Finanzbranche sollte IT monatlich überprüfen
Sicherheitsexperte Dennis Weyel von Horizon3.ai sieht großen Nachholbedarf bei EU-Gesetzgebung
 |
IT-Security: Vor allem Banken sollten öfter Stresstests machen (Bild: TheDigitalArtist, pixabay.com) |
München (pte036/30.04.2025/13:59)
Der im Digital Operational Resilience Act für Finanzinstitute von der EU seit dem 17. Januar vorgeschriebene, alle drei Jahre zu absolvierende Test der IT-Infrastruktur gegen simulierte Cyber-Angriffe ist zu lang. Tests seien monatlich zu tätigen. Zu diesem Fazit kommt Dennis Weyel, International Technical Director beim Cyber-Security-Spezialisten Horizon3.ai.
Dutzende Einfallstore
Der Sicherheitsexperte verweist auf Erkenntnisse des Bundesamtes für Sicherheit in der Informationstechnologie, wonach täglich knapp 70 "Vulnerabilities" in Software-Produkten zu verzeichnen sind, von denen das Amt 15 Prozent als "kritisch" einstuft. Angesichts dieser Bedrohungslage in geopolitisch schwierigen Zeiten bestehe teils erheblicher Nachholbedarf.
"Bei über 25.000 neuen potenziellen Einfallstoren für Hacker im Jahr ist es ein Unding für einen Finanzdienstleister, nur alle drei Jahre zu überprüfen, ob die IT-Infrastruktur einem Angriff tatsächlich standhält oder in die Knie geht", verdeutlicht Weyel und rechnet vor: Vor dem Hintergrund von weit mehr als 11.000 amtlich als kritisch eingestuften IT-Lücken in dieser Zeitspanne würde es "geradezu an ein Wunder grenzen, wenn es Cyber-Kriminellen in den drei Jahren nicht gelänge, in eine Bank oder Sparkasse oder Assekuranz einzubrechen".
Zielgerichtetes Filtern
Die größte Challenge besteht nach Einschätzung des Horizon3.ai-Fachmanns darin, aus der großen Menge an möglichen IT-Schwachstellen diejenigen herauszufiltern, die tatsächlich in einer Firma ausgenutzt werden können, und diese für eine schnelle Behebung zu priorisieren.
Mögliche Einfallstore für Cyber-Gangster seien neben veralteten Programmen, schwachen und mehrfach verwendeten Passwörtern oder zu weitreichenden Zugriffsrechten für einzelne Bearbeitungsstellen zudem große Bedrohungen aus der Software-Lieferkette.
"Ein bestandener Selbstangriff auf die eigene IT-Infrastruktur ist der beste Beweis für die Resilienz. Allein aus dieser Compliance-Überlegung heraus ist ein Penetrationstest im Monats- wenn nicht im Wochenrhythmus zu empfehlen", empfiehlt Weyel abschließend.
(Ende)| Aussender: | pressetext.redaktion |
| Ansprechpartner: | Florian Fügemann |
| Tel.: | +43-1-81140-313 |
| E-Mail: | fuegemann@pressetext.com |
| Website: | www.pressetext.com |
