Der Europäische Finanzsektor ist einer zunehmenden Bedrohung durch Cyberattacken ausgesetzt. Ein neuer Gesetzesentwurf soll deshalb die Widerstandsfähigkeit der IT-Systeme stärken. Dabei kommen einige Veränderungen auf die Unternehmen zu. [...]
Die Lage der Cybersicherheit in der Europäischen Union (EU) hat sich – bedingt durch die Corona-Pandemie und die fortschreitende Digitalisierung – zunehmend verschlechtert. Allein für deutsche Unternehmen beläuft sich der Schaden durch Cyberattacken im Jahr 2022 auf mehr als 200 Milliarden Euro. Besonders gefährdet sind dabei die kritischen Infrastrukturen, unter anderem der Finanzsektor. Finanzunternehmen verlassen sich vermehrt auf Informations- und Kommunikationstechnologie (IKT), unter anderem beim Online-Banking und Mobile Payment. Diese Abhängigkeit von IKT macht Finanzunternehmen zu besonders attraktiven Zielen von Cyberkriminellen.
Trotz der steigenden Bedrohungslage ist der europäische Rechtsrahmen für IKT-Risiken und die operationelle Widerstandsfähigkeit von Finanzunternehmen und deren Dienstleistern fragmentiert. Der Digital Operational Resilience Act (DORA) soll nun einheitliche Vorgaben für die Cybersicherheit in der EU schaffen.
Was ist DORA?
Hinter DORA verbirgt sich ein Gesetzesentwurf der EU, welcher am 16. Januar dieses Jahres in Kraft getreten ist. Durch diesen soll sichergestellt werden, dass Finanzunternehmen und IKT-Drittdienstleister über angemessene Sicherheitssysteme verfügen, um gegen potenzielle Cyberangriffe gerüstet zu sein. Damit im Ernstfall der Betrieb reibungslos weiterlaufen kann, sollen deshalb die digitale Resilienz sowie der Umgang mit IKT-Risiken im Finanzsektor verbessert werden. Am 17. Januar 2025 wird DORA angewendet. Für die betroffenen Unternehmen bedeutet das, innerhalb von 24 Monaten die von der Verordnung geforderten Sicherheitsmaßnahmen umzusetzen.
Unternehmen stehen vor Veränderungen
Insgesamt ist zu erwarten, dass DORA für mehr als 22.000 Unternehmen in der EU gelten wird. Hierunter fallen nicht nur alle auf EU-Ebene regulierten Finanzhäuser wie Banken und Kreditinstitute, sondern auch alle Unternehmen, die IKT-bezogene Dienstleistungen für diese Finanzunternehmen erbringen. Dazu zählen beispielsweise Cloud-Speicheranbieter. All diese Unternehmen müssen Anforderungen in fünf Bereichen nachkommen: Im IKT-Risikomanagement, in der Berichterstattung über IKT-bezogene Vorfälle, im Management des IKT-Drittparteienrisikos, der digitalen operationellen Widerstandsfähigkeit und dem Informationsaustausch.
IKT-Risikomanagement
Durch DORA sind Unternehmen verpflichtet, einen umfassenden Rahmen für das IKT-Risikomanagement zu schaffen und diesen zu dokumentieren. Dazu gehört die Entwicklung von geeigneten Plänen, um auf mögliche digitale Störungen vorbereitet zu sein, sowie die Nutzung von IKT-Systemen, die anormale Aktivitäten und Störungen sofort erkennen.
Berichterstattung über IKT-bezogene Vorfälle
Zukünftig sollen alle IKT-bezogenen Vorfälle unverzüglich an die zuständigen EU-Behörden gemeldet werden. Dazu sollte ein Managementprozess eingerichtet werden, der Vorfälle überwacht und protokolliert. Das inkludiert Pläne zur Klassifizierung, Bewältigung und Berichterstattung dieser Vorfälle.
