Der Finanzsektor wird zum Wildnis-Ranger für IT-Sicherheit – Überlebensequipment

Raus aus dem DORA-Dschungel: Wie ein IT Service Management bei der Umsetzung unterstützt.

Der Finanzsektor ist einer der anfälligsten Branchen für Cyberattacken laut dem Bundeslagebild Cybercrime 2023 des Bundeskriminalamts. Auch der Wirtschaftsschutzreport 2023 von Bitkom identifiziert, dass vor allem Mitarbeiter- und Kundendaten im Fokus von Datendiebstahl stehen. Insgesamt steige die Bedrohungslage, nicht zuletzt, weil komplexe Szenarien wie Phishing oder Ransomware zunehmen.

Um die digitale Betriebsstabilität zu erhöhen und IT-Risiken zu minimieren, hat die EU den Digital Operational Resilience Act (DORA) eingeführt. Die Verordnung trat zum 17. Januar 2023 in Kraft und wird ab dem 17. Januar 2025 angewendet. Sie bringt strenge Sorgfalts- und Berichtspflichten mit sich, wie revisionssichere Dokumentation, rechtskonforme Verträge und Auskunftsfähigkeit zu jeder Zeit. Was müssen IT-Führungskräfte von Organisationen im Finanzsektor jetzt beachten? Wie kann ein IT-Service-Management-System (ITSM) dabei unterstützen, diese EU-Vorgaben effizient und schnell umzusetzen?

Wie gut ist der Finanzsektor auf die DORA-Verordnung vorbereitet? Während große Banken und Versicherungen sich gut vorbereitet zeigen, finden sich kleinere Finanzinstitute und Drittanbieter in einem DORA-Dschungel wieder. Große Institutionen haben bereits umfassende Maßnahmen zur Steigerung ihrer IT-Resilienz implementiert und sind somit in der Lage, den neuen Vorschriften relativ problemlos nachzukommen. Anders gestaltet sich die Situation bei kleineren Firmen des Finanzsektors. Diese hatten bisher weniger Berührungspunkte mit derartigen Regularien und sehen sich nun vor erhebliche Herausforderungen gestellt. Die Umsetzung der DORA-Verordnung ist für sie mit einem hohen administrativen Aufwand verbunden. Besonders die Durchführung von Resilienztests stellt für viele IT-Abteilungen Neuland dar und erfordert erhebliche Anstrengungen in Bezug auf Planung und Durchführung.

Eine große Aufgabe für IT-Führungskräfte. Die DORA-Verordnung stellt IT-Führungskräfte vor eine der bislang größten Aufgaben ihrer Karriere. Neben Ressourcenplanung, Weiterbildung von Fachpersonal und dem Koordinationsaufwand kommen neue operative Aufgaben hinzu. Die DORA-Verordnung verlangt eine detaillierte Analyse und Überwachung der gesamten Lieferkette, um sicherzustellen, dass alle beteiligten Dienstleister die notwendigen Sicherheitsstandards erfüllen. Viele Unternehmen haben komplexe und verzweigte Netzwerke von Drittanbietern, in welche Verantwortliche detaillierte Einblicke in alle Ebenen der Lieferkette gewinnen müssen. Dieser Aspekt erfordert nicht nur technische Expertise, sondern auch eine enge Zusammenarbeit mit den Lieferanten und eine gründliche Überprüfung ihrer Prozesse und Sicherheitsmaßnahmen. Die Ermittlung der Supply Chain von IT-Dienstleistern ist somit eine der größten aktuellen Herausforderungen für den Finanzsektor.

Schließlich muss das IT-Management auch darauf vorbereitet sein, jederzeit auskunftsfähig zu sein, insbesondere im Falle von Anfragen oder Vor-Ort-Überprüfungen durch Aufsichtsbehörden wie die BaFin. Nach der harten Deadline vom 17. Januar 2025 wird die BaFin beginnen, die Informationsregister der Finanzinstitute einzusammeln. Im Laufe des Jahres 2025 werden die Aufsichtsbehörden mit den DORA-Überprüfungen beginnen, um sicherzustellen, dass alle Unternehmen die neuen Regularien einhalten und ihre IT-Sicherheitsstandards entsprechend angepasst haben. Dies erfordert von den IT-Führungskräften nicht nur eine gründliche Dokumentation aller Maßnahmen und Prozesse, sondern auch die Fähigkeit, schnell und präzise auf behördliche Anforderungen zu reagieren.

