[datensicherheit.de, 16.04.2025] In seiner aktuellen Stellungnahme geht Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, auf das Inkrafttreten der EU-Verordnung DORA („Digital Operational Resilience Act“) ein – nun wird demnach deutlich: „Cyber-Sicherheit ist längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität! Was bislang oft als nationale Aufgabe gehandhabt wurde, erhält nun einen verbindlichen, europäischen Rahmen – ein Novum, das weit über die Finanzbranche hinaus Signalwirkung entfaltet.“

Foto: KnowBe4

Dr. Martin J. Krämer rät dem Finanzsektor zu gelebter Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und regelmäßigen Schulungen

DORA greift dort, wo Finanzinstitute besonders angreifbar sind

„DORA greift dort, wo Finanzinstitute besonders angreifbar sind – bei ihrer wachsenden Abhängigkeit von digitalen Systemen und externen Dienstleistern.“ Diese Verordnung verlange weitreichende Maßnahmen in fünf zentralen Bereichen:

1. dem IKT-Risikomanagement,
2. dem Vorfallmanagement,
3. der operativen Resilienzprüfung,
4. dem Drittparteienrisiko sowie dem
5. Informationsaustausch.

Insbesondere Letzteres sei bemerkenswert – denn der Austausch über Cyber-Bedrohungen innerhalb der Branche werde erstmals ausdrücklich gefördert.

Viele Finanz-Unternehmen nutzen DORA-Einführung als Katalysator

Ein zentrales Element sei das Management von Drittanbieter-Risiken: Banken, Versicherungen und Kapitalverwaltungsgesellschaften müssten künftig deutlich striktere Prüfungen ihrer IT-Dienstleister vornehmen – insbesondere „Cloud“-Anbieter gerieten in den Fokus. Verträge müssten angepasst, Risiken regelmäßig bewertet und Notfallpläne etabliert werden. Krämer betont: „Diese Anforderungen führen dazu, dass sich die Anbieterlandschaft verändern wird: Nur wer robuste Sicherheitsstandards nachweisen kann, wird sich langfristig behaupten.“

Gleichzeitig werde auch das unternehmensinterne Krisenmanagement neu ausgerichtet. Unternehmen müssten sicherstellen, „dass sie Vorfälle schnell erkennen, koordinieren und wirksam bewältigen können“. Dies erfordere eine stärkere Verzahnung zwischen IT, Risiko- und Compliance-Funktionen sowie den jeweiligen Fachabteilungen. Viele Unternehmen nutzten die Einführung von DORA daher als Katalysator, um bestehende „Silostrukturen“ aufzubrechen und Sicherheitsprozesse ganzheitlicher aufzustellen.

Es geht um den Aufbau einer neuen digitalen Risikokultur der Finanzbranche

Doch der gesetzliche Rahmen allein reiche nicht: „DORA fordert mehr als nur eine formale Erfüllung technischer Vorgaben – es geht um den Aufbau einer neuen digitalen Risikokultur.“ Dazu gehörten regelmäßige Schulungen, klare Kommunikationswege im Krisenfall, eine transparente Fehlerkultur und die Bereitschaft, aus Sicherheitsvorfällen zu lernen. „Der Wandel beginnt also nicht bei der Technik, sondern im Denken!“

Nicht zuletzt werde sichtbar, wo die EU offensichtlich noch Nachholbedarf hat: „Die Umsetzung verläuft national sehr unterschiedlich – mit weitreichenden Folgen für international tätige Finanzunternehmen.“ Während Länder wie Deutschland, die Niederlande oder Luxemburg proaktiv handelten und konkrete Leitlinien erlassen hätten, blieben andere Mitgliedstaaten hinter den Erwartungen zurück. Dies berge die Gefahr „regulatorischer Unwucht“ und begünstige sogenannte Arbitrage-Effekte – also das gezielte Ausweichen in Länder mit laxerer Aufsicht.