Management des IKT-Drittparteienrisikos
Wenn die IT-Sicherheitssysteme von IKT-Drittanbietern angegriffen werden, stellt dies auch eine Gefahr für die Finanzunternehmen dar. Daher müssen potenzielle Cyberbedrohungen innerhalb der gesamten Wertschöpfungskette minimiert werden. Bei vertraglichen Vereinbarungen müssen Finanzunternehmen und IKT-Dienstleister daher bestimmten Regelungen zum Abschluss, zur Erfüllung und Beendigung des Arbeitsverhältnisses nachkommen. Außerdem etabliert DORA einen Aufsichtsrahmen für IKT-Dienstleister, die entscheidend zur Betriebsfähigkeit des Finanzsektors beitragen. Diese gelten als kritisch und werden zukünftig durch die European Supervisory Authorities (ESA) überwacht. Hierzu veröffentlicht die ESA jährlich eine Liste kritischer IKT-Anbieter.
Digitale operationelle Widerstandsfähigkeit
Die digitale operationelle Resilienz von Unternehmen wird sichergestellt, indem Unternehmen Programme implementieren, welche regelmäßig die Abwehrbereitschaft und Schwachstellen des IT-Sicherheitssystems testen. Werden bei den Tests Lücken erkannt, müssen umgehend Strategien zur Klassifizierung und Behebung erarbeitet werden. Je nach Größe und Risikoprofil des Unternehmens bestehen verschiedene Anforderungen an diese Tests. So werden für kleinere Unternehmen Standardtests der IKT-Werkzeuge und -Systeme genutzt, für größere Häuser hingegen Tests auf der Grundlage von Threat-Led Penetration Testing (TLPT).
Informationsaustausch
Nicht nur die Unternehmen melden zukünftig IKT-bezogenen Vorfälle, sondern die Aufsichtsbehörden stellen ihrerseits relevante anonymisierte Informationen über Cyberrisiken zur Verfügung. DORA ermöglicht Finanzunternehmen zudem, untereinander Informationen über Cyberbedrohungen zu teilen. Durch den Informationsaustausch soll das Bewusstsein für IKT-Risiken gestärkt und Techniken zur Erkennung von Bedrohungen optimiert werden.
Umsetzung von DORA
Um alle Anforderungen der Verordnung bis 2025 zu erfüllen, sollten Finanzunternehmen und IKT-Dienstleister zunächst umfangreiche Gap-Analysen durchführen. Dabei wird die eigene IT-Sicherheit auf Lücken geprüft. Fallen hier Schwachstellen im System auf, gilt es, ein sicheres Netzwerk auf Basis eines stabilen Schwachstellenmanagements und von automatisierten Penetrationstests zu etablieren. Schwachstellenmanagement-Tools führen regelmäßige, professionelle Scans durch und schlagen Alarm, wenn mit einer Konfiguration etwas nicht stimmt oder Passwörter unsicher sind. Penetrationstests (auch Pentesting genannt) bauen auf das Schwachstellenmanagement auf. Sie imitieren das Vorgehen von Hackern und decken dadurch besonders komplexe Sicherheitslücken auf, die Schwachstellenscanner nicht erkennen.
Für einen Rundum-Schutz lohnt es sich ebenfalls, sogenannte SIEM-Tools zu nutzen. Das Security Information and Event Management (SIEM) ist eine automatisierte Sicherheitslösung, welche Daten auf ungewöhnliches Verhalten prüft. Und das in Echtzeit. SIEM-Tools sind fester Teil von Security Operation Centers (SOCs). Ein SOC besteht aus einem unternehmensinternen oder externen Team von IT-Sicherheitsexperten, die das IT-Netzwerk eines Unternehmens überwachen – rund um die Uhr. So wird sichergestellt, dass Bedrohungen rechtzeitig erkannt werden, bevor diese Auswirkungen auf den regulären Betrieb haben.
Finanzunternehmen und IKT-Dienstleister sollten frühzeitig in die von DORA geforderten Sicherheitsmaßnahmen investieren. So sind sie in Zukunft besser gegen Cyberattacken vorbereitet und entgehen dem kostspieligen Schaden, den ein Hackerangriff verursachen kann.
*Sebastian Brabetz ist in der Geschäftsleitung bei der mod IT GmbH für die Professional Security Solutions verantwortlich. Er ist als „Offensive Security Certified Professional“ sowie als „Tenable Certified Security Engineer“ zertifiziert und hat darüber hinaus zwei Bücher zum Thema „Penetration Testing“ veröffentlicht.
Be the first to comment