Mit DORA, dem Digital Operational Resilience Act, verschärft die Europäische Kommission ihre Vorgaben für die Cybersicherheit im Finanzsektor. [...]
Die Hälfte der Umsetzungsfrist ist bereits verstrichen und der Druck auf die Branche wächst. Unternehmen müssen nun mehrere Maßnahmen umsetzen, um DORA-konform zu werden. Diese beziehen sich vor allem auf das Risikomanagement, das Vorfallsberichtswesen und die IKT-Sicherheit. Was ist in diesen Bereichen konkret zu tun?
DORA-Verordnung soll operative Sicherheit steigern
Bislang konzentrierte sich die EU mit ihrer Regulatorik vor allen Dingen auf die finanzielle Widerstandsfähigkeit der Finanzmärkte. Mit DORA ändert sich dies. Unternehmen der Branche sowie deren IKT-Dienstleister werden nun auch dazu verpflichtet, die operative Widerstandsfähigkeit ihrer digitalen Systeme auszubauen. Genauer gesagt betrifft dies alle Netz- und Informationssysteme, die in Finanzunternehmen zur Unterstützung der Geschäftsprozesse zum Einsatz kommen. Das Ziel besteht darin, die Betriebsstabilität zu stärken und das Risiko schwerwiegender Betriebsunterbrechungen zu minimieren.
DORA wirkt sich im Risikomanagement auf die folgenden Themenfelder aus:
- Governanceund Organisation (Artikel 5)
- IKT-Risikomanagementrahmen (Artikel 6)
- IKT-Systeme, -Protokolle und -Tools (Artikel 7)
- Identifizierung aller Assets (Artikel 8)
- Schutz und Prävention (Artikel 9)
- Erkennung von Anomalien (Artikel 10)
- Reaktion und Wiederherstellung (Artikel 11)
- Backup, Wiedergewinnung und Wiederherstellung (Artikel 12)
- Lernprozesse und Weiterentwicklung (Artikel 13)
- Kommunikation (Artikel 14)
Betrachten wir drei Bereiche im Folgenden genauer:
IKT-Risikomanagement
Um DORA-Konformität herzustellen, müssen Unternehmen zunächst robuste Risikomanagement-Praktiken implementieren, welche spezifisch auf die Sicherstellung der Betriebsresilienz ausgerichtet sind. Hierbei wird das Leitungsorgan (die Geschäftsführung/der Vorstand) persönlich in die Verantwortung genommen. Gefordert wird das Vorhandensein belastbarer IKT-Systeme und -Tools, mit dem Ziel, IKT-Risiken zu senken, deren Quellen fortlaufend und vollumfänglich zu identifizieren, geeignete Präventions- und Schutzmaßnahmen aufzustellen sowie ungewöhnliche Aktivitäten sofort zu erkennen. Weiterhin verlangt der Digital Operational Resilience Act die Einführung umfassender Business-Continuity-Richtlinien sowie das Aufstellen von Notfall-/Geschäftsfortführungsplänen und Wiederherstellung-/Wiederanlaufsplänen.
Konkrete Vorgaben zur Umsetzung macht DORA nicht, sodass Unternehmen einen gewissen Handlungsspielraum haben. Allgemein empfehlen sich jedoch folgende Maßnahmen:
- Strategie für die digitale Resilienz der operativen Informations- und Kommunikationssysteme entwickeln
- IKT-Business-Continuity-Leitlinie aufstellen
- Wirksame und umfassende Verfahren zur Erkennung von IKT-bezogenen Sicherheitsvorfällen implementieren
Abhilfe schaffen zum Beispiel die Einführung von SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response) sowie der Aufbau oder Fremdbezug eines SOC (Security Operations Centers).
Incident Reporting (Vorfallsberichtswesen)
Die EU möchte mehr Transparenz zur Cyberbedrohungslage in den Finanzmärkten realisieren. Daher verpflichtet sie Finanzunternehmen nun zur Einrichtung und Umsetzung eines Managementprozesses, mit dem IKT-bezogene Vorfälle erkannt, behandelt, überwacht und auch protokolliert werden. Weiterhin müssen schwerwiegende Vorgänge künftig an die zuständigen Behörden gemeldet werden. Um hier einheitliche Standards zu gewährleisten, ist zudem eine Klassifizierung der Vorfälle anhand definierter Kriterien notwendig.
Konkrete Handlungsempfehlungen sind in diesem Bereich:
- Einführung von Frühwarnindikatoren
- Aufbau eines IKT-bezogenen Vorfallsberichtswesens inklusive Prozessbeschreibung (Identifikation, Priorisierung, Handling, Lösung und Reporting)
- Implementierung eines Klassifikationssystems für Sicherheitsvorfälle
IKT-Sicherheit
Neben der Erarbeitung von Strategien, Leit- und Richtlinien sowie Prozessen und Arbeitsanweisungen macht DORA an vielen Stellen ebenso die konkrete Implementierung von Technologien erforderlich, mit denen die Sicherheit der Informations- und Kommunikationstechnologie gewährleistet werden kann. Unter anderem sind Investitionen in folgende Sicherheitslösungen notwendig:
- Verschlüsselte Übertragung und Speicherung von Daten
- Mehrstufiger Schutz der ITK-Systeme vor Datenverlust, unberechtigtem Zugriff, Manipulation und Verfügbarkeitsangriffen (zum Beispiel DDoS-Attacken)
- Netzwerksicherheit
Die Netzwerksicherheit erfordert mindestens einen visuellen Netzwerkplan, den Schutz des Netzwerkverkehrs (intern wie extern), die Überprüfung und Justierung von Firewall-Regeln und regelmäßige Reviews der Netzwerkarchitektur. Ebenso sollten Möglichkeiten geschaffen werden, Netzwerkkomponenten, Subnetze und Geräte im Ernstfall temporär zu isolieren. Relevant sind hierbei Technologien wie Mikrosegmentierung.
DORA als Chance betrachten
Der Ausfall kritischer IKT-Systeme kann gravierende Auswirkungen auf die wirtschaftliche Sicherheit von Finanzunternehmen und sogar auf die gesamte Finanzmarktstabilität haben. Weiterhin können Datenlecks und Cybersicherheitsvorfälle schwerwiegende Reputations- und Vertrauensverluste sowie hohe Bußgelder nach sich ziehen. Gleiches gilt für Compliance-Verletzungen, welche im Extremfall sogar zum Entzug der Betriebslizenz führen. Insofern ist es für Finanzunternehmen –unabhängig von DORA – notwendig und wichtig, sich auf Sicherheitsvorfälle vorzubereiten und Maßnahmen zur Resilienzsteigerung zu ergreifen. Zwar ist durch die neue Regulatorik zunächst mit Mehraufwänden zu rechnen, vor allen Dingen im Bereich des IKT-Risikomanagements. Doch ist damit darüber hinaus die Chance verbunden, ein deutlich höheres Sicherheitslevel zu erreichen und dauerhaft zu halten. Angesichts der stetig zunehmenden Cyberbedrohungslage ist dies mehr als angebracht.
*Der Autor Thomas Neuwert ist Geschäftsführer von neto consulting und Gründer von GORISCON.
Be the first to comment