Mit einem ITSM-basierten Ansatz lassen sich alle Aspekte von DORA abbilden. DORA wurde mit dem zentralen Aspekt entwickelt, dass Cyber Security eine wichtige Grundlage ist, aber darüber hinaus die Cyber Resilience sichergestellt werden muss, sodass IT-Strukturen auch bei teilweise erfolgreichen Angriffen widerstandsfähig bleiben und sich »wehren« können. Diese Fähigkeit erfordert vor allem aktuelle operative Informationen und darauf aufbauende operative Funktionalitäten wie zum Beispiel die Generierung von Wiederherstellungsplänen. Deswegen kann ein IT-Service-Management-System auch ein hervorragendes »Überlebensequipment« im Dschungel der DORA-Umsetzung sein.

Die BaFin greift unter DORA sechs wesentliche Themenbereiche auf. Bei vier der sechs Handlungsfelder kann das GRC-Modul eines IT-Service-Management-Systems die IT-Abteilung umfassend unterstützen. Dazu zählt ein integriertes Risikomanagement, ein Incident Management, Schwachstellenmanagement beziehungsweise Audit- und Pentestplanung sowie das Continuity Management und die Möglichkeit, direkt ein Informationsregister herstellen zu können.

Wie ein leistungsstarkes IT-Service-Management-System DORA einfach macht. Das ideale IT-Service-Management-System ist auf den operativen Einsatz ausgerichtet und stellt den IT-Service mit Prozessen wie Incident, Problem und Change in den Mittelpunkt. Damit liefert es die passende Grundlage für das Hinzufügen weiterer Datenebenen, zum Beispiel von GRC-Aspekten (Governance, Risk und Compliance). Diese sind dann direkt mit den Service-Beschreibungen verbunden und nicht in einem separaten Werkzeug oder innerhalb desselben Werkzeugs in eigenen Datenstrukturen ausgelagert. So kann der berühmte Medienbruch vermieden werden und es wird sichergestellt, dass GRC-Informationen für die wirklich im Einsatz befindlichen Strukturen erfasst und gepflegt werden.

Diese Grundidee erlaubt darüber hinaus noch weitere Vorteile. So können vielfach GRC-Informationen wie das Informationsregister oder Wiederherstellungspläne interaktiv generiert und genutzt werden. Des Weiteren können dann entsprechende Konsistenzprüfungen sehr effektiv umgesetzt werden, die sicherstellen, dass Risikobetrachtungen vollständig sind oder ein Wiederherstellungsplan keine inhaltlichen Fehler aufweist. Dieses Kriterium, die enge Bindung von GRC-Informationen an die Service Records des IT-Service-Management-Systems, sollte für IT-Führungskräfte von entscheidender Bedeutung sein.

Gibt es eine Lichtung im DORA-Dschungel? Neben vielen Herausforderungen kann DORA auch ein wichtiger Hebel für den Finanzsektor darstellen. Die Verordnung verpflichtet Finanzinstitute einerseits, das Risiko durch Drittparteien über das Informationsregister der BaFin zu melden. Ein wesentlicher Vorteil der DORA-Verordnung liegt damit in der vollständigen Rückverfolgbarkeit der Lieferketten. Durch die detaillierte Erfassung und Überwachung der IT-Dienstleister können häufig genutzte Anbieter identifiziert werden. Dies ermöglicht es, potenzielle systemische Risiken frühzeitig zu erkennen und zu adressieren. Sollte ein solcher Anbieter ausfallen, könnten die Auswirkungen auf den gesamten Finanzsektor erheblich sein. DORA hilft dabei, solche Risiken zu verhindern und die Stabilität der Finanzinfrastruktur zu sichern.

Ein weiterer entscheidender Vorteil von DORA ist die Stärkung des Finanzplatzes Europa. Durch die Einführung homogener Sicherheitsstandards im Bereich der Informationssicherheit wird ein Wettbewerbsvorteil gegenüber anderen Regionen geschaffen. Einheitliche und hohe Sicherheitsstandards erhöhen das Vertrauen in europäische Finanzinstitute und machen den europäischen Finanzmarkt attraktiver für Investitionen. 

