27. November 2024 Stephan Schweizer *

Endspurt zur Resilienz: Wie DORA den Finanzsektor gegen Cyberbedrohungen rüstet

Ab dem 17. Januar 2025 verpflichtet DORA Banken und Finanzdienstleister, ihre IT-Infrastrukturen umfassend abzusichern und resilient gegen Angriffe und Ausfälle zu gestalten. Die Zeit drängt also. [...]

Geopolitische Spannungen und zunehmende Cyberbedrohungen haben aufgezeigt, dass bestehende Sicherheitsmaßnahmen im Finanzsektor nicht ausreichen. Als kritische Infrastrukturen müssen Banken und Versicherungen widerstandsfähiger werden. Genau hier setzt die DORA-Verordnung an: Sie legt einheitliche Standards für Cybersicherheit und operative Resilienz fest und fordert eine EU-weite Harmonisierung. (c) stock.adobe.com/JK2507

Die fortschreitende Digitalisierung treibt Innovationen im Finanzsektor voran – doch mit dem Fortschritt wächst auch die Angriffsfläche für Cyberkriminelle. Um diesen Bedrohungen zu begegnen, hat die EU mit dem Digital Operational Resilience Act (DORA) eine wegweisende Verordnung geschaffen, die den Finanzsektor auf ein neues Sicherheitsniveau hebt. Ab dem 17. Januar 2025 verpflichtet DORA Banken und Finanzdienstleister, ihre IT-Infrastrukturen umfassend abzusichern und resilient gegen Angriffe und Ausfälle zu gestalten. Die Zeit drängt: Jetzt ist der Moment, um die Weichen für eine sichere digitale Zukunft zu stellen.

Warum DORA? Die Notwendigkeit einer neuen Sicherheitsstrategie

Geopolitische Spannungen und zunehmende Cyberbedrohungen haben aufgezeigt, dass bestehende Sicherheitsmaßnahmen im Finanzsektor nicht ausreichen. Als kritische Infrastrukturen müssen Banken und Versicherungen widerstandsfähiger werden. Genau hier setzt die DORA-Verordnung an: Sie legt einheitliche Standards für Cybersicherheit und operative Resilienz fest und fordert eine EU-weite Harmonisierung.

DORA im Detail: Was jetzt auf Finanzinstitute zukommt

Ab dem 17.01.2025 müssen Finanzinstitute eine Vielzahl an Anforderungen erfüllen, um ihre Resilienz gegenüber Cyberrisiken zu stärken. Die wichtigsten Maßnahmen umfassen:

  1. Risikomanagement stärken: Unternehmen müssen ein umfassendes System zur Überwachung und Bewertung von digitalen Risiken implementieren, um potenzielle Bedrohungen frühzeitig zu erkennen.
  2. Verpflichtende Penetrationstests: Regelmäßige Penetrationstests werden zur Pflicht, um die Cyberabwehrfähigkeit realitätsnah zu testen und Schwachstellen zu identifizieren.
  3. Ernennung eines IT-Sicherheitsbeauftragten: Jedes Unternehmen muss einen IT-Sicherheitsbeauftragten ernennen, der für die Governance der IT-Sicherheit und die Einhaltung der DORA-Vorgaben verantwortlich ist.
  4. Meldung von IT-Vorfällen: Wichtige Cybervorfälle müssen zeitnah den zuständigen Aufsichtsbehörden gemeldet werden, um schnelle Gegenmaßnahmen zu ermöglichen.
  5. Überwachung von Drittanbietern: Externe IT-Dienstleister, wie Cloud-Anbieter, müssen auf ihre Sicherheitsstandards überprüft und kontinuierlich überwacht werden. Lieferketten und Outsourcing müssen transparent und sicher gestaltet werden.
  6. Entwicklung eines IT-Notfallplans: Jedes Finanzinstitut muss einen detaillierten IT-Notfallplan entwickeln, der eine schnelle Reaktion auf Sicherheitsvorfälle oder Systemausfälle ermöglicht.

DORA-Checkliste: Was Finanzinstitute jetzt tun müssen

Viele DORA-Anforderungen basieren auf bereits bestehenden Richtlinien, wie den Vorgaben der European Banking Authority (EBA) und den BAIT-Regelungen der BaFin. Dennoch verlangt die Verordnung eine umfassende Überprüfung und Anpassung, um Lücken zu schließen und die Weichen für eine effektive Umsetzung zu stellen. Um die Anforderungen von DORA bis Januar 2025 zu erfüllen, sollten Finanzinstitute jetzt entscheidende Schritte einleiten.

