Den DORA-Pflichten nachkommen

Mit DORA zu verbesserter Sicherheitsstrategie und mehr Widerstandsfähigkeit

DORA
LinkedInRedditWhatsAppPocket

Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act (DORA). Er nimmt den Finanzsektor in die Pflicht – aber auch ihre IT-Dienstleister: Darunter fallen nicht nur Distributoren und Partner, sondern auch indirekte IT-Dienstanbieter, wie die Anbieter von IT-Sicherheitsplattformen.

Es sind also viel mehr Unternehmen als gedacht, auf die aufgrund des Gesetzes neue Anforderungen zukommen. DORA ist für alle aber nicht nur eine Pflicht, sondern auch die Gelegenheit, die Widerstandsfähigkeit der eigenen IT-gegen Cyberkriminalität zu stärken.

Anzeige

Ziel von DORA ist es, die operative Resilienz im gesamten Finanzsektor und in den EU-Mitgliedstaaten zu standardisieren. Die Vorschrift legt deshalb eine Reihe von Best Practices für eine bessere Cyberresilienz fest. Bei Verstößen gegen die DORA-Richtlinien drohen in der EU tätigen Organisationen Geldbußen und andere Sanktionen. Ähnlich wie bei der DSGVO sind Strafen für Unternehmen in einer Höhe von bis zu zwei Prozent des weltweiten Umsatzes möglich. Zusätzlich können EU-Mitgliedstaaten auch individuelle Bußgelder für hochrangige Personen und Dritte beschließen. Strafen sind aber in den Augen der Gesetzgeber nur die Ultima Ratio. Aufsichtsbehörden sind vor allem daran interessiert, zu sehen, welche Schritte nicht konforme Organisationen unternehmen, um die operative Resilienz der gesamten Branche weiter zu stärken. Alle Beteiligten sollten sich daher klarmachen, was die umfangreiche regulatorische Vorgabe konkret für in der EU tätige Finanzunternehmen und deren IT-Service-Dienstleister bedeutet.

Komplexe Infrastruktur des EU-Finanzsektors birgt große Risiken

Der Finanzsektor ist stark von digitalen Technologien abhängig und beeinflusst fast alle anderen Wirtschaftsbereiche. Unterbrochene digitale Prozesse können den Fluss von Finanzmitteln für kritische Infrastrukturen zum Erliegen bringen, sich auf Versicherungspolicen in der gesamten EU auswirken oder den freien Verkehr von Waren und Dienstleistungen zwischen Mitgliedstaaten behindern. Das Entscheidende für alle wirtschaftlichen Vorgänge ist die Fähigkeit, beinahe jede Art von Transaktion unabhängig von ihrer Größe oder ihrem Umfang über Grenzen hinweg beinahe augenblicklich durchzuführen.

Aufgrund ihres ausgedehnten und den Prozessen zugrundeliegenden Netzwerks erfordert die operative Resilienz in der Finanzbranche besonders viel Aufmerksamkeit. Die dafür nötigen automatisierten Prozesse hängen von komplexen Infrastrukturen ab, die sich über lokale Rechenzentren und Cloud-Dienstleister erstrecken. Diese Abhängigkeit von Externen und Technologieanbietern bedeutet für Finanzunternehmen eine große Gefahr und setzt Drittanbieter in die Pflicht.

Anzeige

Wie lassen sich die daraus ergebenden Aufgaben einer DORA-Konformität lösen? IT-Sicherheitsanalysten im Finanzsektor und bei deren ITK-Dienstleistern müssen auf fünf Punkte achten, um der neuen Vorschrift nachkommen zu können:

1. IT-Infrastruktur und Systeme verstehen und Gefahren erkennen

Absichern kann man nur, was man kennt. Daher verlangt DORA von den IT-Sicherheitsverantwortlichen und -entscheidern, dass sie ihre Systeme und IT-Infrastruktur besser verstehen und feststellen, wie sie sich selbst und ihre Kunden in Gefahr bringen: Welche digitalen Assets sind vorhanden? Wie wichtig sind diese für die operative Resilienz? Welche Folgen hätte eine kompromittierte oder ausgefallene Applikation? Wie sind Systeme miteinander verbunden? Über welche Kontrollen verfügt das Unternehmen, um sie zu schützen? Wer diese Fragen beantworten kann, kann zu schützende Assets identifizieren und das tatsächliche Risiko effektiv einschätzen. Sich an Gefahren orientierende Penetrationstests spielen eine zentrale Rolle. Sie geben den IT-Sicherheitsteams Einblicke in den möglichen Verlauf eines Sicherheitsvorfalls und zu den Maßnahmen, um Gefahren abzuwehren und zu beheben.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

2. Einfluss von Externen einschätzen

Fast immer sind in der heutigen Zeit nicht nur unternehmensinterne Abteilungen und Personen an Geschäften oder Prozessen beteiligt. Zulieferer, Auftragnehmer und andere Dienstanbieter spielen eine wichtige Rolle im Geschäftsbetrieb. Ohne das zugehörige Risikomanagement ist jede externe Organisation oder Lösung ein Risiko für IT-Betrieb und IT-Sicherheit. Wird einer dieser Zugangspunkte kompromittiert, können sich Angreifer auf der Suche nach weiteren Zielen auf andere Systeme ausbreiten.