EU-Rahmenwerke sollen Unternehmen Orientierung und Verbindlichkeit bieten – insbesondere in Kritischen Sektoren wie dem Finanzwesen

Mit DORA und der parallel wirkenden NIS2-Richtlinie etabliere Europa wichtige Rahmenwerke, welche Unternehmen Orientierung und Verbindlichkeit geben sollten – insbesondere in Kritischen Sektoren wie dem Finanzwesen. „Doch Regelwerke allein schaffen noch keine Sicherheit!“

Entscheidend sei, dass Unternehmen den Geist dieser Vorschriften verinnerlichten, unterstreicht Krämer zum Abschluss und rät zu einer gelebten Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und nicht zuletzt zu regelmäßige Schulungen, um das Sicherheitsbewusstsein aller Mitarbeiter stärken. „Nur so lässt sich die digitale Resilienz erreichen, die Europa in Zeiten wachsender Cyber-Bedrohungen dringend braucht!“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 13.04.2025
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung / DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

[datensicherheit.de, 13.04.2025] Der eco – Verband der Internetwirtschaft e.V. weist in einer aktuellen Stellungnahme darauf hin, dass zwischen dem 14. und dem 28. April 2025 Finanzinstitute in der EU ihre IT-Dienstleister bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) registriert haben müssen. Mit dem Inkrafttreten des „Digital Operational Resilience Act“ (DORA) geraten damit auch viele IT-Dienstleister ohne bisherige unmittelbare Regulierung in den Fokus von Aufsichtsbehörden. Gleichzeitig sorgt die bevorstehende Umsetzung der europäischen NIS-2-Richtlinie in weiteren Branchen für erhöhten Handlungsdruck, der sich auch auf die von DORA betroffenen Unternehmen beispielgebend auswirken könnte.

NIS-2-Rezeption am Markt könnte für Umgang mit DORA beispielgebend sein

„Etliche Dienstleister stehen aktuell vor der Aufgabe, Sicherheitsnachweise, Risikoanalysen und Vertragskonformität kurzfristig zu dokumentieren – oft, ohne dass sie bisher mit vergleichbaren Anforderungen konfrontiert waren“, berichtet Ulrich Plate, Leiter der eco-Kompetenzgruppe „Kritische Infrastrukturen“.

• Auch außerhalb des Finanzsektors zeige sich bereits eine zunehmende Dynamik: „Unternehmen, die künftig unter NIS-2 fallen, fordern schon heute von ihren Zulieferern konkrete Nachweise zur Cyber-Sicherheit.“ Diese Richtlinie verpflichtet Unternehmen unter anderem dazu, auch ihre IKT-Lieferkette auf ein Mindestmaß an Sicherheit zu verpflichten.

Plate: „Was wir beobachten, ist eine Art regulatorische Vorwirkung – viele Auftraggeber fordern vertraglich bereits heute de facto NIS-2-konforme Sicherheit, obwohl die Anforderungen noch nicht in nationales Recht überführt wurden.“

Vertragsdruck steigt – NIS-2 und künftig auch DORA als Treiber

Laut aktuellen Schätzungen werden rund 30.000 Unternehmen in Deutschland künftig direkt unter die NIS-2-Regelung fallen. Doch auch nicht unmittelbar betroffene Dienstleister könnten die Auswirkungen spüren: In der Praxis werden Verträge angepasst, Sicherheitsfragebögen verschickt und Anbieter nur bei entsprechender „Compliance“ beauftragt. „Zulieferer geraten häufig früher in die Pflicht als ihre Auftraggeber“, warnt Plate und betont: „Wer sich nicht vorbereitet, wird bei Ausschreibungen künftig nicht mehr berücksichtigt.“

• DORA konkretisiere diese Entwicklung im Finanzbereich mit einem klaren Stichtag. Die Registrierungspflicht umfasse nicht nur eine Meldung an die BaFin, sondern auch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit.

