Autor: Nicholas Jackson, Director of Cyber Security Services, Bitdefender<\/em>\/dcg<\/p>\n\n\n\n DORA soll die operative Widerstandsf\u00e4higkeit in der gesamten Finanzbranche und in den EU-Mitgliedstaaten vereinheitlichen. Die Compliance-Initiative klassifiziert daher etliche Best Practices f\u00fcr eine bessere Widerstandskraft. Institutionen in der EU, die den DORA-Grunds\u00e4tzen zuwiderhandeln, m\u00fcssen mit Bu\u00dfgeld und zus\u00e4tzlichen Strafen rechnen. Deren H\u00f6he ist vergleichbar mit denen der Datenschutzgrundverordnung (DSGVO) und bel\u00e4uft sich auf bis zu zwei Prozent des weltweiten Umsatzes. Zudem k\u00f6nnen die Mitgliedstaaten der EU auch separate Geldstrafen f\u00fcr hochrangige Personen und Dritte festsetzen.<\/p>\n\n\n\n Jedoch sollen Sanktionen aus Sicht der Legislative ausschlie\u00dflich als letztes Mittel eingesetzt werden. In erster Linie wollen die Aufsichtsbeh\u00f6rden sehen, welche Ma\u00dfnahmen nicht konforme Organisationen ergreifen, um die operative Resilienz der ganzen Branche weiterhin zu verbessern. Somit sollten sich alle Betroffenen dar\u00fcber im Klaren sein, welche Konsequenzen die umfangreiche regulatorische Richtlinie konkret f\u00fcr in der EU t\u00e4tige Geldinstitute und ihre IT-Service-Dienstleister nach sich zieht.<\/p>\n\n\n\n Mehr Aufmerksamkeit f\u00fcr proaktive Resilienz<\/strong><\/p>\n\n\n\n W\u00e4hrend der Finanzsektor stark an digitale Technologien gebunden ist, pr\u00e4gt er beinahe alle anderen Wirtschaftsbereiche. Setzen digitale Prozesse aus, kann dadurch der Strom von Finanzmitteln zum Stillstand kommen. Gleichzeitig kann der Stop auf Versicherungspolicen in der gesamten EU einen Effekt haben oder Dienste und den freien Warenverkehr zwischen Mitgliedstaaten st\u00f6ren. Dabei ist f\u00fcr alle wirtschaftlichen Prozesse gerade die F\u00e4higkeit, nahezu jede Art von Transaktion l\u00e4nder\u00fcbergreifend egal in welcher Gr\u00f6\u00dfe oder mit welchem Umfang fast in Echtzeit zu vollziehen, das A und O.<\/p>\n\n\n\n Da der Finanzsektor \u00fcber ein weit verzweigtes Netzwerk als Basis f\u00fcr seine Prozesse verf\u00fcgt, erfordert seine operative Resilienz besonders viel Aufmerksamkeit. Hierzu braucht es automatisierte Prozesse, die auf komplexen Infrastrukturen beruhen. Diese umfassen sowohl lokale Rechenzentren als auch Cloud-Dienstleister. F\u00fcr Finanzunternehmen bedeutet eine Abh\u00e4ngigkeit an Externe und Technologieanbieter ein hohes Risiko und verpflichtet auch Drittanbieter.<\/p>\n\n\n\n Damit also alle Beteiligten der DORA-Konformit\u00e4t gerecht werden und die daraus resultierenden Aufgaben bew\u00e4ltigen k\u00f6nnen, m\u00fcssen IT-Sicherheitsverantwortliche f\u00fcnf Aspekte beherzigen:<\/p>\n\n\n\n 1. Die Risikoanalyse beginnt mit einer Bestandsaufnahme<\/strong><\/p>\n\n\n\n IT-Sicherheitsverantwortliche m\u00fcssen wissen, was sie sch\u00fctzen wollen. Um DORA-Standards zu erf\u00fcllen, m\u00fcssen deshalb IT-Sicherheitsverantwortliche und -entscheider ihre Systeme und IT-Netzwerke gut kennen und herausfinden, wo f\u00fcr sie selbst und f\u00fcr ihre Kunden potenzielle Gefahren liegen: Welche digitalen Assets gibt es? Welche Effekte haben sie f\u00fcr die Resilienz von Abl\u00e4ufen? Wie wirkt es sich aus, wenn Hacker eine Applikation kompromittieren oder diese ausf\u00e4llt? Auf welche Weise sind Systeme miteinander vernetzt? Mit welchen Kontrollmechanismen sch\u00fctzt das Unternehmen seine Strukturen? Sind diese Fragen gekl\u00e4rt, lassen sich sch\u00fctzenswerte Elemente der IT-Infrastruktur leichter und zutreffender ausmachen sowie das reale Risiko effektiv beurteilen. IT-Sicherheitsteams sollten Penetrationstests durchf\u00fchren, die sich an realen Gefahren orientieren. Damit machen sie sich ein Bild von einem m\u00f6glichen Ablauf eines Sicherheitsvorfalls sowie von den Methoden, Gefahren abzuwehren und L\u00fccken zu schlie\u00dfen.