DORA Risk Score Engine
DORA Risk Score Engine
Mehrdimensionales Risikoscore-Modell für Provider-Schwachstellen mit automatischer Klassifikation und priorisierter Massnahmensteuerung.
5
Risikofaktoren
5
Klassifikationsstufen
18
Faktorausprägungen
2
Kritische/Hohe Stufen
Formel
Der DORA Provider Risk Score kombiniert den CVSS-Basiswert mit fünf DORA-spezifischen Gewichtungsfaktoren. Jeder Faktor wird basierend auf der konkreten Ausprägung des Assets und der Bedrohungslage bewertet. Das Ergebnis ist ein gewichteter Score, der die spezifischen Risiken des Full-Scope-Outsourcing abbildet.
Hinweis zur Kalibrierung
All weights are default profiles and require institution-specific calibration.
Asset Criticality
FaktorBewertung der Kritikalität des betroffenen Assets basierend auf der zugeordneten kritischen oder wichtigen Funktion (CIF/kwF)
Asset unterstützt eine kritische oder wichtige Funktion (CIF/kwF)
Standard-Asset ohne CIF-Klassifizierung
Test- oder Entwicklungssystem ohne Produktionsrelevanz
Threat Intelligence
FaktorBerücksichtigung der aktuellen Bedrohungslage basierend auf Threat-Intelligence-Quellen (CISA KEV, BSI, MITRE)
Schwachstelle wird aktiv ausgenutzt (CISA KEV oder bestätigte Kampagne)
PoC verfügbar oder Exploit in Entwicklung, plausibles Angriffsszenario
Keine Hinweise auf aktive Ausnutzung oder bevorstehende Exploit-Veröffentlichung
Exposure
FaktorBewertung der Erreichbarkeit des betroffenen Assets und seiner Netzwerkexposition
Asset ist direkt aus dem Internet erreichbar
Asset in der Cloud mit potentiell erhöhter Angriffsfläche
Internes Asset mit Zugriff auf kritische Systeme oder Daten
Asset in segmentiertem Netzwerk mit eingeschränkter Erreichbarkeit
Asset ist isoliert (air-gapped oder strenge Netzwerksegmentierung)
Provider Dependency
FaktorBewertung der Abhängigkeit vom Provider für die Behebung der Schwachstelle
Vollständige Provider-Abhängigkeit, Institut hat keine eigenen Eingriffsmöglichkeiten
Geteilte Verantwortung, Institut kann Workarounds anstossen oder unterstützen
Institut hat eigene Eingriffsmöglichkeiten oder Zugriff auf die Systeme
Control Confidence
FaktorBewertung der institutsseitigen Kontrollmöglichkeiten und der Qualität der Evidenz
Unabhängige Bestätigung (Right-to-Test, eigener Pentest, Validierung)
Provider-Bericht + Read-Only Dashboard-Zugriff (Standard)
Nur Provider-Bericht, kein eigener Zugriff auf Schwachstellendaten
Keine regelmässige Berichterstattung, keine Zugriffsmöglichkeit
| Score-Bereich | Stufe | Risk Level | Reaktionsanforderung |
|---|---|---|---|
| >= 20.0 | Critical | P0 | Sofortmassnahme, 24h-Patch-Ziel, Management-Eskalation |
| 15.0 - 19.9 | High | P1 | Patch innerhalb 7 Tage, CISO-Information |
| 10.0 - 14.9 | Medium-High | P2 | Patch innerhalb 14 Tage, IKT-Risiko-Information |
| 4.0 - 9.9 | Medium | P3 | Patch innerhalb 30 Tage, reguläre Überwachung |
| < 4.0 | Low | P4 | Patch im nächsten regulären Zyklus (90 Tage) |
Risikoscore-Modell kalibrieren?
Vereinbaren Sie ein Pilotgespräch für die DORA Risk Score Engine.
Pilotgespräch anfragen