Die Aufsicht könne künftig auch IT-Dienstleister kontrollieren, die nicht direkt reguliert sind. „DORA bringt IT-Dienstleister in die direkte Sichtbarkeit der Aufsicht“, erläutert Plate. Die Marktgrenze für Cyber-Sicherheit verschiebe sich – „wer im Geschäft bleiben möchte, muss sich der Regulierung anpassen“.

NIS-2- bzw. DORA-Compliance als Wettbewerbsvorteil nutzen

Besonders mittelständische Dienstleister stehen laut Plate vor der Aufgabe, ihre internen Prozesse auf neue Anforderungen auszurichten – etwa mit Zertifizierungen, Notfallplänen oder strukturierten Nachweisverfahren.

• Dabei könne eine frühzeitige Positionierung zum Vorteil werden. IT-Dienstleister sollten daher jetzt prüfen, wie gut sie auf regulatorische Anforderungen vorbereitet sind – und mögliche Lücken zügig schließen.

„IT-Compliance ist ein Differenzierungsmerkmal“, so Plates Fazit. Er rät: „Wer heute in Sicherheitsstandards investiert, stärkt die eigene Resilienz und gewinnt Vertrauen – auch bei neuen Auftragnehmern.“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 11.04.2025
Informationsregister und Anzeigepflichten / Die BaFin informiert über Kapitel V, Abschnitt I, Artikel 28 Absatz 3 DORA

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

[datensicherheit.de, 17.03.2025] Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) in Kraft. Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern. Betroffen sind nicht nur Banken, Versicherungen und Investmentgesellschaften, sondern auch IT-Dienstleister, die kritische Infrastrukturen für diese Institutionen bereitstellen.

Zwei Monate Praxis zeigen jedoch: Auch nach der Umsetzungsfrist bleibt für Banken, Versicherungen und Kapitalverwalter viel zu tun. Einzelne Meldefristen haben sich verschoben, Anforderungen wurden teils spät konkretisiert und viele Dienstleisterverträge sind noch nicht aktualisiert. Durch die Komplexität der neuen Anforderungen laufen sie Gefahr, die Richtlinie nicht Compliance-konfrom umzusetzen. Besonders herausfordernd sind die Integration in bestehende Compliance-Prozesse, das Management von IT-Drittrisiken und die Implementierung belastbarer Meldeprozesse.

Ari Albertini, CEO von FTAPI, Bild: FTAPI

DORA: Neue Herausforderungen für Unternehmen

Laut dem BSI-Bericht zur Lage der IT-Sicherheit in Deutschland 2024 wurden im vergangenen Jahr 120 Cyberangriffe auf Unternehmen im Finanz- und Versicherungssektor gemeldet – fast eine Verdopplung im Vergleich zu 2023, als noch 61 Vorfälle registriert wurden. Diese Entwicklung zeigt, dass die Bedrohungslage für den Finanzsektor weiter eskaliert und verstärkte Schutzmaßnahmen dringlicher denn je sind. Banken, Versicherungen und deren IT-Dienstleister stehen zunehmend im Visier von Cyberkriminellen, was die Notwendigkeit robuster Sicherheitsstrategien unterstreicht.

Um diesen Herausforderungen zu begegnen, definiert DORA Anforderungen in mehreren zentralen Bereichen, darunter IT-Risikomanagement, Meldepflichten, operative Resilienztests und das Management von IT-Drittanbietern. Ziel der Verordnung ist es, Finanzunternehmen widerstandsfähiger gegen Cyberangriffe zu machen und eine einheitliche Sicherheitsstrategie in der EU zu etablieren. Doch die Umsetzung erweist sich oft als komplex.

