Full-Scope Outsourcing
Full-Scope-Outsourcing Vulnerability Oversight
Strukturierte Governance-, Risiko- und Evidence-Architektur für das Schwachstellenmanagement bei vollständig ausgelagerten IKT-Services gemäss DORA Art. 5-8, 28-30 und MaRisk AT 9.
4
Sicherheitszonen
10
Provider-Assets
9
Scan-Typen
4
SLA-Stufen
4
Ausnahmen
17
Evidence-Items
🎯 Problemstellung
Finanzinstitute, die kritische Funktionen im Full-Scope-Outsourcing betreiben, stehen vor einem grundlegenden Dilemma:
Sie sind regulatorisch für das Schwachstellenmanagement verantwortlich — aber die operative Infrastruktur liegt vollständig beim Provider.
Der Provider betreibt Scanner, Patch-Management und ITSM-Prozesse. Das Institut muss dennoch sicherstellen, dass Schwachstellen erkannt, priorisiert, behoben und nachgewiesen werden können.
⚖️ Regulatorischer Rahmen
DORA Art. 5-8
IKT-Risikomanagement — Identifikation, Schutz, Erkennung, Reaktion, Wiederherstellung
DORA Art. 28-30
IKT-Drittparteienrisiko — Informationsregister, Due Diligence, Vertragsklauseln, Right-to-Test
MaRisk AT 9
Auslagerung — Wesentlichkeit, Risikoanalyse, Steuerung, Kontrolle, Dokumentation
ECB/SSM AI Letter (2026)
Beschleunigtes Patch-Management, Third-Party-Readiness-Prüfung, Management Body Oversight
🔑 Governance-Zone statt Blindflug
Die Plattform trennt konsequent zwischen Provider-Zone und Institut-Governance-Zone:
Provider
Assets · Scanner · operative Tickets · Patching · Staging · technische Remediation
Finanzinstitut
Informationsregister · Kontroll-Dashboard · SLA-Überwachung · Ausnahmefreigaben · Evidence · Eskalation
📋 Datenfluss & Kontrollarchitektur
🏛️ Zonenarchitektur für Full-Scope-Outsourcing
Vier Sicherheitszonen mit unterschiedlichen Zugriffsrechten, Kontrollebenen und Datenflüssen
Provider Operative Zone
Betrieb und Management der vom Provider betriebenen Systeme und Infrastruktur
Secure Integration Layer
Geschützte Kommunikations- und Datenaustauschschicht zwischen Provider und Institut
Financial Institution Governance Zone
Institutseigene Governance, Risikobewertung und Entscheidungsfindung
Evidence & Reporting Layer
Zentrale Sammlung, Aufbereitung und Bereitstellung von Nachweisen für Prüfung und Aufsicht
Provider Asset Inventory
Vollständiges Inventar aller vom Provider betriebenen Assets
Provider Vulnerability Scanner
Schwachstellenscanner des Providers für infrastrukturelle und anwendungsspezifische Scans
Provider ITSM / Ticket-System
Ticket-System des Providers für Nachverfolgung von Schwachstellen
Secure API Gateway
API-Gateway mit Authentisierung, Autorisierung und Verschlüsselung für Provider-Daten
Information Register (kwF)
Register der kritischen und wichtigen Funktionen gemäss DORA
Read-Only Vulnerability Dashboard
Institutseigener, read-only Zugriff auf Schwachstellendaten des Providers
Governance Workspace
Arbeitsbereich für Risikobewertung, Entscheidungsfindung und Governance
Evidence Repository
Zentrales Repository für Prüfungsnachweise und Dokumentation
📦 Provider-Asset-Synchronisation
Jedes Asset muss einer kritischen oder wichtigen Funktion zugeordnet werden
| Asset (Placeholder) | Typ | Exposure | Kritische Funktion | DORA-Criticality | CIF-Zuordnung | Shadow-IT |
