Digital Operations Resilience Act Der Countdown für DORA läuft

Foto: Victor Lauer – shutterstock.com

Cyberangriffe gehören mittlerweile zum Alltag. Mehr denn je gilt: Jedes Unternehmen, das gehackt werden kann, wird auch gehackt. Die jüngsten Attacken, beispielsweise gegen Continental, die britische Neobank Revolut und selbst Tech-Riesen wie zum Beispiel Nvidia, sind mehr als nur Mahnung für die anderen. Cyber Security, beziehungsweise Cyber Resilience steht daher auf der “Prio A-Liste” ausnahmslos aller IT-Entscheider. Sie haben alle Hände voll zu tun, ihr Unternehmen auf Cyberbedrohungen vorzubereiten und Angriffe abzuwehren.

Auf Grund der exponentiell zunehmenden Bedrohungslage, nicht nur für einzelne Unternehmen, sondern für Stabilität und Sicherheit von Gesamtwirtschaft, Infrastruktur, beziehungsweise unser aller Zusammenleben, wird das Thema Cybersecurity zu Recht auch durch Regulierungsbehörden intensiv adressiert. Dies gilt insbesondere für den Finanzdienstleistungssektor, der aufgrund seiner hohen digitalen Durchdringung und seiner enormen wirtschaftlichen Bedeutung ein allzu attraktives Ziel für Cyberangriffe darstellt. Regulatoren, wie die deutsche BaFin, beziehungsweise auf europäischer Ebene die EBA und EIOPA, sind daher bestrebt, dieser Entwicklung durch entsprechende Vorgaben und deren Überwachung Einhalt zu gebieten.

Während hierzulande noch viele Unternehmen mit der Umsetzung regulatorischer Anforderungen wie etwa BAIT, VAIT oder ZAIT kämpfen, kommt nun DORA.

Digital Operations Resilience Act – Handlungsfelder

Die schlechte Nachricht vorweg: DORA ist kein niedliches Maskottchen. Vielmehr steht das Akronym für Digital Operations Resilience Act, eine Verordnung der Europäischen Union, die mit diesem neuen Gesetzesaufschlag eine einheitliche Regelung zur Stärkung der Widerstandsfähigkeit von Finanzdienstleistern hinsichtlich Bedrohungen für deren Informations- und Kommunikationstechnologien (IKT) schaffen will. Der Knackpunkt: Der Betrachtungsrahmen umfasst nun auch Drittdienstleister für entsprechend “outgesourcte” Leistungen. Mit dem Inkrafttreten der Verordnung Anfang dieses Jahres begann der Countdown für die Umsetzung: Zwei Jahre haben die über 20.000 betroffenen Unternehmen in der EU nun Zeit, bis die Anforderungen wirksam werden. Das ist durchaus sportlich.

Die gute Nachricht: Es ist nicht alles neu. Denn mit DORA werden bereits bestehende Regularien wie der MaRisk/BAIT, MaGo/VAIT oder den EBA-Guidelines konsolidiert und vereinheitlicht. Wer also seine Hausaufgaben bei der Umsetzung dieser bestehenden Regularien gut gemacht kann bereits an einige Themen anknüpfen, die in DORA enthalten sind. Nichtsdestotrotz enthält der Digital Operations Resilience Act natürlich auch neue Themen, beziehungsweise Erweiterungen und Konkretisierungen, die IT- und Sicherheitsentscheider im Blick haben und auf Grund deren Tragweite unbedingt frühzeitig angehen sollten. Nicht nur, weil es der Regulator so will – vielmehr sollte es im eigenen Interesse liegen, die eigene Widerstandsfähigkeit zu maximieren, um potentiellen Angreifern mit voller Kraft entgegentreten zu können.

Wir stellen kurz die Handlungsfelder des Digital Operations Resilience Act und seine Schwerpunkte vor und geben einen Ausblick, was in den nächsten zwei Jahren zu tun ist.