Fünf Stolpersteine und Lösungsansätze

1. Meldeprozesse und Reaktionszeiten optimieren: Unternehmen müssen Cyberangriffe innerhalb von 24 Stunden an die zuständige Aufsichtsbehörde melden. In der Praxis fehlen jedoch oft klare interne Prozesse. Eine Lösung ist die Implementierung automatisierter Erkennungssysteme, die Angriffe frühzeitig identifizieren und standardisierte Berichte generieren.
2. IT-Drittrisiken effektiv managen: Finanzunternehmen bleiben für die Sicherheit ihrer IT-Dienstleister verantwortlich. Viele haben noch keine durchgehenden Risikobewertungen etabliert. Hier helfen vertraglich festgelegte Sicherheitsanforderungen und regelmäßige Audits, um die Compliance externer Anbieter sicherzustellen.
3. Krisenmanagement realistisch testen: DORA verlangt praxisnahe Stresstests zur Überprüfung der Cyberresilienz. Häufig mangelt es jedoch an realistischen Szenarien. Unternehmen sollten regelmäßig Simulationen durchführen und sicherstellen, dass ihre Notfallpläne mit der Gesamtstrategie abgestimmt sind.
4. DORA in bestehende Compliance-Frameworks integrieren: Viele Unternehmen setzen bereits auf NIS-2, ISO 27001 oder BSI IT-Grundschutz. Eine Herausforderung ist die nahtlose Einbindung von DORA ohne unnötige Doppelstrukturen. Die Harmonisierung bestehender Prozesse mit den neuen Anforderungen reduziert den administrativen Aufwand und erleichtert die Umsetzung.
5. Sicherer Datentransfer und Verschlüsselung gewährleisten: DORA fordert robuste Sicherheitsmaßnahmen für den digitalen Austausch sensibler Informationen. In der Praxis setzen viele Unternehmen jedoch noch auf veraltete Übertragungsmethoden wie unverschlüsselte E-Mails oder unsichere File-Transfer-Lösungen. Eine Lösung ist der Einsatz von Ende-zu-Ende-verschlüsselten Plattformen, die nicht nur DORA-konforme Sicherheit bieten, sondern auch die Integrität und Nachverfolgbarkeit von Daten gewährleisten.

DORA als Chance für die digitale Souveränität Europas

„DORA ist ein entscheidender Schritt für die digitale Souveränität Europas. Die Verordnung sorgt nicht nur für einheitliche Sicherheitsstandards, sondern stärkt auch die Widerstandsfähigkeit des Finanzsektors gegen Cyberangriffe“, sagt Ari Albertini, CEO von FTAPI. „Unternehmen, die jetzt in resiliente und sichere Strukturen investieren, profitieren langfristig von mehr Vertrauen und regulatorischer Sicherheit.“

Mit DORA setzt die EU neue Maßstäbe für Cyberresilienz – und fordert von Unternehmen ein proaktives Vorgehen. Wer frühzeitig handelt, minimiert nicht nur Risiken und regulatorische Hürden, sondern sichert sich langfristige Wettbewerbsvorteile in einer zunehmend digitalisierten Finanzwelt.

Weitere Informationen zum Thema:

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen

[datensicherheit.de, 06.02.2025] Seit dem 17. Januar 2025 sind Unternehmen des europäischen Finanzsektors verpflichtet, die Anforderungen des „Digital Operational Resilience Act“ (DORA) zu erfüllen. „Diese Verordnung ist eine Reaktion auf die zunehmenden Cyber-Bedrohungen für die Finanzdienstleistungsbranche und zielt darauf ab, die Widerstandsfähigkeit dieser Branche gegen Cyber-Angriffe zu stärken.“ Warum DORA Herausforderungen mit sich bringt und was Unternehmen tun können, um sie einzuhalten, erörtert Andre Schindler, „General Manager EMEA und SVP Global Sales“ bei NinjaOne, in seiner aktuellen Stellungnahme:

DORA schreibe robuste IT-Risikomanagement- und Vorfallmeldeprozesse vor

DORA schreibe robuste IT-Risikomanagement- und Vorfallmeldeprozesse vor, was viele Finanzunternehmen vor Herausforderungen stelle. „Das liegt daran, dass zahlreiche Unternehmen im Finanzsektor immer noch veraltete IT-Systeme benutzen, die nicht in der Lage sind, die hohen Anforderungen von DORA zu erfüllen, wie z.B. die durchgehende Überwachung von den IT- und OT-Systemen“, so Schindler.