|---|---|---|---|---|---|---|
| PRV-DB-001 | Datenbank | intern | Kernbankenplattform | kritisch | ✅ | – |
| PRV-APP-001 | Anwendung | extern | Kundenportal | kritisch | ✅ | – |
| PRV-SRV-001 | Server | intern | Transaktionsverarbeitung | kritisch | ✅ | – |
| PRV-NET-001 | Netzwerkgerät | intern | Netzwerkinfrastruktur | hoch | ✅ | – |
| PRV-CNT-001 | Container | intern | Microservice-Plattform | hoch | ✅ | – |
| PRV-STO-001 | Storage | intern | Datenhaltung Kernbanksystem | kritisch | ✅ | – |
| PRV-DEV-001 | Entwicklungsumgebung | intern | Softwareentwicklung | niedrig | ⚠️ Fehlt | ⚠️ |
| PRV-IAM-001 | Identity & Access Management | extern | Berechtigungsmanagement | kritisch | ✅ | – |
| PRV-BKUP-001 | Backup-System | intern | Notfallwiederherstellung | hoch | ✅ | – |
| PRV-API-001 | API / Schnittstelle | extern | Open-Banking-Schnittstelle | kritisch | ✅ | – |
🔬 Provider Scan Coverage Register
9 Scan-Typen| Scan-Typ | Covered Assets | Frequenz | Letzter Scan | Nächster Scan | Exclusions | Read-Only |
|---|---|---|---|---|---|---|
| Authenticated Infrastructure Scan | Server, Datenbanken, Netzwerkgeräte | wöchentlich | Keine dokumentierten Ausschlüsse | ✅ | ||
| External Perimeter Scan | Externe IP-Bereiche, DMZ-Systeme | wöchentlich | Keine dokumentierten Ausschlüsse | ✅ | ||
| Web App / API DAST | Webanwendungen, APIs, Kundenportal | monatlich | Keine dokumentierten Ausschlüsse | ✅ | ||
| SAST (Static Analysis) | Quellcode eigener Anwendungen | bei jedem Build | Keine dokumentierten Ausschlüsse | ❌ | ||
| SCA (Software Composition Analysis) | Open-Source-Bibliotheken, Dependencies | bei jedem Build | Keine dokumentierten Ausschlüsse | ❌ | ||
| Container Image Scan | Docker-Images, Kubernetes-Container | bei jedem Build & wöchentlich | Keine dokumentierten Ausschlüsse | ✅ | ||
| SBOM Review | Software-Komponenten, Abhängigkeiten | quartalsweise | Keine dokumentierten Ausschlüsse | ❌ | ||
| Cloud Configuration Review | Cloud-Ressourcen, IAM-Richtlinien, Netzwerkkonfigurationen | monatlich | Keine dokumentierten Ausschlüsse | ✅ | ||
| Identity & Privileged Access Review | Administrative Accounts, Service-Accounts, IAM-Rollen | monatlich | Keine dokumentierten Ausschlüsse | ❌ |
📊 DORA Risk Score — Formel
DRS = CVSS × Asset-Kritikalität × Threat Intelligence × Exposure × Provider-Dependency
Asset-Kritikalitätsfaktor
Threat-Intelligence-Faktor
Exposure-Faktor
Provider-Dependency-Faktor
📊 Klassifikation
⏱ Patch SLA Default-Profil
4 SLA-Stufen| Severity | DRS Range | Deadline | Emergency Change | Bank Approval | Breach Escalation |
|---|---|---|---|---|---|
| critical | >= 15 (Emergency) | 24 Stunden | ⚠️ Erforderlich | Nachträgliche Genehmigung durch CISO | Sofort an CISO + IKT-Risikomanagement + Management Body |
| high | 10 – 14.9 (High) | 7 Tage | – | Nicht erforderlich, aber Dokumentation im Governance Workspace | Nach 7 Tagen an CISO + Provider Manager |
| medium | 4 – 9.9 (Medium) | 30 Tage | – | Nicht erforderlich | Nach 30 Tagen an Provider Manager |
| low | < 4 (Low) | Regulärer Patch-Zyklus (90 Tage) | – | Nicht erforderlich | Nach 90 Tagen an Provider Manager (informativ) |
⚠️ Diese Werte sind Defaults und erfordern institutsspezifische Kalibrierung.