DORA trägt dieser Abhängigkeit von Dritten Rechnung und ist deshalb mit der Erwartung verknüpft, dass Unternehmen die Effekte ihrer Dienstleister auf das Geschäftsrisiko besser verstehen. Hierzu zählen Verkäufer, IT- und Telekommunikationsdienstleister, Cloud-Service-Anbieter, Managed-Service-Anbieter, Software-as-a-Service-(SaaS) Plattformen und andere Unternehmen, die nicht verwaltete Applikationen, Geräte und Dienste verwenden. DORA verlangt, dass Finanzorganisationen die Effekte von Drittanbietern dokumentieren und sicherstellen, dass geeignete Sicherheitsmaßnahmen getroffen wurden, um miteinander verzahnte Prozesse von Anfang bis Ende zu schützen. Die Basisdokumentation sollte in einem Informationsregister (Register of Information) abgelegt und leicht zugänglich sein: Diese beinhaltet die Identifikationsdaten der Drittanbieter, wie beispielsweise Kontaktinformationen, Standort, Vertragsinhalte, Leistungsumfang, Regeln zum Monitoring, Risikokategorien sowie Angaben zu internen Zuständigkeitsverhältnissen.

3. Durch strukturierte Prozesse Sicherheitsvorfälle identifizieren und bewältigen

Um die Kriterien von DORA zu erfüllen, müssen Finanzinstitute außerdem fest strukturierte Prozesse definieren und einführen, um IT-Sicherheitsvorfälle zu identifizieren, zu bearbeiten sowie zu dokumentieren. Dafür bedarf es klarer Klassifikationskriterien, zeitnaher Eskalationsprozesse und eines einheitlichen Reporting-Frameworks mit strengen Zeitvorgaben. Tabletop-Simulationen zur operativen Resilienz unterstützen diese Abläufe. Solche Manöver stellen sicher, dass alle Beteiligten die Richtlinien zur Disaster Recovery und zur Kontinuität von Geschäftsprozessen kennen und im Notfall sofort Maßnahmen ergreifen können.

4. IT-Modifikationen bewerten und Konsequenzen daraus ziehen

Da sich Unternehmen und ihre digitalen Umgebungen ständig verändern, ist es entscheidend, dass Sicherheitsteams Einsicht in Modifikationen in der IT und deren Folgen für das Betriebsrisiko haben. Dies alles müssen sie identifizieren, jedesmal neu einschätzen und die sich ergebenden Konsequenzen realisieren sowie überprüfen. Ebenso wichtig ist es, bestehende Richtlinien zu autorisieren und durchzusetzen. Derart abgesichert können Cyberkriminelle diese nicht eigenmächtig verändern. Als eine logische Konsequenz bewerten Lösungen und IT-Sicherheitsverantwortliche Software-Updates, Veränderung der Infrastruktur und die Zusammenarbeit mit Dritten. Sicherheitsteams sollten vor und nach dem Implementieren neuer Assets deren Integration testen. Letztendlich stellt DORA sicher, dass Change-Management-Prozesse streng moderiert und strukturierte Genehmigungsabläufe in Kraft sind.

5. Schwachstellen und Risiken analysieren und dokumentieren

Ein weiteres Kernstück von DORA ist die Rechenschaftspflicht. Wer in der Pflicht für seine sämtlichen Systeme steht, muss insbesondere seine kritischen Systeme regelmäßig durch Schwachstellentests prüfen, Risiken bewerten und – ganz besonders – darüber Rechenschaft ablegen. Unternehmen sollten einheitliche Vorlagen verwenden, in denen Vorgaben und Zeitpläne festgelegt sind, und diese in das bereits erwähnte Informationsregister eingeben. Die dort gesammelten Informationen von Dritten, vertraglichen Vereinbarungen, bewertete Risiken, Abhängigkeiten, Vorfälle und Notfallpläne übermitteln sie bei Bedarf an externe Prüfer.

Das reine Sammeln von Informationen ist dafür aber nicht genug. Angesichts immer komplexerer IT-Infrastrukturen bedarf es der Analyse und verwertbaren Aufbereitung dieser Informationen. Erst in einer angemessenen Form dient das Informationsregister bei Attacken oder anderen Vorfällen als Leitfaden und liefert den Sicherheitsteams den notwendigen Hintergrund, um zügig und einschlägig zu handeln. Die Dokumentation kann zum Beispiel Schritt für Schritt vorgeben, wie Wissen und Expertise im Unternehmen verbleiben, wenn Mitarbeiter dieses verlassen.

Die Gelegenheit für eine verbesserte Widerstandsfähigkeit beim Schopf packen 

Auch wenn die gesetzliche Pflicht DORA dem Finanzsektor und seinen Serviceunternehmen viel abverlangt, bietet sie eine ausgezeichnete Chance: Betroffene Unternehmen können dadurch ihre Cyber- und operative Resilienz ausbauen und ihre Sicherheitsstrategien optimieren. Die Vorgaben der neuen Vorschrift sind ausdrücklich auf die dynamischen Notwendigkeiten der Finanzbranche in der heutigen, vernetzten Geschäftswelt ausgelegt und lassen sich mit anderen Reglements oder Geschäftszielen in Einklang bringen.


Jackson

Nicholas

Jackson

Director of Cyber Security Services

Bitdefender

Anzeige

Artikel zu diesem Thema

Operative Resilienz nach DORA: ITSM-Strategien im Finanzsektor

Weitere Artikel

CISOs als Übersetzer: Wenn der Chef Security nicht versteht
Das Ende der One-Time-Passwords
Malware tarnt sich besser: Eine von 14 Bedrohungen bleibt unentdeckt
83% aller Firmen melden Insider-Angriffe – so schützen Sie sich technisch
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.