Das Ersetzen der alten Systeme durch neue sei kostspielig und setze besonders kleinere Unternehmen stark unter Druck. Auch der Mangel an IT-Fachkräften erschwere die Umsetzung und die Einhaltung der hohen Anforderungen. Eine Verbesserung sei hier leider nicht in Sicht – „im Gegenteil, eine Bitkom-Studie zeigt, dass sich die Situation in den nächsten Jahren noch verschärfen wird!“

Finanzunternehmen sollten u.a. DORA auch als Chance sehen, ihre eigene IT-Infrastruktur robuster gegen Cyber-Angriffe zu gestalten

Es gebe allerdings auch Maßnahmen, die Finanzunternehmen ergreifen könnten, um diese Probleme zu bewältigen – zum Beispiel die Einführung eines automatisierten Endpunktmanagements. „Durch dessen Einsatz erreicht man die notwendige Transparenz, Kontrolle und Sicherheit für alle Endpunkte – einschließlich Server, Laptops oder PCs und mobile Geräte, die ein Risiko für Finanzinstitute und ihre Nutzer darstellen könnten.“ Eine weitere Maßnahme sei ein automatisches Patching zur Verwaltung von Schwachstellen, Backups zur Wiederherstellung von Daten im Falle eines Angriffs sowie automatisierte Erkennung und Reaktion.

Da Risiken für die Cyber-Sicherheit immer weiter zunähmen, sollten Finanzunternehmen Vorschriften wie DORA auch als Chance sehen, ihre eigene IT-Infrastruktur robuster gegen Cyber-Angriffe zu gestalten. Der Schutz vor Cyber-Angriffen sei wichtiger denn je – laut eines Berichts des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hätten sich die Aggressivität sowie die Raffinesse Cyber-Krimineller in den letzten Jahren deutlich erhöht. „Es ist deshalb zu erwarten, dass in Zukunft noch mehr Branchen der Kritischen Infrastruktur diese Rahmenregelungen übernehmen werden“, gibt Schindler abschließend zu bedenken.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, Oktober 2024
DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2024

bitkom, 11.04.2024
Mangel an IT-Fachkräften droht sich dramatisch zu verschärfen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

[datensicherheit.de, 21.01.2025] Auch Dean Watson, „Lead Solutions Expert Secure Networking“ bei Infinigate, widmet seine aktuelle Stellungnahme dem im Jahr 2020 eingeführten und 2023 in Kraft getretenen „Digital Operational Resilience Act“ (DORA) – dass dessen Regeln nun europaweit griffen, sei eigentlich hinlänglich bekannt. „Und doch stellt die neue Verordnung, die nun am 17. Januar 2025 verpflichtend wurde, viele Unternehmen vor große Herausforderungen. DORA markiert einen Wendepunkt für die digitale Sicherheit im europäischen Finanzsektor.“ Denn diese EU-Verordnung ziele in erster Linie darauf ab, die Widerstandsfähigkeit von Finanzinstituten gegenüber IT-Risiken und Cyber-Bedrohungen deutlich zu stärken. Allerdings betreffe sie nicht nur Banken, Versicherungen und Wertpapierfirmen, sondern auch Zahlungs- und IT-Dienstleister. „Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen“, erläutert Watson.

Foto: Infinigate

Dean Watson: DORA ermöglicht die Modernisierung von Systemen und Prozessen, was zu einer höheren Effizienz und besserer Skalierbarkeit führt

Schonfrist für die Einhaltung von DORA nun abgelaufen

Die DORA-Herausforderungen seien beachtlich – und dies nicht nur, weil die Schonfrist für die Einhaltung von DORA nun abgelaufen sei: „Unternehmen, die im Finanzdienstleistungssektor tätigt sind oder ITK-Dienstleistungen für diese Branche erbringen, sind verpflichtet, sich an die Anforderungen der Verordnung zu halten.“ Diese müssten ein umfangreiches IT-Risikomanagement etablieren, strenge Meldepflichten für IT-Vorfälle einführen und regelmäßige Resilienztests durchführen.

