Illustration Absmeier foto freepik ki

Ab 17. Januar 2025 wird der Digital Operational Resilience Act (DORA) der EU in allen Mitgliedsstaaten umgesetzt – und stellt die Weichen für einen resilienteren und EU-weit harmonisierten Schutz der ITK-Systeme im Finanzsektor. Max Rahner, Senior Business Development Manager bei Tenable, erläutert, was DORA für die Finanzunternehmen im deutschsprachigen Raum bedeutet und wie sie sich vorbereiten können.

Eine robuste, risikobasierte Cybersecurity ist in der digitalisierten Business-Welt von heute über alle Branchen hinweg von zentraler Bedeutung – nirgends aber wichtiger als in der Finanz- und Versicherungsbranche: Nicht nur, weil die Kunden von ihren Banken und Finanzdienstleistern heute ganz selbstverständlich erwarten, dass ihre kritischen Services rund um die Uhr zuverlässig und sicher bereitstehen – sondern auch, weil der Umgang mit sensiblen Mitarbeiter- und Kundendaten zu Recht strengsten regulatorischen Auflagen unterliegt.

Was ist DORA?

Mit NIS, NIS2 und den BAIT-Vorgaben der BaFin haben die Regulierungsbehörden in den vergangenen Jahren bereits mehrfach klare und verbindliche Leitplanken für die Cybersicherheit im Finanzwesen definiert. Und das auch mit beachtlichem Erfolg: Traditionell gehört das Finanzwesen mit seinen lukrativen Kundendaten zwar nach wie vor zu den begehrtesten Angriffszielen, andererseits aber auch zu den Vorreitern bei neuen Security-Initiativen.

Dennoch fehlte es nach Einschätzung der EU bislang an einer europaweit einheitlichen branchenspezifischen Verordnung. Dies führte dazu, dass die Herangehensweisen in den Mitgliedsstaaten uneinheitlich waren, was die Kommunikation über Landesgrenzen hinweg erschwerte und so letztlich die Resilienz beeinträchtigte. Das soll sich ab Januar 2025 mit der Umsetzung von DORA ändern: Die Verordnung wurde als »finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen […] und trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken.« (BaFin)

Wer ist betroffen?

Von der DORA betroffen sind nahezu alle Unternehmen des europäischen Finanzsektors – Kredit- und Zahlungsinstitute ebenso wie Wertpapierfirmen, Anbieter von Crypto-Assets, Investmentfonds und, besonders wichtig, Drittanbieter von IKT-Services. Für sie alle definiert DORA unterschiedliche Anforderungen an die Cybersicherheit, die IKT-Risiken und die digitale operationale Resilienz. Im Fokus von DORA stehen dabei sechs Bereiche:

Management der IKT-Risiken (Kapitel II, Artikel 5 bis 16)
Behandlung, Klassifizierung und Meldung von IKT-bezogenen Vorfälle (Kapitel III, Artikel 17 bis 23)
Tests der digitalen operationellen Resilienz mit Threat-Led Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27)
Management der Risiken bei der Zusammenarbeit mit Third-Party-Providern (Kapitel V, Abschnitt I, Artikel 28 bis 30)
Monitoring-Framework für kritische IKT-Third-Party-Provider (Kapitel V, Abschnitt II, Artikel 31 bis 44)
Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Kapitel VII, Artikel 49)

Wie bereits erwähnt, haben die deutschen Finanzunternehmen im Zuge der Umsetzung der BAIT-Vorgaben bereits viele Weichen gestellt – etwa mit Blick auf das branchenweit einheitliche Management von Third-Party-Risiken. »Das wurde bisher aber eher unter wirtschaftlichen Aspekten gesehen. DORA bringt den Cybersecurity-Aspekt neu hinzu, was die bisher verantwortlichen Rollen für Third-Party-Risk-Management an Grenzen führt und einige Herausforderungen mit sich bringt. Ein Beispiel ist die verstärkte Betonung der Cybersecurity bei Drittanbietern, was regelmäßige und umfassendere Sicherheitsüberprüfungen, wie Penetrationstests, einschließt«, so Patrick Frech, Specialist FS Technology & IT Compliance bei KPMG Deutschland.

Mit Blick auf die dynamische Bedrohungslage und die im Zuge der Cloud-Migration rasant expandierenden Angriffsflächen sind Finanzunternehmen dennoch gut beraten, ihre Cybersecurity umfassend auf den Prüfstand zu stellen, um die lückenlose Einhaltung der Vorgaben zu gewährleisten.

Eine kurze Checkliste:

