DORA kommt: Das müssen Unternehmen bis 2025 umsetzen

Mit DORA, dem Digital Operational Resilience Act, verschärft die Europäische Kommission ihre Vorgaben für die Cybersicherheit im Finanzsektor. [...]

Der Ausfall kritischer IKT-Systeme kann gravierende Auswirkungen auf die wirtschaftliche Sicherheit von Finanzunternehmen haben. (c) Unsplash
Der Ausfall kritischer IKT-Systeme kann gravierende Auswirkungen auf die wirtschaftliche Sicherheit von Finanzunternehmen haben. (c) Unsplash

Die Hälfte der Umsetzungsfrist ist bereits verstrichen und der Druck auf die Branche wächst. Unternehmen müssen nun mehrere Maßnahmen umsetzen, um DORA-konform zu werden. Diese beziehen sich vor allem auf das Risikomanagement, das Vorfallsberichtswesen und die IKT-Sicherheit. Was ist in diesen Bereichen konkret zu tun?

DORA-Verordnung soll operative Sicherheit steigern

Bislang konzentrierte sich die EU mit ihrer Regulatorik vor allen Dingen auf die finanzielle Widerstandsfähigkeit der Finanzmärkte. Mit DORA ändert sich dies. Unternehmen der Branche sowie deren IKT-Dienstleister werden nun auch dazu verpflichtet, die operative Widerstandsfähigkeit ihrer digitalen Systeme auszubauen. Genauer gesagt betrifft dies alle Netz- und Informationssysteme, die in Finanzunternehmen zur Unterstützung der Geschäftsprozesse zum Einsatz kommen. Das Ziel besteht darin, die Betriebsstabilität zu stärken und das Risiko schwerwiegender Betriebsunterbrechungen zu minimieren.

DORA wirkt sich im Risikomanagement auf die folgenden Themenfelder aus:

  • Governanceund Organisation (Artikel 5)
  • IKT-Risikomanagementrahmen (Artikel 6)
  • IKT-Systeme, -Protokolle und -Tools (Artikel 7)
  • Identifizierung aller Assets (Artikel 8)
  • Schutz und Prävention (Artikel 9)
  • Erkennung von Anomalien (Artikel 10)
  • Reaktion und Wiederherstellung (Artikel 11)
  • Backup, Wiedergewinnung und Wiederherstellung (Artikel 12)
  • Lernprozesse und Weiterentwicklung (Artikel 13)
  • Kommunikation (Artikel 14)

Betrachten wir drei Bereiche im Folgenden genauer:

IKT-Risikomanagement

Um DORA-Konformität herzustellen, müssen Unternehmen zunächst robuste Risikomanagement-Praktiken implementieren, welche spezifisch auf die Sicherstellung der Betriebsresilienz ausgerichtet sind. Hierbei wird das Leitungsorgan (die Geschäftsführung/der Vorstand) persönlich in die Verantwortung genommen. Gefordert wird das Vorhandensein belastbarer IKT-Systeme und -Tools, mit dem Ziel, IKT-Risiken zu senken, deren Quellen fortlaufend und vollumfänglich zu identifizieren, geeignete Präventions- und Schutzmaßnahmen aufzustellen sowie ungewöhnliche Aktivitäten sofort zu erkennen. Weiterhin verlangt der Digital Operational Resilience Act die Einführung umfassender Business-Continuity-Richtlinien sowie das Aufstellen von Notfall-/Geschäftsfortführungsplänen und Wiederherstellung-/Wiederanlaufsplänen.

Konkrete Vorgaben zur Umsetzung macht DORA nicht, sodass Unternehmen einen gewissen Handlungsspielraum haben. Allgemein empfehlen sich jedoch folgende Maßnahmen:

  • Strategie für die digitale Resilienz der operativen Informations- und Kommunikationssysteme entwickeln
  • IKT-Business-Continuity-Leitlinie aufstellen
  • Wirksame und umfassende Verfahren zur Erkennung von IKT-bezogenen Sicherheitsvorfällen implementieren

Abhilfe schaffen zum Beispiel die Einführung von SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response) sowie der Aufbau oder Fremdbezug eines SOC (Security Operations Centers).

Incident Reporting (Vorfallsberichtswesen)

Die EU möchte mehr Transparenz zur Cyberbedrohungslage in den Finanzmärkten realisieren. Daher verpflichtet sie Finanzunternehmen nun zur Einrichtung und Umsetzung eines Managementprozesses, mit dem IKT-bezogene Vorfälle erkannt, behandelt, überwacht und auch protokolliert werden. Weiterhin müssen schwerwiegende Vorgänge künftig an die zuständigen Behörden gemeldet werden. Um hier einheitliche Standards zu gewährleisten, ist zudem eine Klassifizierung der Vorfälle anhand definierter Kriterien notwendig.

Konkrete Handlungsempfehlungen sind in diesem Bereich:

  • Einführung von Frühwarnindikatoren
  • Aufbau eines IKT-bezogenen Vorfallsberichtswesens inklusive Prozessbeschreibung (Identifikation, Priorisierung, Handling, Lösung und Reporting)
  • Implementierung eines Klassifikationssystems für Sicherheitsvorfälle

IKT-Sicherheit

Neben der Erarbeitung von Strategien, Leit- und Richtlinien sowie Prozessen und Arbeitsanweisungen macht DORA an vielen Stellen ebenso die konkrete Implementierung von Technologien erforderlich, mit denen die Sicherheit der Informations- und Kommunikationstechnologie gewährleistet werden kann. Unter anderem sind Investitionen in folgende Sicherheitslösungen notwendig:

  • Verschlüsselte Übertragung und Speicherung von Daten
  • Mehrstufiger Schutz der ITK-Systeme vor Datenverlust, unberechtigtem Zugriff, Manipulation und Verfügbarkeitsangriffen (zum Beispiel DDoS-Attacken)
  • Netzwerksicherheit

Die Netzwerksicherheit erfordert mindestens einen visuellen Netzwerkplan, den Schutz des Netzwerkverkehrs (intern wie extern), die Überprüfung und Justierung von Firewall-Regeln und regelmäßige Reviews der Netzwerkarchitektur. Ebenso sollten Möglichkeiten geschaffen werden, Netzwerkkomponenten, Subnetze und Geräte im Ernstfall temporär zu isolieren. Relevant sind hierbei Technologien wie Mikrosegmentierung.

DORA als Chance betrachten

Der Ausfall kritischer IKT-Systeme kann gravierende Auswirkungen auf die wirtschaftliche Sicherheit von Finanzunternehmen und sogar auf die gesamte Finanzmarktstabilität haben. Weiterhin können Datenlecks und Cybersicherheitsvorfälle schwerwiegende Reputations- und Vertrauensverluste sowie hohe Bußgelder nach sich ziehen. Gleiches gilt für Compliance-Verletzungen, welche im Extremfall sogar zum Entzug der Betriebslizenz führen. Insofern ist es für Finanzunternehmen –unabhängig von DORA – notwendig und wichtig, sich auf Sicherheitsvorfälle vorzubereiten und Maßnahmen zur Resilienzsteigerung zu ergreifen. Zwar ist durch die neue Regulatorik zunächst mit Mehraufwänden zu rechnen, vor allen Dingen im Bereich des IKT-Risikomanagements. Doch ist damit  darüber hinaus die Chance verbunden, ein deutlich höheres Sicherheitslevel zu erreichen und dauerhaft zu halten. Angesichts der stetig zunehmenden Cyberbedrohungslage ist dies mehr als angebracht.

*Der Autor Thomas Neuwert ist Geschäftsführer von neto consulting und Gründer von GORISCON.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*