Illustration: Absmeier freepik
Risiken mit IKT-Drittdienstleistern prüfen – CONGA informiert.
Bis zum 17. Januar 2025 muss die Finanzwelt den Digital Operational Resilience Act (kurz DORA) umgesetzt haben. Um die Resilienz der Finanzwirtschaft gegen digitale Risikofaktoren, wie zum Beispiel Cyberangriffe zu stärken, müssen Unternehmen in Zukunft – unter anderem – das Risikomanagement von Informations- und Kommunikationstechnologien (kurz IKT) stärker im Gesamtrisikomanagement verankern. DORA verlangt daher eine regelmäßige Kontrolle aller vertraglichen Vereinbarungen mit IKT-Drittanbietern und der Beschreibungen des Leistungsumfangs.
Neben zahlreichen Studienergebnissen zum Anstieg von Cyberangriffen auf diverse Branchen, verdeutlicht auch jüngstes Beispiel eines Datenlecks bei Banken die Dringlichkeit für ein intensiveres Risikomanagement mit IKT-Drittanbietern: Im Juli 2023 trat ein Datenleck bei renommierten Instituten wie der Deutschen Bank, der Postbank, ING und Comdirect auf. Cyberkriminelle nahmen jedoch nicht die Institute selbst ins Visier, sondern einen IKT-Dienstleister, auf dessen Services die Banken zurückgriffen. Dieser setzte eine Software ein, die kritische Sicherheitslücken aufwies. Somit hatten die Cyberangreifer Zugriff auf personenbezogene Daten und die IBAN.
Verständnis für DORA schärfen
Die Einhaltung der DORA-Verordnung bedeutet nicht, dass Finanzunternehmen, die IKT-Dienstleistungen in Anspruch nehmen, die Verantwortung für die Einhaltung der Regelungen von DORA auf ihre IKT-Partner übertragen können. In Kapitel V der Verordnung ist explizit definiert, dass Finanzinstitute prüfen und sicherstellen müssen, dass auch ihre IKT-Dienstleister die Vorgaben der EU-Verordnung einhalten.
Dies setzt voraus, dass Finanzunternehmen, die Verträge mit IKT-Drittanbietern und die Leistungsdefinitionen überprüfen und gegebenenfalls überarbeiten. Laut DORA sind Finanzunternehmen dazu verpflichtet, vor Abschluss eines Vertrags alle relevanten Risiken im Zusammenhang mit der vertraglichen Vereinbarung zu ermitteln und zu bewerten. Darüber hinaus muss die zuständige Behörde mindestes einmal im Jahr über neue Vereinbarungen mit IKT-Drittdienstleistern sowie die Art der Verträge und deren Inhalt informiert werden.
DORA-Konformität? Erheblicher Prüfungsaufwand als Herausforderung
Auf jedes Finanzunternehmen kommt jetzt ein erheblicher Prüfungsaufwand zu, da nun regelmäßig eine enorme Anzahl an Verträgen dahingehend überprüft werden muss, ob sie DORA-konform sind. Zu den zu bewertenden Vertragselementen gehören zum Beispiel die IT-Sicherheits- und Datenschutzmaßnahmen der Drittanbieter, der Speicherort für Kundendaten, ob auch die Dienstleister des Providers DORA-konform agieren, ob dies vertraglich abgesichert ist, und einiges mehr. Eine manuelle Überprüfung dieser Verträge ist wegen des hohen personellen und zeitlichen Aufwands aber kaum praktikabel. In diesem Kontext ergibt der Einsatz Künstlicher Intelligenz durchaus Sinn, um die Analyse von Verträgen zu vereinfachen und zu beschleunigen. Eine KI-basierte Suchfunktion hilft IT- und Compliance-Fachleuten beispielsweise, per Eingabe spezifischer Schlagworte auch in großen Verzeichnissen gezielt einzelne Verträge aufzufinden. Vorausgesetzt, die Verträge sind bereits im Rahmen eines Vertragsmanagementsystems digitalisiert worden.
Dr. Frank Schmiedle, Account Executive DACH bei CONGA