DORA schlägt die Brücke zwischen IT und Business. DORA ist kein reines IT- oder Sicherheitsprojekt, sondern ein cross-dimensionales Unterfangen, dass sowohl IT als auch Geschäftsprozesse integriert. Für IT-Führungskräfte wird die Einbindung aller Akteure von entscheidender Bedeutung sein, um die vollen Vorteile der Verordnung zu realisieren. Trotz der vielen Herausforderungen schaffen Unternehmen mit der DORA-Umsetzung eine Governance-Struktur, die nicht nur den Anforderungen von DORA genügt, sondern auch die Agilität und Innovation fördert. USU liefert mit dem integrierten GRC-Modul in die USU IT Service Management Suite genau die notwenigen Funktionen, damit Unternehmen DORA aktiv gestalten können [1]. So lässt sich DORA einfach und effektiv umsetzen, sodass positive Effekte schnell sichtbar werden.

DORA bietet auch eine große Chance: Die Verordnung bringt viel mehr Transparenz und Klarheit, und kann die Finanzbranche in die Position versetzen, ein internationaler Vorreiter für Cyber Security und Resilience zu werden. Die ehemalige IT-Chefin eines großen Bankinstituts sagte 2018: »most dysfunctional company I ever worked for« – ein Zustand, den DORA helfen kann, zukünftig zu vermeiden.

 


Frauke Hübner-Kirsch, ITSM Product Expert,
USU Software AG
Dr. Tobias Hüttner, Geschäftsführer,
Cloud Incubator GmbH, www.cloudincubator.eu

 

[1] https://www.usu.com/de-de/it-service-management/governance-risk-compliance-grc/

 

Illustration: Aleksey Derin, Domen Colja S.p. | Dreamstime.com

 

1742 Artikel zu „IT-Sicherheit Finanz“

IAM im Finanzwesen: Den Spagat zwischen Usability und IT-Sicherheit bewältigen

Das Finanzwesen ist im Umbruch. Schon längst werden Transaktionen nicht mehr am Schalter in den Filialen getätigt, sondern sowohl Kunden als auch Berater wollen von überall und jederzeit Zugriff auf Informationen und Anwendungen haben. Damit die Benutzer-Administration trotzdem höchste Sicherheitsansprüche erfüllt, brauchen Banken moderne IAM-Lösungen, die auch regulatorische Anforderungen flexibel umsetzen können.   Vom Smartphone…

IT-Sicherheit an den Endpunkten im Bankgewerbe akut gefährdet – Analyse und Tipps für IT-Sicherheit in der Finanzbranche

In einem aktuellen Whitepaper analysiert Palo Alto Networks die spezifischen Herausforderungen, mit denen Finanzinstitute hinsichtlich IT-Sicherheit zunehmend konfrontiert sind. So ist vor allem die IT-Sicherheit an den Endpunkten akut gefährdet. Im neuen Whitepaper stellen die Sicherheitsexperten zudem dar, wie diese Herausforderungen mit neuen Ansätzen zum Schutz von Endpunkten bewältigt werden können. Vertrauenswürdige Finanztransaktionen und der…

IT-Sicherheit als zentrale Herausforderung

Unternehmen in Deutschland und weltweit stufen laut des Allianz Risk Barometer 2024 Cybervorfälle als ihr größtes Risiko ein. Managed Security Service Provider wie byon unterstützen mit Herstellern wie Fortinet gerade mittelständische Unternehmen dabei, dieses Risiko in den Griff zu bekommen.   Die IT-Sicherheit ist für mittelständische Unternehmen in Deutschland eine zentrale Herausforderung. Sie ist mit…

DORA: Mehr Resilienz für Banken und Finanzdienstleister

Der Banken- und Finanzsektor kämpft bereits seit langem mit einer wachsenden Zahl von Risiken. Die Folgen der wirtschaftlichen Krise zwischen Mitte 2007 und Anfang 2009 wurde zum Auslöser für eine Reihe von Sicherheitsinitiativen. Ziel war es, die Systeme von Banken und Finanzdienstleistern resilienter und robuster in einem sich ständig weiterentwickelnden Markt zu machen.   Die…

