Sysbus
ArtikelComplianceSecurity

DORA ist keine Pflichtübung, sondern eine Gelegenheit für mehr Cyberresilienz

gg

Um die Vorgaben zu erfüllen, sollten der Finanzsektor und seine IT-Dienstleister fünf Punkte beherzigen

Bereits seit Beginn des Jahres 2025 verpflichtet der Digital Operational Resilience Act (DORA) die Finanzbranche zu einer höheren Sicherheit der Abläufe und Daten. Doch nicht nur die Geldhäuser sind betroffen, sondern auch deren IT-Dienstleister, also Partner und Distributoren – sowie auch die Anbieter und Betreiber von Plattformen für Cybersicherheit. Auch wenn DORA zunächst eine störende Direktive der Gesetzgeber sein mag, bietet sie auch einen Anlass für und die Aussicht auf mehr Resilienz gegen Cyberangriffe.

Autor: Nicholas Jackson, Director of Cyber Security Services, Bitdefender/dcg

Nicholas Jackson, Director of Cyber Security Services, Bitdefender. – Quelle: Bitdefender

DORA soll die operative Widerstandsfähigkeit in der gesamten Finanzbranche und in den EU-Mitgliedstaaten vereinheitlichen. Die Compliance-Initiative klassifiziert daher etliche Best Practices für eine bessere Widerstandskraft. Institutionen in der EU, die den DORA-Grundsätzen zuwiderhandeln, müssen mit Bußgeld und zusätzlichen Strafen rechnen. Deren Höhe ist vergleichbar mit denen der Datenschutzgrundverordnung (DSGVO) und beläuft sich auf bis zu zwei Prozent des weltweiten Umsatzes. Zudem können die Mitgliedstaaten der EU auch separate Geldstrafen für hochrangige Personen und Dritte festsetzen.

Jedoch sollen Sanktionen aus Sicht der Legislative ausschließlich als letztes Mittel eingesetzt werden. In erster Linie wollen die Aufsichtsbehörden sehen, welche Maßnahmen nicht konforme Organisationen ergreifen, um die operative Resilienz der ganzen Branche weiterhin zu verbessern. Somit sollten sich alle Betroffenen darüber im Klaren sein, welche Konsequenzen die umfangreiche regulatorische Richtlinie konkret für in der EU tätige Geldinstitute und ihre IT-Service-Dienstleister nach sich zieht.

Mehr Aufmerksamkeit für proaktive Resilienz

Während der Finanzsektor stark an digitale Technologien gebunden ist, prägt er beinahe alle anderen Wirtschaftsbereiche. Setzen digitale Prozesse aus, kann dadurch der Strom von Finanzmitteln zum Stillstand kommen. Gleichzeitig kann der Stop auf Versicherungspolicen in der gesamten EU einen Effekt haben oder Dienste und den freien Warenverkehr zwischen Mitgliedstaaten stören. Dabei ist für alle wirtschaftlichen Prozesse gerade die Fähigkeit, nahezu jede Art von Transaktion länderübergreifend egal in welcher Größe oder mit welchem Umfang fast in Echtzeit zu vollziehen, das A und O.

Da der Finanzsektor über ein weit verzweigtes Netzwerk als Basis für seine Prozesse verfügt, erfordert seine operative Resilienz besonders viel Aufmerksamkeit. Hierzu braucht es automatisierte Prozesse, die auf komplexen Infrastrukturen beruhen. Diese umfassen sowohl lokale Rechenzentren als auch Cloud-Dienstleister. Für Finanzunternehmen bedeutet eine Abhängigkeit an Externe und Technologieanbieter ein hohes Risiko und verpflichtet auch Drittanbieter.