1. IKT-Risikomanagement und Governance

Wer auf Angriffe vorbereitet ist, kann auch mit voller Schlagkraft Widerstand leisten und potentielle Schäden abwenden, bevor sie entstehen. DORA fordert daher die Implementierung eines umfassenden und gut dokumentierten IKT-Risikomanagement-Frameworks und dessen Integration in das bestehende, übergreifende Risikomanagementsystem. Für den Ernstfall sollte dieses insbesondere auch eine Strategie für die Fortführung des Geschäftsbetriebs und ein Verfahren für die Wiederherstellung im Katastrophenfall beinhalten. Um stets auf “technischer Augenhöhe” mit potentiellen Angreifern zu sein, ist das Framework mindestens einmal jährlich sowie anlassbezogen, z.B. bei größeren IKT-bezogenen Vorfällen, auf seine operationelle Belastbarkeit zu überprüfen.

Neben der fachlich-inhaltlichen Ausgestaltung des Risikomanagements müssen die betroffenen Unternehmen aber auch grundlegende organisatorische Maßnahmen ergreifen, um die Wirksamkeit des Rahmenwerks sicherzustellen. Denn unter dem Stichwort “Cyberhygiene” rücken IKT-Risiken “ganz nach oben”. So wird sich das Senior Management, allen voran der CIO und der CRO, in Zukunft direkt für ein adäquates Management der IKT-Risiken einsetzen und dafür die Verantwortung übernehmen müssen. Dazu ist eine dedizierte Kontrollfunktion zu schaffen, die unabhängig im Sinne von Interessenkonflikten agiert und den entsprechenden Prozess operativ im Tagesgeschäft lebt.

2. IKT-Incident-Management

Ohne die nötige Transparenz über aktuelle Zwischenfälle fehlt die Basis für zielgerichtete Einordnung, Vorbereitung, und Reaktion auf kritische Cyberbedrohungslagen. Vor diesem Hintergrund müssen Finanzdienstleister und deren “IKT-Lieferkette” Prozesse für das Monitoring und das Management der eingetretenen Ernstfälle, beziehungsweise “IKT-Incidents” schaffen und diese durch geeignete digitale Tools unterstützen. Die erhobenen Informationen sind dann an die zuständige Regulierungsbehörde zu übermitteln, so dass signifikante Bedrohungslagen nach dem Prinzip eines Frühwarnsystems an zentraler Stelle erkannt werden und die Marktteilnehmer informiert werden können.

Hierzu sollen Störfälle bei deren Erfassung anhand eines standardisierten Klassifizierungsschemas und zugehöriger Kriterien bewertet werden. Allerdings fehlen hierzu aktuell noch die entsprechenden Vorgaben, ebenso wie ein standardisiertes Meldeformular. Beides muss noch durch die Europäischen Aufsichtsbehörden (EBA/ESMA/EIOPA) bereitgestellt werden.

3. Penetration Testing

Wer seine Schwachstellen kennt, bevor andere sie ausnutzen, ist klar im Vorteil und kann präventive Maßnahmen ergreifen. Vor diesem Hintergrund verpflichtet der Digital Operations Resiliency Act zur regelmäßigen Durchführung von bedrohungsbasierten Penetrationstests der eingesetzten IKT-Werkzeuge und -Systeme – den sogenannten “Thread Lead Penetration Tests” (TLPT). Auf diese Weise werden Schwachstellen aufgedeckt und können noch vor dem tatsächlichen Eintreten eines Vorfalls abgemildert oder bestenfalls ganz beseitigt werden.

In Anlehnung an die derzeit von der Bundesbank koordinierten freiwilligen Tests im Rahmen von TIBER (Threat Intelligence-based Ethical Red Teaming) sollen hierzu unternehmensextern beauftragte “professionelle Hacker-Teams” ohne Wissen der eigenen IT-Sicherheitsorganisation zu Übungszwecken ganzheitliche Angriffe durchführen. Dies schafft einen realistischen Rahmen, um die eigene Resilienz anhand aktueller Bedrohungsszenarien zu testen. Da viele der betroffenen Unternehmen keine eigenen “Hacker” dauerhaft beschäftigen dürften, wird so auch sichergestellt, dass entsprechende Tests von hochqualifizierten Spezialisten durchgeführt werden.