Sicherheitsbedenken von 1.200 IT-Sicherheitsentscheidern

Bitdefender hat seinen 2024 Cybersecurity Assessment Report vorgestellt. Für die Studie befragten die unabhängigen Marktforscher von Censuswide professionelle Sicherheitsverantwortliche nach ihren Bedenken, Vorgehen und wichtigsten Herausforderungen, mit denen sich Unternehmen konfrontiert sehen. Die augenfälligsten Ergebnisse sind die hohe Angst vor künstlicher Intelligenz, eine Zunahme von Data Breaches in Deutschland um 12,7 % gegenüber 2023 und…

Kritik an M365-Einführung: Finanzkontrolle empfiehlt On-Premises-Software

Die Eidgenössische Finanzkontrolle (EFK) empfiehlt dem Bund, Microsoft Office so lange wie möglich ohne Cloud-Anbindung zu nutzen. Die bisherige Annahme, dass ein lokaler Betrieb der Microsoft-Office-Produktpalette ab 2026 nicht mehr möglich ist, könnte sich als falsch erweisen. Die mit der Cloud-Nutzung verbundenen – aus Sicht der EFK teilweise erheblichen – Risiken seien zum Zeitpunkt der…

Versicherungs- und Finanzplattform: Rechtssichere Vertragsabschlüsse – volldigital und in Echtzeit

Die junge Kundengeneration stellt andere Anforderungen an Dienstleister als ihre Eltern, sie will eine größere Flexibilität, individuellere Produkte und besseren Service. Mit einer eventbasierten Softwareplattform können Versicherer und Finanzdienstleister die technische Seite dieser Anforderungen umsetzen: Über intelligente Antragsstrecken werden Vertragsabschlüsse vom Smartphone in Echtzeit möglich – inklusive Validierung und Plausibilisierung der Daten im Hintergrund –…

KI-Trends: Finanzchefs herausgefordert, aber experimentierfreudig

Bei KI-Innovationen mitzuhalten ist für leitende Finanzexpertinnen und -experten eine größere Herausforderung als Lieferkettenunterbrechungen, wirtschaftliche Unsicherheit und geopolitische Ungewissheit.   Im internationalen Vergleich sehen Finanzleiter in Deutschland häufiger eine Herausforderung darin, mit den Fortschritten bei KI-Technologien mitzuhalten. Über die Hälfte der hierzulande befragten Unternehmen (54 %) sah darin eins der größten Hindernisse für Finanzleiter in…

KRITIS: IT-Sicherheit schützt das Gemeinwesen

30.000 Unternehmen und Einrichtungen in Deutschland gehören zu den sogenannten kritischen Infrastrukturen (KRITIS). byon unterstützt als Managed Service Provider KRITIS-Organisationen, die geforderte IT-Sicherheitsmaßnahmen nicht allein umsetzen können.   Derzeit vergeht kaum ein Tag ohne Medienberichte über einen Cyberangriff auf ein Unternehmen oder eine öffentliche Einrichtung. Und das allgemeine Bedrohungsgefühl durch die Berichterstattung wird von Expertinnen…

Resilienz für IT-Sicherheitsanalysten: Den Burnout verstehen und verhindern

Viele neidische Beobachter denken, ein IT-Sicherheitsanalyst könne sich vor Angeboten nicht retten. Ebenso wenig vor viel Geld angesichts des gerade in diesem Bereich grassierenden Fachkräftemangels. Aber Fachkräftemangel ist auch ein Zeichen für eine anstrengende, überlastende Aufgabe. Burnout kann auch für IT-Sicherheitsexperten ein Problem werden. Hacker kennen keinen Feierabend. Nur Organisationen, die ihre IT hinsichtlich Ressourcen…

Digitale Identitäten: IT-Sicherheitslage, KI und NFC prägen 2024

Die weltweite IT-Sicherheitslage und künstliche Intelligenz à la ChatGPT haben in den letzten zwölf Monaten die Schlagzeilen bestimmt. Wenig deutet aktuell darauf hin, dass sich dies im nächsten Jahr ändert. Auf digitale Identitäten und Dienstleistungen hat dies ebenfalls Auswirkungen. Philipp Angermann, Director Financial Services DACH bei IDnow, wirft einen Blick auf fünf Herausforderungen und Chancen,…