Um Einiges komplexer gestalte sich das DORA-Management von Drittanbietern: „Unternehmen müssen bis zum 30. April 2025 ein vollständiges Register aller vertraglichen Vereinbarungen mit ihren IT-Dienstleistern erstellen.“ Sogenannte Kritische Drittanbieter unterlägen dabei einer direkten Aufsicht durch europäische Behörden und hätten zusätzliche Sicherheits- und Berichtsstandards zu erfüllen. „Weigern sie sich, sind allein die finanziellen Folgen beträchtlich: Bußgelder können bis zu zwei Prozent des weltweiten Jahresumsatzes eines Finanzunternehmens oder bis zu zehn Millionen Euro betragen.“

Diese drohten, wenn größere ITK-bezogene Vorfälle oder Bedrohungen nicht gemeldet würden. Haftbar sind bei Nichteinhaltung der Vorschriften außerdem auch Drittanbieter von ITK-Diensten. Hierbei könnten DORA-Geldbußen von bis zu einem Prozent des durchschnittlichen täglichen weltweiten Umsatzes für jeden einzelnen Tag der Nichteinhaltung verhängt werden.

Nichteinhaltung von DORA kann nicht nur finanzielle Folgen haben

Die potenziellen DORA-Bußgelder bedeuteten in der Praxis hohe Investitionen in IT-Infrastruktur bei komplexen rechtlichen Anforderungen – und einem Mangel an qualifiziertem Personal. Die operativen und finanziellen Herausforderungen dürften insbesondere kleine Unternehmen auf die Probe stellen.

Denn die Nichteinhaltung kann nicht nur finanzielle Folgen haben: Neben hohen Geldbußen drohten Reputationsschäden, eingeschränkte Marktchancen und verstärkte regulatorische Überwachung. Auch erhöhe Versicherungskosten und rechtliche Konsequenzen seien möglich.

„Spezifische Herausforderungen ergeben sich dabei für IT-Dienstleister: Sie müssen nicht nur ihre eigenen Systeme DORA-konform gestalten, sondern auch ihre Dienste an die strengen Anforderungen ihrer Kunden aus dem Finanzsektor anpassen.“ Dies betreffe insbesondere „Cloud“-Provider, Rechenzentren und „Managed Service“-Provider.

DORA sowohl Herausforderung als auch Chance zur Transformation

Trotz aller Herausforderungen sollte DORA nicht nur als regulatorische Pflicht betrachtet werden, sondern als Chance, die Digitale Transformation durch eine bessere IT-Sicherheitsstrategie zu beschleunigen und das Vertrauen der Kunden zu stärken.

„Wird diesem Projekt ein ganzheitlicher Ansatz zugrunde gelegt, ermöglicht DORA die Modernisierung von Systemen und Prozessen, was zu einer höheren Effizienz und besserer Skalierbarkeit führt. Werden automatisierte Workflows und digitale Abläufe implementiert, können proaktive Strategien zur Schadensbegrenzung zum Einsatz kommen.“

Als strategische Partner könnten „Value Add“-Distributoren in den Bereichen „Digital Operation Resilience Testing“, „Third-Party Risk Management“ sowie „Training“ und „Awareness“ unterstützen – etwa durch Lösungen zur Automatisierung regelmäßiger Tests, zur Bereitstellung einer 360°-Sichtbarkeit der Umgebungen, zur Implementierung von Mikrosegmentierung und API-Schutz für ihre Systeme sowie zur Durchführung umfassender Schulungen in den Bereichen „Security-Awareness“ und „Compliance“.