🔄 Provider Ticket Mirror — Status-Mapping
🚨 SLA Breach Monitor — Eskalationsstufen
⚠️ Patch Exception Register
4 AusnahmenPVG-EX-001: CVE-2026-XXXX
Asset: PRV-DB-001 (Kernbanken-Datenbank) · DORA Risiko: 16.5
Grund: Patch verursacht Inkompatibilität mit kundenspezifischer Anpassung, vollständige Regressionstests erforderlich
Kompensierende Kontrolle: Netzwerksegmentierung der Datenbank auf isoliertes VLAN, WAF-Regel zur Blockade bekannter Exploit-Vektoren, Erhöhtes Monitoring (24×7) der Datenbankzugriffe, Intrusion-Detection-Signatur für CVE-spezifische Angriffsmuster aktiviert, Manuelle tägliche Prüfung der Zugriffslogs auf Anomalien
PVG-EX-002: CVE-2026-YYYY
Asset: PRV-SRV-001 (Legacy-Transaktionsserver) · DORA Risiko: 12.3
Grund: Betriebssystemversion wird vom Hersteller nicht mehr supported, Migration auf neue Version in Planung
Kompensierende Kontrolle: Strikte Netzwerksegmentierung (nur noch Kommunikation mit autorisierten Systemen), Application-Level-Whitelisting aktiviert, Erhöhtes Monitoring auf bekannte Angriffsmuster, Wöchentliches Vulnerability-Scanning des isolierten Segments, Beschleunigte Migration auf supported Version (Projekt mit definiertem Meilenstein)
PVG-EX-003: CVE-2026-ZZZZ
Asset: PRV-APP-001 (Kundenportal Drittanbieter-Komponente) · DORA Risiko: 8.1
Grund: Patch muss vom Softwarehersteller bereitgestellt werden, Veröffentlichung für Q3/2026 angekündigt
Kompensierende Kontrolle: WAF-Regel zur Blockade bekannter Exploit-Vektoren, Regelmässiger Austausch mit Hersteller zum Patch-Status, Manuelle Überprüfung der betroffenen Funktionalität
PVG-EX-004: CVE-2026-AAAA
Asset: PRV-NET-001 (Netzwerk-Firewall) · DORA Risiko: 11
Grund: Hersteller hat End-of-Life angekündigt, kein Patch mehr verfügbar. Hardware-Austausch in Planung.
Kompensierende Kontrolle: Ersatzbeschaffung eingeleitet (Projekt mit Meilensteinplan), Erhöhte Überwachung der Firewall-Logs, Regelmässige manuelle Konfigurationsprüfung, Segmentierung hinter weiterer Firewall-Ebene (Defence-in-Depth)
✅ Right-to-Test Prüfpunkte
Provider Scan Report Review
Prüfung der vom Provider bereitgestellten Scan-Berichte auf Vollständigkeit und Plausibilität
Read-Only Dashboard Review
Analyse der Schwachstellendaten über das Read-Only Dashboard des Providers
Unabhängiger externer Penetrationstest
Vom Institut beauftragter Penetrationstest der Provider-Umgebung (gemäss vereinbarten Grenzen)
Stichprobenartige Asset-Validierung
Abgleich der vom Provider gemeldeten Assets mit institutseigenen Erkenntnissen zur Identifikation von Shadow-IT
Patch-SLA-Compliance-Validierung
Überprüfung der Einhaltung der vereinbarten Patch-SLAs durch unabhängige Zeitstempelprüfung
Kompensationsmassnahmen-Review
Prüfung der Wirksamkeit von Kompensationsmassnahmen für gewährte Patch-Ausnahmen
Provider-eigene Schwachstellenbewertung prüfen
Prüfung der vom Provider vorgenommenen CVSS-Bewertungen auf Plausibilität und Vollständigkeit
Right-to-Test-Ausübung protokollieren
Dokumentation der Ausübung des Right-to-Test gemäss vertraglicher Vereinbarung und aufsichtlicher Erwartung
🔬 Validierungsarten
Dokumentenprüfung