Die Cybersicherheitslage in Deutschland: Mehrheit der Unternehmen verschweigt IT-Sicherheitsvorfälle

Lagebericht des BSI: Cybersicherheit in Deutschland »angespannt bis kritisch«, teilweise »besorgniserregend«. Mehrheit der deutschen Unternehmen verschweigt IT-Sicherheitsvorfälle – Angst vor Reputationsschäden groß. TÜV-Verband: Bewusstsein für Cyberangriffe durch Transparenz schärfen und Cyber Resilience Act vorantreiben.   Der Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) macht deutlich: Die Bedrohung durch Cyberangriffe in Deutschland ist so…

Lässt sich IT-Sicherheit messen?

Wie Unternehmen eine bessere Handlungs-, Planungs- und Budgetsicherheit erreichen und sich auf Krisenszenarien vorbereiten.   Unternehmen müssen jederzeit auf einen Cyberangriff vorbereitet sein. Wie gut sie das allerdings in der Realität tatsächlich sind, können die wenigsten von ihnen einschätzen. Eine Antwort darauf liefert die Bestimmung des Reifegrads der IT-Sicherheit. NTT Ltd., ein IT-Infrastruktur- und Dienstleistungsunternehmen,…

Zielgenaue und diversifizierte Cyberangriffe: Vier IT-Sicherheitstrends 2023

Rund um den Jahreswechsel haben prominente Angriffsziele wie Thyssenkrupp, die Universität Duisburg-Essen oder die Stadtverwaltung Potsdam gezeigt, wie gezielt Hacker ihre Opfer in den verschiedensten Bereichen aussuchen oder angreifen. Betroffen ist nicht mehr allein die private Wirtschaft, sondern zunehmend auch Bereiche des öffentlichen Lebens wie Schulen, Universitäten oder Behörden.   Vier Trends prägen die IT-Sicherheitslage…

Europas Drittstaaten-Konflikte bergen Cyberrisken für den Finanzsektor

Als Folge aktueller geopolitischen Spannungen und Konflikte sind weltweit auf politischer und ökonomischer Ebene Schwierigkeiten und prekäre Situationen entstanden. Kämpfe gegen Land und Leben, Wirtschaftssanktionen sowie Handelseinschränkungen sind bedrohliche Auswirkungen, mit denen Europa in diesen Zeiten umgehen muss. Eine weitere Gefahr, die nicht unterschätzt werden darf, sind gezielte Cyberangriffe durch Staaten, die die eigenen Interessen…

7,8 Milliarden Euro: Markt für IT-Sicherheit wächst 2022 um 13 Prozent

Im Jahr 2023 wird ein Anstieg um 10 Prozent erwartet. 2025 soll der deutsche IT-Sicherheitsmarkt erstmals die 10-Milliarden-Euro-Grenze knacken.   Für IT-Sicherheit wird in Deutschland derzeit so viel Geld ausgegeben wie noch nie zuvor. Die Ausgaben für Hardware, Software und Dienstleistungen im Bereich IT-Sicherheit werden sich 2022 auf rund 7,8 Milliarden Euro belaufen, ein Plus…

IT-Berater Senacor nutzt Rechenzentren der noris network – Skalierbare Basis für Finanztransaktionen

Senacor Technologies AG gilt als einer der wachstumsstärksten IT-Dienstleister in der DACH-Region und hat bereits wegweisende Business-IT-Transformationen und Digitalisierungsprojekte im Financial-Services-Bereich in Deutschland begleitet. Darunter auch das Onlinebezahlverfahren paydirekt. Als Generalunternehmer für Banken-IT-Projekte vertrauen die Berater hier und in anderen Projekten auf
den Systembetrieb in den Rechenzentren der noris network AG.

Risiko­orientierte, umfassende und validierte Sicht auf die IT-Sicherheit – Wird im Vorstand über IT-Sicherheit bloß geredet?

Oft konzentriert sich die Geschäftsleitung auf die finanziellen Ergebnisse und versäumt es, einen Plan für den virtuellen Schutz der Firma aufzustellen – obwohl niemand als Opfer eines Hackerangriffs in den Nachrichten erscheinen möchte.