Damit also alle Beteiligten der DORA-Konformität gerecht werden und die daraus resultierenden Aufgaben bewältigen können, müssen IT-Sicherheitsverantwortliche fünf Aspekte beherzigen:

1. Die Risikoanalyse beginnt mit einer Bestandsaufnahme

IT-Sicherheitsverantwortliche müssen wissen, was sie schützen wollen. Um DORA-Standards zu erfüllen, müssen deshalb IT-Sicherheitsverantwortliche und -entscheider ihre Systeme und IT-Netzwerke gut kennen und herausfinden, wo für sie selbst und für ihre Kunden potenzielle Gefahren liegen: Welche digitalen Assets gibt es? Welche Effekte haben sie für die Resilienz von Abläufen? Wie wirkt es sich aus, wenn Hacker eine Applikation kompromittieren oder diese ausfällt? Auf welche Weise sind Systeme miteinander vernetzt? Mit welchen Kontrollmechanismen schützt das Unternehmen seine Strukturen? Sind diese Fragen geklärt, lassen sich schützenswerte Elemente der IT-Infrastruktur leichter und zutreffender ausmachen sowie das reale Risiko effektiv beurteilen. IT-Sicherheitsteams sollten Penetrationstests durchführen, die sich an realen Gefahren orientieren. Damit machen sie sich ein Bild von einem möglichen Ablauf eines Sicherheitsvorfalls sowie von den Methoden, Gefahren abzuwehren und Lücken zu schließen.

2. Wechselbeziehungen mit Dritten haben Einfluss auf Unternehmensrisiko

Heutzutage sind immer mehr Akteure an Prozessen und Geschäften beteiligt –und dabei nicht mehr länger nur unternehmensinterne Teams und Personen. Entscheidend für den Geschäftsbetrieb sind darüber hinaus Lieferanten, Auftragnehmer und weitere Serviceunternehmen. Fehlt ein geeignetes Risikomanagement, bedeutet jedes externe Unternehmen und seine Software eine Gefahr für den IT-Betrieb und die IT-Sicherheit. Wenn einer dieser möglichen Einfallstore unterwandert ist, können sich Angreifer auf die Netzwerke der angebundenen Organisationen ausbreiten und nach zusätzlichen Zielen suchen.

DORA geht auf diese Wechselbeziehung mit Dritten ein. Sie soll bewirken, dass Unternehmen die Konsequenzen von Lücken in der Dienstleister-IT auf das Geschäftsrisiko besser abschätzen können. Betroffen sind unter anderem Cloud-Service-Anbieter, IT- und Telekommunikationsdienstleister, Managed-Service-Anbieter, Verkäufer, Software-as-a-Service-(SaaS) Plattformen und andere Unternehmen, die nicht verwaltete Anwendungen, Geräte und Dienste in Anspruch nehmen. Mit DORA als Vorgabe stehen Finanzinstitute in der Pflicht, die Einwirkungen angebundener Netze und Personen zu protokollieren. Außerdem sollten sie garantieren, dass die eingerichteten Sicherheitsmaßnahmen die ineinandergreifenden Abläufe von Beginn bis zum Schluss absichern. Die Grundlagendokumentation sollte, in einem Informationsregister (Register of Information) deponiert, einfach abrufbar sein: Dies enthält die Daten zur Identifikation von Drittanbietern, wie zum Beispiel Standort, Kontaktdaten, Vertragsinhalte, Leistungsumfang, Leitfaden zum Monitoring, Risikokategorien und Informationen zu den internen Zuständigkeitsverhältnissen.

IT-Sicherheitsplattformen übermitteln Sicherheitsteams Echtzeit-Scores zum Compliance-Status, automatisierte Berichte und Anleitungen, wie sie die Kongruenz mit DORA erhöhen können. – Quelle: Bitdefender

3. Mit Struktur Leitlinien für die Disaster Recovery erstellen

DORA setzt zudem die Vorgabe, dass Finanzhäuser strukturierte Vorgänge festlegen und implementieren, um IT-Sicherheitsvorfälle zu erkennen, zu bearbeiten und zu dokumentieren. Hierfür sind übersichtliche Kriterien zur Klassifikation, rasche  Eskalationsabläufe und ein homogenes Reporting-Framework mit einem strikten Zeitrahmen nötig. Diese Prozesse können durch Tabletop-Simulationen zur operativen Resilienz trainiert werden. Mit solchen Maßnahmen wird gewährleistet, dass jeder Beteiligte über die Leitlinien für die Disaster Recovery und das sichere Weiterführen von Geschäftsabläufen informiert ist und im Ernstfall sofort entsprechende Schritte in die Wege leiten kann.

