Zum Inhalt springen

DORA Risk Score Engine

DORA Risk Score Engine

Mehrdimensionales Risikoscore-Modell für Provider-Schwachstellen mit automatischer Klassifikation und priorisierter Massnahmensteuerung.

Hinweis: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung, keine technische Sicherheitsprüfung und keine institutsspezifische Prüfung.

5

Risikofaktoren

5

Klassifikationsstufen

18

Faktorausprägungen

2

Kritische/Hohe Stufen

Formel

dora_provider_risk_score = base_cvss * asset_criticality_factor * threat_intelligence_factor * exposure_factor * provider_dependency_factor * control_confidence_factor

Der DORA Provider Risk Score kombiniert den CVSS-Basiswert mit fünf DORA-spezifischen Gewichtungsfaktoren. Jeder Faktor wird basierend auf der konkreten Ausprägung des Assets und der Bedrohungslage bewertet. Das Ergebnis ist ein gewichteter Score, der die spezifischen Risiken des Full-Scope-Outsourcing abbildet.

Hinweis zur Kalibrierung

All weights are default profiles and require institution-specific calibration.

Asset Criticality

Faktor

Bewertung der Kritikalität des betroffenen Assets basierend auf der zugeordneten kritischen oder wichtigen Funktion (CIF/kwF)

cif_high ×1.5

Asset unterstützt eine kritische oder wichtige Funktion (CIF/kwF)

standard ×1

Standard-Asset ohne CIF-Klassifizierung

test ×0.5

Test- oder Entwicklungssystem ohne Produktionsrelevanz

Threat Intelligence

Faktor

Berücksichtigung der aktuellen Bedrohungslage basierend auf Threat-Intelligence-Quellen (CISA KEV, BSI, MITRE)

known_exploited ×2

Schwachstelle wird aktiv ausgenutzt (CISA KEV oder bestätigte Kampagne)

plausible ×1.5

PoC verfügbar oder Exploit in Entwicklung, plausibles Angriffsszenario

no_signal ×1

Keine Hinweise auf aktive Ausnutzung oder bevorstehende Exploit-Veröffentlichung

Exposure

Faktor

Bewertung der Erreichbarkeit des betroffenen Assets und seiner Netzwerkexposition

internet_facing ×1.5

Asset ist direkt aus dem Internet erreichbar

cloud_exposed ×1.3

Asset in der Cloud mit potentiell erhöhter Angriffsfläche

internal_critical ×1.2

Internes Asset mit Zugriff auf kritische Systeme oder Daten

segmented ×1

Asset in segmentiertem Netzwerk mit eingeschränkter Erreichbarkeit

isolated ×0.8

Asset ist isoliert (air-gapped oder strenge Netzwerksegmentierung)

Provider Dependency

Faktor

Bewertung der Abhängigkeit vom Provider für die Behebung der Schwachstelle

full_scope ×1.2

Vollständige Provider-Abhängigkeit, Institut hat keine eigenen Eingriffsmöglichkeiten

shared ×1

Geteilte Verantwortung, Institut kann Workarounds anstossen oder unterstützen

internal ×0.8

Institut hat eigene Eingriffsmöglichkeiten oder Zugriff auf die Systeme

Control Confidence

Faktor

Bewertung der institutsseitigen Kontrollmöglichkeiten und der Qualität der Evidenz

independent_assurance ×0.9

Unabhängige Bestätigung (Right-to-Test, eigener Pentest, Validierung)

report_and_read ×1

Provider-Bericht + Read-Only Dashboard-Zugriff (Standard)

report_only ×1.1

Nur Provider-Bericht, kein eigener Zugriff auf Schwachstellendaten

weak ×1.25

Keine regelmässige Berichterstattung, keine Zugriffsmöglichkeit

Score-Bereich Stufe Risk Level Reaktionsanforderung
>= 20.0 Critical P0 Sofortmassnahme, 24h-Patch-Ziel, Management-Eskalation
15.0 - 19.9 High P1 Patch innerhalb 7 Tage, CISO-Information
10.0 - 14.9 Medium-High P2 Patch innerhalb 14 Tage, IKT-Risiko-Information
4.0 - 9.9 Medium P3 Patch innerhalb 30 Tage, reguläre Überwachung
< 4.0 Low P4 Patch im nächsten regulären Zyklus (90 Tage)

Risikoscore-Modell kalibrieren?

Vereinbaren Sie ein Pilotgespräch für die DORA Risk Score Engine.

Pilotgespräch anfragen