Prüfung der vom Provider bereitgestellten Dokumente und Berichte auf Vollständigkeit und Plausibilität
Technische Prüfung
Technische Überprüfung von Schwachstellendaten, Logs oder Konfigurationen (Read-Only)
Externer Test
Vom Institut beauftragte unabhängige Sicherheitstests beim Provider
Abgleich / Reconciliation
Systematischer Abgleich von Provider-Daten mit institutseigenen Datenquellen
Datenanalyse
Automatisierte oder manuelle Analyse von Performance-Daten, SLA-Einhaltung und Trends
Dokumentation
Systematische Dokumentation der Ausübung von Prüfungs- und Kontrollrechten
📁 Provider Vulnerability Evidence Pack
17 Evidence-ItemsProvider Vulnerability Scope Definition
Nachweis der definierten Scope-Abgrenzung fuer das Schwachstellenmanagement beim Provider inkl. Verantwortungsmatrix
Provider Asset Inventory (synchronisiert)
Nachweis des vollstaendigen, synchronisierten Asset-Inventars des Providers inkl. CIF-Zuordnung und Shadow-ICT-Erkennung
Provider Scan Coverage Report
Nachweis der vollstaendigen Scan-Abdeckung aller relevanten Provider-Assets inkl. Ausschluessen und Begruendungen
DORA Risk Score Berechnungen (alle aktuellen Findings)
Nachweis der risikobasierten Priorisierung aller aktuellen Provider-Schwachstellen nach DORA Risk Score 2.0
Provider Patch SLA Compliance Report
Nachweis der Einhaltung der vereinbarten Patch-SLAs durch den Provider inkl. Abweichungsanalyse
Ticket Mirror Status Log
Nachweis der Synchronisation und Nachverfolgung aller Provider-Schwachstellen-Tickets inkl. Status-Mapping
SLA Breach Escalation Protocol
Nachweis der ordnungsgemaessen Eskalation bei allen SLA-Verstoessen des Providers inkl. Zeitstempel und Entscheidungen
Patch Exception Register (aktuell)
Nachweis der kontrollierten Ausnahmeverwaltung fuer Patch-Vorgaben beim Provider inkl. Kompensationsmassnahmen
Compensating Control Effectiveness Report
Nachweis der Wirksamkeit von Kompensationsmassnahmen fuer gewaehrte Patch-Ausnahmen
Right-to-Test Ausuebungsnachweis
Nachweis der systematischen Ausuebung des aufsichtlichen Rechts auf eigene Pruefung beim Provider
Independent Validation / Pentest Report
Nachweis der unabhaengigen Validierung der Provider-Sicherheitslage durch institutsbeauftragte Dritte
Provider Vulnerability Governance Report (Management)
Strukturierter Bericht fuer das Management ueber den Status des Provider-Schwachstellenmanagements
Provider Vulnerability Audit Pack
Vollstaendiger Pruefungsordner fuer externe und interne Pruefungen des Provider-Schwachstellenmanagements
Architecture & Data Flow Diagram (Provider Integration)
Nachweis der Zonenarchitektur und Datenfluesse zwischen Provider und Institut
Provider Vulnerability Management Policy (institutseigen)
Nachweis der institutseigenen Richtlinie fuer das Schwachstellenmanagement beim Provider
Provider SLA-Vertragsklauseln (Schwachstellenmanagement)
Nachweis der vertraglichen Verankerung von Patch-SLAs und Schwachstellenmanagement im Provider-Vertrag
Management Escalation & Decision Log
Nachweis der dokumentierten Entscheidungen des Managements zu Provider-Schwachstellen und Eskalationen