

Sicherstellung der sicheren Entwicklung und des Betriebs von Applikationen, die kritische Geschäftsprozesse oder sensible Daten verarbeiten.

Anwendungsbereich

Sicherheitsüberprüfungen von selbstentwickelten und eingesetzten Anwendungen (Web, Mobile, API), um Schwachstellen im Code und in der Architektur zu identifizieren.

Schutzziele

Minimale Frequenz 3 Monate
Kritikalität kF 3-4 (Hoch/Sehr Hoch)
Nachweisanforderungen
  • Source-Code-Scan-Report
  • Runtime-Assessment-Ergebnisse
  • Dependency-Vulnerability-Check
  • False-Positive-Validierung