Illustration Absmeier foto freepik

Der Banken- und Finanzsektor kämpft bereits seit langem mit einer wachsenden Zahl von Risiken. Die Folgen der wirtschaftlichen Krise zwischen Mitte 2007 und Anfang 2009 wurde zum Auslöser für eine Reihe von Sicherheitsinitiativen. Ziel war es, die Systeme von Banken und Finanzdienstleistern resilienter und robuster in einem sich ständig weiterentwickelnden Markt zu machen.

Die jüngste EU-Verordnung, die zu diesem Zweck erlassen wurde, ist der European Union Digital Operational Resilience Act, kurz DORA. DORA soll einen einheitlichen regulatorischen Rahmen schaffen, der die Bewältigung von Cybervorfällen und das Risikomanagement unterstützt. Im Gegensatz zum ursprünglichen Entwurf sind die RTS (Regulatory Technical Standard) und die IST (Implementing Technical Standards) in ihrem Anforderungsprofil deutlich umfangreicher und detaillierter geworden. Grundsätzlich verlangt das Gesetz von Finanzunternehmen, die in der EU tätig sind, dass sie über die notwendigen Sicherheitsvorkehrungen verfügen, um gegenüber allen Arten von IKT-bezogenen Störungen und Bedrohungen resilient zu werden. Firmen sind gehalten, ihre Strategie zur Verbesserung der Resilienz nachzuweisen und bis zum Stichtag im Januar 2025 die eingerichteten Prozesse zu demonstrieren.

Entgegen einer verbreiteten Annahme betrifft DORA aber nicht nur Finanzinstitute selbst, sondern auch kritische IKT-Dienstleister – etwa die Anbieter von Cloud-Services, Software-Hersteller, Services zur Datenanalyse und Rechenzentren, die Dienstleistungen für Finanzinstitute erbringen. Auf sie alle kommt eine Reihe von verpflichtenden Anforderungen zu. Dazu zählen Audits der Anwendungen, die Überprüfung und Reifegradmessung der bestehenden Prozesse und deren Dokumentation in Bezug auf die Ausgestaltung des Risiko- und Vorfalls-Managements sowie das Festlegen und Umsetzen der definierten Maßnahmen.

Etliche Unternehmen der Branche sind allerdings weiterhin auf traditionelle statische Tools und teils veraltete Rechenzentren angewiesen. Das erschwert die fristgerechte Umsetzung der DORA-Vorgaben und gilt verschärft für viele große Institute mit komplexen IT-Infrastrukturen, die sich nicht so leicht verändern lassen.

Traditionelle Tools und Technical Debt

Der Finanzsektor hatte aufgrund veralteter IT-Infrastrukturen einige Schwierigkeiten mit der raschen Entwicklung neuer Technologien Schritt zu halten. Das hat zu einer Anhäufung technischer Schulden geführt. Dies geschieht in der Regel dann, wenn Unternehmen aufgrund von Entscheidungen in der Gegenwart (etwa für eine bestimmte Systemarchitektur) zukünftig Kosten verursachen.

Der Begriff »Technische Schulden« beschreibt das Ergebnis von Entscheidungen, die vor allem unter Berücksichtigung zeitlicher Vorteile getroffen werden. Konkret gemeint sind die Kosten für zusätzliche Arbeit, die dadurch entsteht, dass man sich für die schnellste Lösung statt für die effektivste Lösung entscheidet. Es gibt zwar Situationen, in denen ein Unternehmen technische Schulden in Kauf nehmen kann – es sollte sich aber über die Vor- und Nachteile im Klaren sein und wissen, wie man Nachbesserungen möglichst effektiv gestaltet.

Solche Entscheidungen behindern nicht selten die Modernisierung, Transformation und Agilität der Infrastruktur und machen sie anfälliger für Cyberangriffe. Beispielsweise zögern viele Banken, ihre Systeme für das Online-Banking zu patchen, weil sie befürchten, dass sie für einen längeren Zeitraum komplett offline gehen. Dies birgt jedoch nicht nur die Gefahr von Bußgeldern, weil den Kunden die erforderlichen Dienste nicht zur Verfügung stehen, es erhöht zudem die Anfälligkeit für potenzielle Sicherheitslücken.