Ausgangspunkt ist die Durchführung einer Gap-Analyse, um den aktuellen Stand der IT-Sicherheit zu bewerten und notwendige Folgemaßnahmen zu identifizieren. Parallel dazu gilt es, das Risikomanagement zu stärken und den Cyber-Reifegrad der Organisation zu überprüfen. Regelmäßige Penetrationstests helfen dabei, Schwachstellen aufzudecken und die Abwehrfähigkeit gegenüber potenziellen Bedrohungen zu verbessern.

Auch die Zusammenarbeit mit Drittanbietern erfordert besondere Aufmerksamkeit: Finanzinstitute müssen sicherstellen, dass externe IT-Dienstleister den DORA-Vorgaben entsprechen und die Sicherheit entlang der gesamten Lieferkette gewährleistet ist. Schließlich darf die Einführung strenger Sicherheitsmaßnahmen nicht zulasten der Benutzerfreundlichkeit gehen. Moderne Authentifizierungsmethoden wie Biometrie bieten hier eine ideale Lösung, indem sie sicheren Zugriff ermöglichen, ohne den Nutzerkomfort zu beeinträchtigen. Eine robuste IAM-Plattform (Identity and Access Management) sorgt zudem dafür, dass nur autorisierte Personen Zugriff auf sensible Daten erhalten.

DORA als Chance für den Finanzsektor

DORA ist nicht nur eine regulatorische Herausforderung – sie bietet auch eine einmalige Gelegenheit, die Cyberresilienz des Finanzsektors nachhaltig zu stärken. Unternehmen, die frühzeitig handeln und ihre IT-Sicherheitsstrategie den neuen Anforderungen anpassen, können nicht nur Compliance-Risiken minimieren, sondern auch das Vertrauen ihrer Kunden und Partner gewinnen. Diese proaktive Haltung hilft, den Finanzsektor für zukünftige Herausforderungen zu rüsten und die Widerstandsfähigkeit gegenüber Cyberangriffen langfristig zu verbessern.

* Stephan Schweizer ist Chief Executive Officer von Nevis Security.


Mehr Artikel

KI-basierte Bedrohungserkennung und Verhaltensanalysen können helfen, Angriffe frühzeitig zu erkennen. (c) Pexels
News

Cyberwarfare 2025: Wie KI die digitale Bedrohungslage verändert

9. April 2025 Wolfgang Franz

Cyberangriffe gewinnen im globalen Machtgefüge zunehmend an Bedeutung. Der aktuelle “Cyberwarfare Report 2025” von Armis analysiert die Rolle von generativer künstlicher Intelligenz (GenAI) in modernen Cyberkriegsstrategien und beschreibt eine Welt, in der sich Bedrohungen rasant weiterentwickeln und bestehende Sicherheitsmechanismen überfordern. ITWelt.at hat sich die Studie angesehen. […]

News

So werden Unternehmen autonom und resilient

8. April 2025

Ein Unternehmen, in dem viele Prozesse automatisiert ablaufen, ohne menschliche Aufsicht, und das sich dabei kontinuierlich selbst optimiert? Fortgeschrittene KI und Automatisierungswerkzeuge liefern die dafür notwendige technische Grundlage, doch die Umsetzung ist in der Regel mit einigen Herausforderungen verbunden. […]

News

Grundlegende Metriken der Datenwiederherstellung: RPO und RTO verständlich gemacht

8. April 2025 Angela Heindl-Schober *

Wenn es um die Geschäftskontinuität geht, stechen zwei Schlüsselmetriken hervor: Recovery Point Objective (RPO) und Recovery Time Objective (RTO). Oft werden diese verwechselt oder die Diskussion dreht sich um RPO versus RTO. Beide Metriken sind jedoch für die Entwicklung effektiver Datenschutzstrategien und die Minimierung von Unterbrechungen und Datenverlusten unerlässlich. […]

Drohnen, die autonom und ohne GPS navigieren können, wären in der Lage kritische Infrastruktur wie Brücken oder Strommasten selbstständig zu inspizieren. (c) Fikri Rasyid / unsplash
News

Wie Drohnen autonom fliegen lernen 

7. April 2025 pi/kdl

Von wirklich selbstständigen Robotern, die durch eine komplexe und sich verändernde Umwelt navigieren können, sind wir noch weit entfernt. Neue Ansätze mit KI bieten eine Chance, diese Vorstellung ein Stück weit Realität werden zu lassen. Jan Steinbrener experimentiert an der Universität Klagenfurt mit Drohnen, die genau das versuchen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*