4. Drittanbieter-Risiken

Die Stärkung der eigenen Resilienz ist wichtig und natürlich hilfreich, hilft aber nur bedingt, wenn potentielle Einfallstore bei Partnern bestehen. Zu den wesentlichen Neuerungen, die mit DORA auf die Finanzdienstleister zukommen, gehört daher auch die Einbindung von Unternehmen, die ein wesentlicher Teil der technologischen Lieferkette von Finanzunternehmen sind. Hierzu zählen insbesondere Anbieter von Cloud-Computing-Diensten, Software, Datenanalysen und Rechenzentren. In diesem Sinne reicht es nicht aus, die eigenen ICT-Risiken DORA-konform zu managen – vielmehr müssen auch die eingesetzten Dienstleister deutlich stärker in die Risikobewertung einbezogen werden.

Gleiches gilt für bedrohungsorientierte Penetrationstests. Angeschlossene und relevante Dienstleister kritischer Services sind in diese zwingend einzubeziehen und müssen zu diesem Zweck mit dem auslagernden Unternehmen kooperieren. Diese ganzheitliche Betrachtung und Einbindung der Partner aus der eigenen IKT-Lieferkette macht die Umsetzung und Durchführung der geforderten Maßnahmen für alle Beteiligten natürlich nicht einfacher – aber ohne Zweifel sinnvoll.

5. Informationsaustausch

Das Motto “Gemeinsam sind wir stark” gilt auch im Kontext der Cybersicherheit bzw. der Resilienz gegenüber potenziellen Bedrohungslagen. Dementsprechend sollen sich Finanzdienstleister auch über Ländergrenzen hinweg untereinander austauschen können, um das Bewusstsein für IKT-Risiken zu schärfen und bestehende Mechanismen zur Abwehr von Cyberbedrohungen weiter zu verbessern.

DORA schafft hierfür einen Rahmen, um entsprechende Vereinbarungen zum Informationsaustausch innerhalb von “Trusted Communities” von Finanzunternehmen zu treffen. Schließlich geht es um hochsensible Daten, die gut geschützt werden müssen, und um die Einhaltung entsprechender Verhaltensregeln und Gesetze in Bezug auf Geschäftsgeheimnisse, personenbezogene Daten und Wettbewerbspolitik.

Der DORA-Countdown läuft – das ist jetzt zu tun

Bis zum Inkrafttreten der DORA-Anforderungen sind es noch zwei Jahre. Dennoch gibt es viel zu bedenken, zu konzipieren und umzusetzen. Auch wenn die Anforderungen – wie so oft bei neuen Regularien – noch nicht vollständig konkretisiert sind, sollten sich die Verantwortlichen in den Unternehmen dennoch intensiv mit der Thematik auseinandersetzen und die Weichen für entsprechende Umsetzungsaktivitäten stellen. In diesem Zusammenhang empfiehlt es sich, umgehend mit der Analyse und Bewertung der eigenen digitalen und operationellen Resilienz zu beginnen und insbesondere “Gaps” hinsichtlich der bereits bekannten grundlegenden DORA-Anforderungen zu identifizieren.

Auf diese Weise kann eine erste Einschätzung hinsichtlich des eigenen “DORA-Reifegrades” vorgenommen und gegebenenfalls auch erste Maßnahmen eingeleitet werden. Darüber hinaus können die mit der Umsetzung verbundenen Aufwände und notwendigen Investitionen besser antizipiert und in den Budgets berücksichtigt werden. Über das eigene Unternehmen hinaus sollte unbedingt auch kurzfristig der Kontakt zu verbundenen Drittanbietern hinsichtlich der gemeinsamen Thematik aufgenommen werden, um die zukünftige Zusammenarbeit in diesem Kontext zu besprechen und sicherzustellen, dass DORA bei allen Beteiligten auf dem “Radar” ist.

Zusammenfassend lässt sich festhalten, dass im Zuge der Umsetzung von DORA für Finanzdienstleister und insbesondere deren CIOs und CROs noch viel zu tun ist und keine Zeit verloren werden darf. Bei allen Herausforderungen sollte jedoch ganz klar die Chance im Vordergrund stehen, durch die Umsetzung entsprechender Maßnahmen die eigene Sicherheit und Widerstandsfähigkeit gegenüber Cyberbedrohungen entscheidend zu verbessern. (fm)