Einer der jüngsten Technologietrends ist die Verlagerung hin zum Cloud Computing. In der Vergangenheit war die Branche hier eher zögerlich, vor allem aufgrund von Bedenken, inwieweit Cloud Service Provider (CSPs) in der Lage sein würden, dem komplizierten regulatorischen Rahmen gerecht zu werden.

Der Weg in die Cloud

In den letzten Jahren hat sich hier ein allmählicher Wandel hin zur Cloud vollzogen. Ein Trend der durch innovative Neobanken und Service-Anbieter wie etwa Monzo, Revolut und Chime, um nur einige zu nennen, deutlich an Dynamik gewonnen hat. Sie setzen auf die Cloud, insbesondere AWS, um ihre Dienstleistungen anzubieten. Der Weg in die Cloud verspricht eine Reihe von Vorteilen. Die offensichtlichsten sind geringere Kosten und eine höhere betriebliche Effizienz. Cloud Service Provider tragen in diesem Szenario dazu bei, mögliche Datenlecks und Schwachstellen zu identifizieren und zu beseitigen. Allerdings kann sich die Komplexität einer Cloud-Architektur als problematisch erweisen. Das gilt gerade für Unternehmen, die zwar in der Cloud präsent sind, aber weiterhin traditionelle Tools und teils veraltete Rechenzentren nutzen. Das führt fast zwangsläufig zu blinden Flecken innerhalb der Infrastruktur und damit zu Sicherheitsrisiken.

Regulierungsbehörden haben die Bedeutung von Cloud-basierten Plattformen für den Finanzsektor inzwischen erkannt und anerkannt. DORA soll nun sicherstellen, dass angemessene Kontrollen existieren, um die mit der Einführung der Cloud verbundenen Risiken zu minimieren. Der einheitliche regulatorische Rahmen soll bei der Bewältigung von Cybervorfällen helfen und gleichzeitig das Risikomanagement unterstützen.

Panikkäufe…

Dieses Anforderungsprofil und der Ablauf der DORA-Frist bis 2025 haben die Branche unter Druck gesetzt und zu bisweilen übereilten Käufen geführt. Aktuelle Softwarelösungen sollen die Lücken innerhalb der IT-Infrastruktur schließen. Was kurzfristig Abhilfe schafft, stimmt aber nicht zwangsläufig mit den langfristigen Plänen des Unternehmens überein.

Traditionelle Bankhäuser sträuben sich dagegen, ihre Netzwerke zu verändern, während andere sich auf eine Migration in die Cloud vorbereiten. Dies hat zu einer unnatürlichen Kollision von zwei unterschiedlichen Arbeitsmodellen geführt. Will man die Cyber-Resilienz des Sektors verbessern, muss es gelingen, dass beide Kulturen koexistieren. Letztendlich braucht die Branche eine langfristige Strategie statt kurzfristiger »Panikkäufe«. Das gilt für die Einführung der DORA-Regularien, ebenso wie für andere zukünftige Compliance-Vorschriften und die Vorbereitung auf Cyberangriffe.

Die DORA-Frist stellt viele Institute vor Herausforderungen und zwingt Sicherheitsverantwortliche, ihren Ansatz für die Cyber-Resilienz zu überdenken. Idealerweise profitiert der Sektor von Investitionen in eine Plattform, welche die digitale Transformation nutzt, um ein traditionelles Problem zu lösen.

Kanwar Loyal, VP for Northern Europe & MEA, Cato Networks

Was erwartet Banken und Finanzdienstleister angesichts des Digital Operation Resilience Act (DORA), welche Anforderungen definiert DORA, welche Sanktionen drohen bei Nichteinhaltung?