Weitere Informationen zum Thema:

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

[datensicherheit.de, 16.01.2025] „Mit dem endgültigen Inkrafttreten des Digital Operational Resilience Act (DORA) am 17. Januar 2025 stehen Finanzinstitute in der gesamten EU vor der dringenden Aufgabe, ihre Cyber-Sicherheit und operative Widerstandsfähigkeit maßgeblich zu stärken“, betont Peter Machat, „Senior Director EMEA Central“ bei Armis, in seiner aktuellen Stellungnahme. DORA führe umfassende Anforderungen ein, welche von der Meldung von Sicherheitsvorfällen bis zum Management von Risiken entlang der Lieferkette reichten. Ziel sei es, den Finanzsektor besser vor den stetig wachsenden Cyber-Bedrohungen zu schützen. „Trotz der klaren Frist sind viele Organisationen weiterhin unzureichend vorbereitet, was sowohl zu Compliance-Verstößen als auch zu gravierenden Sicherheitslücken führen kann“, warnt Machat.

Foto: Armis

Peter Machat: DORA stärkt nicht nur operative Widerstandsfähigkeit, sondern bietet Finanzinstituten und „Fintechs“ auch einen strategischen Vorteil

Zentraler Aspekt von DORA ist die verpflichtende kontinuierliche Überwachung von IT-, OT- und anderen vernetzten Systemen

Dieses regulatorische Rahmenwerk stelle nicht nur hohe Anforderungen, sondern biete Finanzinstituten auch eine Möglichkeit, die Stabilität ihrer digitalen Infrastrukturen gegen externe Störungen zu sichern. Ein zentraler Aspekt von DORA sei die verpflichtende kontinuierliche Überwachung von IT-, OT- und anderen vernetzten Systemen, um Cyber-Risiken frühzeitig zu identifizieren und zu minimieren. Viele Finanzdienstleister und sogenannte Fintech-Unternehmen verfügten jedoch bislang nicht über die notwendige Infrastruktur und die geeigneten Prozesse, um diesen Anforderungen gerecht zu werden.

Die zunehmende Komplexität moderner IT-Umgebungen, verstärkt durch den Einsatz von IoT- und Cloud-Technologien, stelle dabei eine erhebliche Herausforderung dar. Versäumnisse bei der Schließung dieser Lücken könnten nicht nur finanzielle Bußen und Reputationsverluste, sondern auch Unterbrechungen Kritischer Dienste nach sich ziehen. „Angesichts der näher rückenden Frist sind Finanzinstitute gefordert, ihre Bemühungen zur Einhaltung der Vorgaben zu intensivieren – insbesondere in den Bereichen ,Asset’-Transparenz, Risikobewertung und Lieferkettenmanagement.“

DORA-Richtlinien unterstreichen zunehmende Bedeutung operativer Resilienz

Die DORA-Richtlinien unterstrichen die zunehmende Bedeutung operativer Resilienz und robuster Cyber-Sicherheitsmaßnahmen. Viele Organisationen stünden jedoch bereits vor der grundlegenden Herausforderung, welche in ihren wachsenden IT-Umgebungen vorhandenen „Assets“ zu identifizieren und effizient zu verwalten. Die Frage „Welche ,Assets’ haben wir?“ bildee dabei die Grundlage für Sicherheitsteams, um Prozesse wie „Asset“-Identifikation, Bedrohungserkennung, Schwachstellen-Priorisierung und deren Behebung effektiv umzusetzen.

Ein ganzheitlicher und proaktiver Ansatz sei entscheidend, um die potenziellen geschäftlichen Auswirkungen eines Cyber-Vorfalls zu minimieren. „Anbieter wie Armis bieten hierbei maßgeschneiderte Lösungen, die Transparenz in IT-, OT- und IoT-Umgebungen schaffen und eine proaktive Risikominderung unterstützen.“ Diese Fähigkeiten seien optimal auf die zukunftsweisenden Vorgaben von DORA abgestimmt und ermöglichten es Sicherheitsteams, die gesamte Angriffsfläche ihrer Organisation in Echtzeit zu überwachen und zu steuern.

Organisationen können mittels DORA-Befolgung nicht nur Betriebsabläufe absichern, sondern auch Compliance-Anforderungen erfüllen

Die Integration von Asset-Management, Bedrohungserkennung, Schwachstellenpriorisierung und -behebung stärke nicht nur die operative Widerstandsfähigkeit, sondern biete Finanzinstituten und „Fintechs“ auch einen strategischen Vorteil.

