DORA kommt: Das müssen Unternehmen bis 2025 umsetzen

Mit DORA, dem Digital Operational Resilience Act, verschärft die Europäische Kommission ihre Vorgaben für die Cybersicherheit im Finanzsektor. [...]

Der Ausfall kritischer IKT-Systeme kann gravierende Auswirkungen auf die wirtschaftliche Sicherheit von Finanzunternehmen haben. (c) Unsplash
Der Ausfall kritischer IKT-Systeme kann gravierende Auswirkungen auf die wirtschaftliche Sicherheit von Finanzunternehmen haben. (c) Unsplash

Die Hälfte der Umsetzungsfrist ist bereits verstrichen und der Druck auf die Branche wächst. Unternehmen müssen nun mehrere Maßnahmen umsetzen, um DORA-konform zu werden. Diese beziehen sich vor allem auf das Risikomanagement, das Vorfallsberichtswesen und die IKT-Sicherheit. Was ist in diesen Bereichen konkret zu tun?

DORA-Verordnung soll operative Sicherheit steigern

Bislang konzentrierte sich die EU mit ihrer Regulatorik vor allen Dingen auf die finanzielle Widerstandsfähigkeit der Finanzmärkte. Mit DORA ändert sich dies. Unternehmen der Branche sowie deren IKT-Dienstleister werden nun auch dazu verpflichtet, die operative Widerstandsfähigkeit ihrer digitalen Systeme auszubauen. Genauer gesagt betrifft dies alle Netz- und Informationssysteme, die in Finanzunternehmen zur Unterstützung der Geschäftsprozesse zum Einsatz kommen. Das Ziel besteht darin, die Betriebsstabilität zu stärken und das Risiko schwerwiegender Betriebsunterbrechungen zu minimieren.

DORA wirkt sich im Risikomanagement auf die folgenden Themenfelder aus:

  • Governanceund Organisation (Artikel 5)
  • IKT-Risikomanagementrahmen (Artikel 6)
  • IKT-Systeme, -Protokolle und -Tools (Artikel 7)
  • Identifizierung aller Assets (Artikel 8)
  • Schutz und Prävention (Artikel 9)
  • Erkennung von Anomalien (Artikel 10)
  • Reaktion und Wiederherstellung (Artikel 11)
  • Backup, Wiedergewinnung und Wiederherstellung (Artikel 12)
  • Lernprozesse und Weiterentwicklung (Artikel 13)
  • Kommunikation (Artikel 14)

Betrachten wir drei Bereiche im Folgenden genauer:

IKT-Risikomanagement

Um DORA-Konformität herzustellen, müssen Unternehmen zunächst robuste Risikomanagement-Praktiken implementieren, welche spezifisch auf die Sicherstellung der Betriebsresilienz ausgerichtet sind. Hierbei wird das Leitungsorgan (die Geschäftsführung/der Vorstand) persönlich in die Verantwortung genommen. Gefordert wird das Vorhandensein belastbarer IKT-Systeme und -Tools, mit dem Ziel, IKT-Risiken zu senken, deren Quellen fortlaufend und vollumfänglich zu identifizieren, geeignete Präventions- und Schutzmaßnahmen aufzustellen sowie ungewöhnliche Aktivitäten sofort zu erkennen. Weiterhin verlangt der Digital Operational Resilience Act die Einführung umfassender Business-Continuity-Richtlinien sowie das Aufstellen von Notfall-/Geschäftsfortführungsplänen und Wiederherstellung-/Wiederanlaufsplänen.

Konkrete Vorgaben zur Umsetzung macht DORA nicht, sodass Unternehmen einen gewissen Handlungsspielraum haben. Allgemein empfehlen sich jedoch folgende Maßnahmen:

  • Strategie für die digitale Resilienz der operativen Informations- und Kommunikationssysteme entwickeln
  • IKT-Business-Continuity-Leitlinie aufstellen
  • Wirksame und umfassende Verfahren zur Erkennung von IKT-bezogenen Sicherheitsvorfällen implementieren

Abhilfe schaffen zum Beispiel die Einführung von SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response) sowie der Aufbau oder Fremdbezug eines SOC (Security Operations Centers).

Incident Reporting (Vorfallsberichtswesen)

Die EU möchte mehr Transparenz zur Cyberbedrohungslage in den Finanzmärkten realisieren. Daher verpflichtet sie Finanzunternehmen nun zur Einrichtung und Umsetzung eines Managementprozesses, mit dem IKT-bezogene Vorfälle erkannt, behandelt, überwacht und auch protokolliert werden. Weiterhin müssen schwerwiegende Vorgänge künftig an die zuständigen Behörden gemeldet werden. Um hier einheitliche Standards zu gewährleisten, ist zudem eine Klassifizierung der Vorfälle anhand definierter Kriterien notwendig.

Konkrete Handlungsempfehlungen sind in diesem Bereich:

  • Einführung von Frühwarnindikatoren
  • Aufbau eines IKT-bezogenen Vorfallsberichtswesens inklusive Prozessbeschreibung (Identifikation, Priorisierung, Handling, Lösung und Reporting)
  • Implementierung eines Klassifikationssystems für Sicherheitsvorfälle

IKT-Sicherheit

Neben der Erarbeitung von Strategien, Leit- und Richtlinien sowie Prozessen und Arbeitsanweisungen macht DORA an vielen Stellen ebenso die konkrete Implementierung von Technologien erforderlich, mit denen die Sicherheit der Informations- und Kommunikationstechnologie gewährleistet werden kann. Unter anderem sind Investitionen in folgende Sicherheitslösungen notwendig:

  • Verschlüsselte Übertragung und Speicherung von Daten
  • Mehrstufiger Schutz der ITK-Systeme vor Datenverlust, unberechtigtem Zugriff, Manipulation und Verfügbarkeitsangriffen (zum Beispiel DDoS-Attacken)
  • Netzwerksicherheit

Die Netzwerksicherheit erfordert mindestens einen visuellen Netzwerkplan, den Schutz des Netzwerkverkehrs (intern wie extern), die Überprüfung und Justierung von Firewall-Regeln und regelmäßige Reviews der Netzwerkarchitektur. Ebenso sollten Möglichkeiten geschaffen werden, Netzwerkkomponenten, Subnetze und Geräte im Ernstfall temporär zu isolieren. Relevant sind hierbei Technologien wie Mikrosegmentierung.

DORA als Chance betrachten

Der Ausfall kritischer IKT-Systeme kann gravierende Auswirkungen auf die wirtschaftliche Sicherheit von Finanzunternehmen und sogar auf die gesamte Finanzmarktstabilität haben. Weiterhin können Datenlecks und Cybersicherheitsvorfälle schwerwiegende Reputations- und Vertrauensverluste sowie hohe Bußgelder nach sich ziehen. Gleiches gilt für Compliance-Verletzungen, welche im Extremfall sogar zum Entzug der Betriebslizenz führen. Insofern ist es für Finanzunternehmen –unabhängig von DORA – notwendig und wichtig, sich auf Sicherheitsvorfälle vorzubereiten und Maßnahmen zur Resilienzsteigerung zu ergreifen. Zwar ist durch die neue Regulatorik zunächst mit Mehraufwänden zu rechnen, vor allen Dingen im Bereich des IKT-Risikomanagements. Doch ist damit  darüber hinaus die Chance verbunden, ein deutlich höheres Sicherheitslevel zu erreichen und dauerhaft zu halten. Angesichts der stetig zunehmenden Cyberbedrohungslage ist dies mehr als angebracht.

*Der Autor Thomas Neuwert ist Geschäftsführer von neto consulting und Gründer von GORISCON.


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*