Kanwar Loyal, VP for Northern Europe & MEA Cato Networks: »Die Branche der Banken und Finanzdienstleister kämpft seit Jahrzehnten mit einer ständig wachsenden Zahl von Risiken. Der Digital Operational Resilience Act (DORA) ist die jüngste Verordnung der EU, um diese Herausforderungen anzugehen. DORA verlangt von innerhalb der EU tätigen Unternehmen, dass sie die notwendigen Sicherheitsvorkehrungen einziehen, um allen Arten von IKT-bezogenen Störungen und Bedrohungen etwas entgegen setzen zu können. Das ist aber nicht alles. Im Rahmen der neuen Verordnung wird zusätzlich erwartet, dass Unternehmen nachweislich eine Strategie einziehen, um ihre Resilienz zu gewährleisten. Gleichzeitig sollten sie in der Lage sein, diese Planungen bis zum angegebenen Termin im Januar 2025 umzusetzen. Bei Nichteinhaltung der Vorschriften drohen empfindliche Strafen und Bußgelder. Banken und Finanzdienstleister, die gegen die Anforderungen des Gesetzes verstoßen, können mit Geldstrafen belegt werden, die bis zu 2 % der gesamten jährlichen weltweiten Einnahmen betragen.«

Was sollten die betroffenen Unternehmen zuerst tun, um die Vorgaben zu erfüllen? Welche praktischen Ratschläge sollte die Branche beherzigen?

Kanwar Loyal: »Banken und Finanzdienstleister, die weiterhin auf traditionelle, statische Tools und veraltete Rechenzentren angewiesen sind, werden es letztlich schwer haben, die Compliance-Standards von DORA zu erfüllen. Die beschleunigte Migration in die Cloud hat gerade in dieser Branche zu einer Kollision zweier unterschiedlicher Arbeitskulturen geführt. Unternehmen werden nicht umhinkommen, die notwendigen Strategien einzuziehen, um beide Arbeitsweisen wieder miteinander zu verschmelzen.

Die bevorstehende Frist, DORA umzusetzen, erfordert von Sicherheitsverantwortlichen zwangsläufig ein Umdenken in Bezug auf das Thema Cyber-Resilienz. Eine Möglichkeit, Risiken zu senken und sich auf die Anforderungen vorzubereiten, stellt die digitale Transformation als solche bereit. Ein kritischer Bereich ist die Sicherheits- und Netzwerkarchitektur. Hier wurden nicht immer optimale Entscheidungen gefällt, die in der Folge zu einer Anhäufung sogenannter »technical debts« (technischer Schulden) geführt haben. Will der Sektor mit der raschen Entwicklung neuer Technologien Schritt halten, muss er sich mit der komplexen Natur einer Cloud-Architektur auseinandersetzen. Hier sind zahlreiche blinde Flecken in der IT-Infrastruktur entstanden. Sie bergen die Gefahr, dass Bedrohungen nicht oder nicht rechtzeitig erkannt und Schwachstellen von Angreifern ausgenutzt werden. Worauf die Verantwortlichen aber ganz sicher verzichten sollten, ist es, jetzt panikartig in Softwarelösungen zu investieren. Stattdessen gilt es, eine langfristige Strategie als Alternative zu implementieren. Zum einen, um die DORA-Compliance-Standards zu erfüllen, zum anderen, um sich auf zukünftige Vorgaben und zukünftige Cyberangriffe vorzubereiten.«

Welche Schritte sollten Finanzinstitute unternehmen, um IKT-bezogene Risiken und etwaige Schwachstellen bei Dritten zu erkennen?