<\/p>\n\n\n\n 2. Wechselbeziehungen mit Dritten haben Einfluss auf Unternehmensrisiko<\/strong><\/p>\n\n\n\n Heutzutage sind immer mehr Akteure an Prozessen und Gesch\u00e4ften beteiligt \u2013und dabei nicht mehr l\u00e4nger nur unternehmensinterne Teams und Personen. Entscheidend f\u00fcr den Gesch\u00e4ftsbetrieb sind dar\u00fcber hinaus Lieferanten, Auftragnehmer und weitere Serviceunternehmen. Fehlt ein geeignetes Risikomanagement, bedeutet jedes externe Unternehmen und seine Software eine Gefahr f\u00fcr den IT-Betrieb und die IT-Sicherheit. Wenn einer dieser m\u00f6glichen Einfallstore unterwandert ist, k\u00f6nnen sich Angreifer auf die Netzwerke der angebundenen Organisationen ausbreiten und nach zus\u00e4tzlichen Zielen suchen.<\/p>\n\n\n\n DORA geht auf diese Wechselbeziehung mit Dritten ein. Sie soll bewirken, dass Unternehmen die Konsequenzen von L\u00fccken in der Dienstleister-IT auf das Gesch\u00e4ftsrisiko besser absch\u00e4tzen k\u00f6nnen. Betroffen sind unter anderem Cloud-Service-Anbieter, IT- und Telekommunikationsdienstleister, Managed-Service-Anbieter, Verk\u00e4ufer, Software-as-a-Service-(SaaS) Plattformen und andere Unternehmen, die nicht verwaltete Anwendungen, Ger\u00e4te und Dienste in Anspruch nehmen. Mit DORA als Vorgabe stehen Finanzinstitute in der Pflicht, die Einwirkungen angebundener Netze und Personen zu protokollieren. Au\u00dferdem sollten sie garantieren, dass die eingerichteten Sicherheitsma\u00dfnahmen die ineinandergreifenden Abl\u00e4ufe von Beginn bis zum Schluss absichern. Die Grundlagendokumentation sollte, in einem Informationsregister (Register of Information) deponiert, einfach abrufbar sein: Dies enth\u00e4lt die Daten zur Identifikation von Drittanbietern, wie zum Beispiel Standort, Kontaktdaten, Vertragsinhalte, Leistungsumfang, Leitfaden zum Monitoring, Risikokategorien und Informationen zu den internen Zust\u00e4ndigkeitsverh\u00e4ltnissen.<\/p>\n\n\n\n 3. Mit Struktur Leitlinien f\u00fcr die Disaster Recovery erstellen<\/strong><\/p>\n\n\n\n DORA setzt zudem die Vorgabe, dass Finanzh\u00e4user strukturierte Vorg\u00e4nge festlegen und implementieren, um IT-Sicherheitsvorf\u00e4lle zu erkennen, zu bearbeiten und zu dokumentieren. Hierf\u00fcr sind \u00fcbersichtliche Kriterien zur Klassifikation, rasche Eskalationsabl\u00e4ufe und ein homogenes Reporting-Framework mit einem strikten Zeitrahmen n\u00f6tig. Diese Prozesse k\u00f6nnen durch Tabletop-Simulationen zur operativen Resilienz trainiert werden. Mit solchen Ma\u00dfnahmen wird gew\u00e4hrleistet, dass jeder Beteiligte \u00fcber die Leitlinien f\u00fcr die Disaster Recovery und das sichere Weiterf\u00fchren von Gesch\u00e4ftsabl\u00e4ufen informiert ist und im Ernstfall sofort entsprechende Schritte in die Wege leiten kann.