4. Änderungen in der IT-Landschaft analysieren und bewerten

Unternehmen und ihre digitale Infrastruktur unterliegen einem stetigen Wandel. Daher ist es wichtig, dass Sicherheitsverantwortliche über Anpassungen in der IT Bescheid wissen und so die Konsequenzen für das Betriebsrisiko abschätzen können. Es ist daher ihre Aufgabe, Neues zu erkennen, die Folgen für jeden Fall zu beurteilen und die daraus resultierenden Schlüsse umzusetzen sowie zu testen. Auch bereits vorhandene Sicherheitsrichtlinien müssen sie autorisieren und durchsetzen. Dadurch können Angreifer diese nicht selbstständig verändern. Daraus folgt, dass Tools sowie IT-Sicherheitsverantwortliche die Software-Updates, die Modifikationen des Netzwerks und die Kooperation mit Dritten beurteilen. Vor und nach dem Implementieren neuer Assets sollten Sicherheitsverantwortliche prüfen, wie sie diese sicher einbetten. DORA sorgt dafür, Abläufe des Change-Managements engmaschig zu begleiten und Prozesse durchzusetzen, die wirksam und sicher solche Vorgänge genehmigen.

5. Dokumentation als Richtschnur für Zwischenfälle

Auch die Rechenschaftspflicht ist ein Kernelement von DORA. Diejenigen, die für alle Systeme zuständig sind, müssen vor allem ihre kritischen Systeme kontinuierlich mithilfe von Schwachstellentests kontrollieren, Gefahren einschätzen – und darüber Rechenschaft geben. Es ist hilfreich, wenn Unternehmen einheitliche Formate benutzen, um Richtlinien und Ablaufpläne festzusetzen. Diese sollten sie dann in das schon genannte Informationsregister einbringen. Sollte es notwendig werden, können sie die dort zusammengestellten Informationen von Dritten, vertragliche Abkommen, Abhängigkeiten, beurteilte Risiken, Zwischenfälle und Notfallpläne an externe Prüfer überstellen.

Es reicht aber nicht aus, die Informationen einfach nur zusammenzutragen. Da IT-Netzwerke immer komplexer werden, ist es nötig, sie auszuwerten und zweckmäßig aufzubereiten. Nur wenn die Daten in einer ordnungsgemäßen Form vorliegen, kann das Register bei Angriffen oder anderen Zwischenfällen eine Richtschnur sein. Erst dann liefert es den Sicherheitsverantwortlichen den nötigen Kontext, um im Ernstfall rasch und angemessen zu operieren. Beispielsweise kann die Dokumentation detaillierte anleiten, wie Unternehmenswissen und Kompetenz im Unternehmen bleiben, auch wenn die Mitarbeiter es verlassen.

Pflicht und Chance zugleich: Mehr Widerstandsfähigkeit bedeutet mehr Sicherheit

Durch DORA werden das Finanzwesen und seine Dienstleister nicht wenig gefordert. Dennoch können betroffene Unternehmen diese gesetzliche Regelung auch als ideale Gelegenheit verstehen, um ihre Cyber- und IT-Betriebs-Resilienz zu erweitern und ihre Vorgehensweisen in punkto Sicherheit voranzutreiben. Die neue Vorgabe zielt ausdrücklich auf die flexiblen Anforderungen des Finanzsektors in der heutigen, vernetzten Geschäftswelt ab, lässt sich aber gut mit weiteren Regularien oder Unternehmenszielen harmonisieren.

Link zu Bitdefender: Bitdefender – Weltspitze in Cybersicherheit

Das könnte dir auch gefallen

Müde Helden im Netz: Wie die Dauerbelastung Cybersecurity-Experten zermürbt

dcg

Mobiles Endgeräte-Management: Ein Must-Have für den hybriden Arbeitsplatz

dcg

Kommunikation ist alles oder: wie wollen Sie von einer Datenschutzverletzung erfahren?

gcg
Powered by  GDPR Cookie Compliance
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von Ihnen, wenn Sie auf unsere Website zurückkehren, und hilft unserem Team zu verstehen, welche Abschnitte der Website für Sie am interessantesten und nützlichsten sind.