Kanwar Loyal: »Die meisten Unternehmen wissen bereits, wo die wesentlichen IKT-Risiken liegen. Dieses Wissen versetzt sie in die Lage, Prozesse einzuziehen, die die Meldeanforderungen erfüllen. Die eigentliche Herausforderung besteht darin, ob diese Prozesse auch in Echtzeit tragfähig sind. Ein Beispiel ist die log4j-Schwachstelle. Sie wird weiterhin erfolgreich ausgenutzt, obwohl sie schon über drei Jahre bekannt ist. Der operative Aufwand, insbesondere um Endpoints zu überwachen, das Netzwerk zu betreiben und stets zu aktualisieren, ist immens. Dafür sind auch veraltete, verteilte Hardware-Architekturen mit fragmentierten Kontrollschichten verantwortlich. Dazu kommt der Zugriff von Drittanbietern. Banken und Finanzinstitute müssen gewährleisten, dass der Zugang für Dritte und in einigen Fällen auch Vierte flexibel gestaltet, aber auch kontrolliert werden kann. Solar Winds ist ein gutes Beispiel dafür, wie komplex die Zusammenhänge sich gestalten.«

Viele werden die neuerlichen Vorschriften als weitere Belastung empfinden. Bietet DORA darüber hinaus auch Chancen?

Kanwar Loyal: »Die Regulierung wurde nicht ohne Grund ins Leben gerufen. Grundsätzlich geht es bei DORA darum, eine widerstandsfähige Umgebung zu implementieren. Sie soll im Falle eines Problems, Planungssicherheit und Handlungsfähigkeit gewährleisten sowie die krisenhaften Auswirkungen begrenzen. Auch wenn man vom Eintreten eines Sicherheitsvorfalls ausgeht, sollte die Wiederherstellung der Systeme Nutzer und Kunden nicht beeinträchtigen.

DORA bietet die Gelegenheit, alle gegenwärtigen und zukünftigen IKT-Anforderungen nach dem »Security by Design«-Prinzip zu gestalten. Teil der Herausforderung ist die Tatsache, dass beim Thema IKT Sicherheitsaspekte in der Regel erst nachrangig betrachtet wurden.

Das ändert sich jetzt. Mit SECOPS steht ein operatives Sicherheitskonzept zur Verfügung, das auf kontinuierlichen Verbesserungen basiert. Bei den meisten unserer Bestandskunden aus dem Bankensektor, sehe ich bei der Umsetzung weniger Probleme. Es sind überwiegend Unternehmen, die nicht zum typischen Kernsegment von Banken zählen. Versicherungen und Vermögensverwaltungen haben sich schneller als andere von traditionellen Systemen verabschiedet. Dadurch stehen sie jetzt weniger auf dem Prüfstand als typische Retail-Banken.«

Welche Auswirkungen hat DORA auf »kritische« IKT-Drittanbieter?

Kanwar Loyal: »Alle IKT-Drittanbieter sollten sich an ihrem Sicherheits-Design und ihrer Resilienz messen lassen und nicht nur an ihrer Funktionalität. Sie sollten die Vorschriften in den unterschiedlichen Branchen nicht nur kennen, sondern auch in der Lage sein, ein gewisses Maß an Berichterstattung zu liefern. Die Ergebnisse fließen dann wieder zurück in die Umgebung. Es geht darum, in der gesamten Branche einheitliche Leitlinien zu verwenden und Richtlinien für die Ergebnisse zu haben. Wir bewegen uns weg von Zweideutigkeiten und subjektiven Prüfungen hin zu einem klaren Rahmen und ebensolchen Ergebnissen. Den Kern bildet im Idealfall ein betriebssicheres, robustes Netzwerk.«

99 Artikel zu „DORA“

NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | STRATEGIEN | TIPPS

Wissenswertes zum Digital Operational Resilience Act (DORA)

30. Mai 2024

Der Digital Operational Resilience Act (DORA) wurde von der Europäischen Union im Jahr 2022 verabschiedet. Ziel des Gesetzes ist es, grundlegende Lücken innerhalb der bereits bestehenden Vorgaben für den Banken- und Finanzdienstleistungssektor zu schließen. Insbesondere in Bezug auf die operationelle Resilienz. Bislang waren Banken und Finanzdienstleister zwar dafür verantwortlich, andere Arten von operationellen Risiken zu…