<\/p>\n\n\n\n 4. \u00c4nderungen in der IT-Landschaft analysieren und bewerten<\/strong><\/p>\n\n\n\n Unternehmen und ihre digitale Infrastruktur unterliegen einem stetigen Wandel. Daher ist es wichtig, dass Sicherheitsverantwortliche \u00fcber Anpassungen in der IT Bescheid wissen und so die Konsequenzen f\u00fcr das Betriebsrisiko absch\u00e4tzen k\u00f6nnen. Es ist daher ihre Aufgabe, Neues zu erkennen, die Folgen f\u00fcr jeden Fall zu beurteilen und die daraus resultierenden Schl\u00fcsse umzusetzen sowie zu testen. Auch bereits vorhandene Sicherheitsrichtlinien m\u00fcssen sie autorisieren und durchsetzen. Dadurch k\u00f6nnen Angreifer diese nicht selbstst\u00e4ndig ver\u00e4ndern. Daraus folgt, dass Tools sowie IT-Sicherheitsverantwortliche die Software-Updates, die Modifikationen des Netzwerks und die Kooperation mit Dritten beurteilen. Vor und nach dem Implementieren neuer Assets sollten Sicherheitsverantwortliche pr\u00fcfen, wie sie diese sicher einbetten. DORA sorgt daf\u00fcr, Abl\u00e4ufe des Change-Managements engmaschig zu begleiten und Prozesse durchzusetzen, die wirksam und sicher solche Vorg\u00e4nge genehmigen.<\/p>\n\n\n\n 5. Dokumentation als Richtschnur f\u00fcr Zwischenf\u00e4lle<\/strong><\/p>\n\n\n\n Auch die Rechenschaftspflicht ist ein Kernelement von DORA. Diejenigen, die f\u00fcr alle Systeme zust\u00e4ndig sind, m\u00fcssen vor allem ihre kritischen Systeme kontinuierlich mithilfe von Schwachstellentests kontrollieren, Gefahren einsch\u00e4tzen \u2013 und dar\u00fcber Rechenschaft geben. Es ist hilfreich, wenn Unternehmen einheitliche Formate benutzen, um Richtlinien und Ablaufpl\u00e4ne festzusetzen. Diese sollten sie dann in das schon genannte Informationsregister einbringen. Sollte es notwendig werden, k\u00f6nnen sie die dort zusammengestellten Informationen von Dritten, vertragliche Abkommen, Abh\u00e4ngigkeiten, beurteilte Risiken, Zwischenf\u00e4lle und Notfallpl\u00e4ne an externe Pr\u00fcfer \u00fcberstellen.<\/p>\n\n\n\n Es reicht aber nicht aus, die Informationen einfach nur zusammenzutragen. Da IT-Netzwerke immer komplexer werden, ist es n\u00f6tig, sie auszuwerten und zweckm\u00e4\u00dfig aufzubereiten. Nur wenn die Daten in einer ordnungsgem\u00e4\u00dfen Form vorliegen, kann das Register bei Angriffen oder anderen Zwischenf\u00e4llen eine Richtschnur sein. Erst dann liefert es den Sicherheitsverantwortlichen den n\u00f6tigen Kontext, um im Ernstfall rasch und angemessen zu operieren. Beispielsweise kann die Dokumentation detaillierte anleiten, wie Unternehmenswissen und Kompetenz im Unternehmen bleiben, auch wenn die Mitarbeiter es verlassen.<\/p>\n\n\n\n Pflicht und Chance zugleich: Mehr Widerstandsf\u00e4higkeit bedeutet mehr Sicherheit<\/strong><\/p>\n\n\n\n Durch DORA werden das Finanzwesen und seine Dienstleister nicht wenig gefordert. Dennoch k\u00f6nnen betroffene Unternehmen diese gesetzliche Regelung auch als ideale Gelegenheit verstehen, um ihre Cyber- und IT-Betriebs-Resilienz zu erweitern und ihre Vorgehensweisen in punkto Sicherheit voranzutreiben. Die neue Vorgabe zielt ausdr\u00fccklich auf die flexiblen Anforderungen des Finanzsektors in der heutigen, vernetzten Gesch\u00e4ftswelt ab, l\u00e4sst sich aber gut mit weiteren Regularien oder Unternehmenszielen harmonisieren.<\/p>\n\n\n\n![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/09\/Bitdefender_Nicholas_Jackson_Bitdefender-1024x576.webp\")
![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/09\/Bitdefender_Screenshot_Dora_ComplianceManager-1024x568.webp\")