Schritt: Verschaffen Sie sich lückenlose Transparenz über Ihre Assets
Sie können nicht schützen, was Sie nicht kennen. Im Sinne einer starken, präventiven Cybersicherheit müssen Sie sich im ersten Schritt daher einen umfassenden Überblick über alle potenziell bedrohten Assets in Ihrer Infrastruktur verschaffen. Neben den On-Prem gehosteten Systemen im zentralen Datacenter gehören dazu auch die Infrastrukturen im Filialnetz sowie eventuell angebundene Homeoffices. Denken Sie dabei auch über die IT hinaus – in vielen Finanzunternehmen verwenden Teile der Infrastruktur OT-basierte, proprietäre Protokolle, und auch die gilt es zu erfassen, zum Beispiel Gebäudemanagementsysteme, Gebäudetechnik (Heizung, Belüftung, Klimatisierung etc.), Kamerasysteme in Offices und Rechenzentren und viele weitere Lösungen, deren Schutz jetzt zum Teil sogar in den IT-Grundschutz des BSI aufgenommen wurde.
Schritt: Analysieren Sie Ihre Cloud-Landschaft
Jedes Finanzunternehmen nutzt heute die Potenziale der Cloud, um produktiver und effizienter zu werden. Doch kaum eines hat einen lückenlosen Überblick über die Dienste, die Identitäten und die Daten, die in diesen weltweiten Multi-Cloud-Architekturen verarbeitet werden. Eine der wichtigsten DORA-Hausaufgaben ist es, sich auch darüber einen umfassenden Überblick zu verschaffen, insbesondere mit Blick auf die Identitäten und Berechtigungen.
Schritt: Untersuchen Sie die Schwachstellen und Angriffspfade im Netzwerk
Ausgehend von dieser Analyse gilt es, risikobasiert die kritischsten Assets und die Schwachstellen der Hardware- und Software zu identifizieren, um sie priorisiert zu beheben. Gehen Sie dabei über ein reines Vulnerability Management hinaus: Moderne Exposure-Management-Plattformen wie Tenable One sind in der Lage, IT-, OT- und IoT-Assets, Cloud-Ressourcen, Container, Web-Apps und Identitätsplattformen nicht nur durchgehend zu analysieren, sondern auch zu korrelieren und durch innovative KI-Unterstützung wie z. B. den Einsatz generativer KI die wahrscheinlichsten Angriffspfade zu erkennen und zu erklären. Die Frage ist nicht nur, ob Systeme möglicherweise von Schwachstellen betroffen sein könnten, sondern ob diese Schwachstellen mit Blick auf die Exposure ein konkretes Risiko darstellen. Auf diese Weise können Sie Ihre Maßnahmen risikobasiert priorisieren und Cyberrisiken jederzeit präzise kommunizieren.
Schritt: Implementieren Sie Zero-Trust-Security mit starkem Identity-Schutz
Schon heute machen sich Angreifer bei der Mehrzahl ihrer Attacken unzureichend geschützte und in vielen Fällen gestohlene und im Dark Web gehandelte (Cloud-) Identitäten mit zu weit gefassten und häufig unbefristet vergebenen Berechtigungen zunutze. Rücken Sie daher den Schutz der Identitäten in den Fokus Ihrer Cloud-Security: Ein zeitgemäßer, durch innovative CIEM- und CNAPP-Lösungen gestützter Zero-Trust-Ansatz erlaubt es Ihnen, Risiken identitätsbasiert zu bewerten und Berechtigungen in der Cloud stets nach Least-Privilege- und Just-in-Time-Prinzipien zu vergeben. So schützen Sie die Identitäten Ihrer Mitarbeiter und behalten durchgehend die Kontrolle über die Zugriffe Ihrer Supply-Chain.
Schritt: Nutzen Sie das Potenzial Ihrer Daten
Ihre Exposure-Management-Systeme und Bedrohungsanalysen liefern Ihnen Tag für Tag wertvolle Daten, die Ihnen dabei helfen können, Ihren Schutz kontinuierlich zu verbessern. Voraussetzung ist, dass Sie Datensilos konsequent aufbrechen und robuste Prozesse zur Auswertung der Daten definieren. Das lohnt sich in dreifacher Hinsicht: Sie stärken damit die eigene Resilienz, bleiben Behörden gegenüber jederzeit auskunftsfähig (Stichwort: Meldepflichten!) und ermöglichen den umfassenden Austausch von Threat-Informationen mit der Branche, der ja ein zentraler Fokus von DORA ist.

Wie aufwändig wird DORA?

Viele Finanzunternehmen gehen davon aus, dass die Umsetzung von DORA mit einer Reihe neuer operativer und administrativer Aufgaben einhergehen wird. Doch keine Sorge: Wer seine Hausaufgaben im Zuge der Umsetzung der BAIT-Vorgaben gemacht hat, risikoorientiert denkt und idealerweise ein ISO 27001-zertifiziertes ISMS implementiert hat, ist bestens für die Ankunft von DORA vorbereitet. Trotzdem werden die zusätzlichen Cybersecurity-Maßnahmen, die neuen Dokumentationspflichten und der vertiefte Informationsaustausch die Komplexität der IT und der Prozesse weiter erhöhen. Mit Blick auf die begrenzten IT-Ressourcen sollten Unternehmen versuchen, dieses Plus an Komplexität zu reduzieren. Ein wichtiger erster Schritt ist es, das Exposure-Management in einer durchgängigen Plattform zusammenzuführen, um alle Dienste nahtlos zu integrieren. Das trägt zur Sicherheit bei, entlastet das Team und schafft wertvolle Freiräume für eigene Innovationen.

Max Rahner, Senior Business Development Manager bei Tenable

Mehr Infos unter www.tenable.com/de

Hintergrund

Am 14. Dezember 2022 haben das Europäische Parlament und der Europäische Rat mit DORA die neue Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act) auf den Weg gebracht. DORA wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht. Sie trat am 17. Januar 2023 in Kraft und wird ab dem 17. Januar 2025 zur Anwendung kommen.

163 Artikel zu „DORA“

News | Business | IT-Security

DORA: Mehr Resilienz für Banken und Finanzdienstleister

17. Juli 2024

Der Banken- und Finanzsektor kämpft bereits seit langem mit einer wachsenden Zahl von Risiken. Die Folgen der wirtschaftlichen Krise zwischen Mitte 2007 und Anfang 2009 wurde zum Auslöser für eine Reihe von Sicherheitsinitiativen. Ziel war es, die Systeme von Banken und Finanzdienstleistern resilienter und robuster in einem sich ständig weiterentwickelnden Markt zu machen. Die…