„Durch die Implementierung robuster Strategien zur Erkennung und Abwehr von Cyber-Bedrohungen können Organisationen nicht nur ihre Betriebsabläufe absichern, sondern auch die Compliance-Anforderungen erfüllen und das Vertrauen in einer sich wandelnden digitalen Welt aufrechterhalten“, kommentiert Machat abschließend.

Weitere Informationen zum Thema:

ARMIS
Solutions // Frameworks / The Path to DORA (Digital Operational Resilience Act) / Securing the Financial Services Frontier with Cyber Compliance

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cyber-Sicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 31.10.2024] Ab Januar 2025 wird in der EU eine neue Verordnung gelten, welche dazu beitragen soll, die digitale Widerstandsfähigkeit von Finanzinstituten zu schützen: Der „Digital Operational Resilience Act“ (DORA) verlangt dann von Unternehmen aus dem Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen. „Sie müssen dafür sorgen, dass ihr Betrieb auch bei einem IT-Vorfall weiterläuft und die wichtigsten Systeme schnellstmöglich wieder instandgesetzt werden“, kommentiert Birol Yildiz, Gründer und CEO des Kölner SaaS-Unternehmens ilert, und warnt: „Bei Nichteinhaltung drohen hohe Strafen!“ Es sei daher wichtig, dass Unternehmen und ihre Drittanbieter Störungen geschwind und effektiv identifizierten, managten und aus ihnen lernten. Ein gut funktionierendes „Incident Management“ werde hierfür zur Grundvoraussetzung.

Foto: ilert

Birol Yildiz rät von DORA betroffenen Unternehmen zum strukturierten, umfassenden „Incident Management“

DORA verpflichtet Finanzunternehmen und Dienstleister zum effektiven „Incident Management“

„Finanzdienstleister sollten daher heute damit beginnen, mithilfe von Plänen die Weichen zu stellen, um Kritische Strukturen nach einem Störfall rasch wiederherstellen zu können“, empfiehlt Yildiz. Zudem sollte das eigene „Incident Management“ mithilfe von „drei strategischen Hacks“ auf den neuesten Stand gebracht werden und sich so auf das DORA-Inkrafttreten vorbereitet werden. DORA verpflichte nämlich ab Januar 2025 Finanzunternehmen und ihre Dienstleister zu einem effektiven „Incident Management“.

1. strategischer Hack zur DORA-Einführung: Ein Plan für den Ernstfall

Yildiz führt aus: „Eine der wichtigsten Anforderungen der neuen DORA-Verordnung ist die Klassifizierung von Vorfällen nach Schweregrad, Auswirkung und Dauer. Um einzuschätzen, ob eine Störung als ,signifikant’, ,bedeutsam’ oder ,geringfügig’ einzustufen ist und entsprechend reagieren zu können, bedarf es einer vorausschauenden Planung und passender Lösung.“ Für die Analyse und Bewertung von Störfällen helfe es, im Voraus bereits „Incident Response“-Pläne zu erstellen. Diese sollten den gesamten Incident-Lifecycle behandeln und dabei jede Phase eines Zwischenfalls berücksichtigen – von der Identifikation des Problems über die Eindämmung der Auswirkungen und die Beseitigung der Ursache bis hin zur vollständigen Reparatur der betroffenen Infrastrukturen.

„Denn besonders drastische Ereignisse unterliegen strengen Meldepflichten und müssen unverzüglich an die zuständigen Behörden berichtet werden!“ Die Klassifizierung stelle sicher, dass im Falle eines Vorfalls die vorhandenen Ressourcen effizient eingesetzt und zuerst die wichtigsten Systeme schnell wieder zum Laufen gebracht werden könnten, um größere und langfristige Schäden zu vermeiden. So ließen sich beispielsweise Kritische Datenbanken oder Kundensysteme schneller schützen und könnten bei der Lösung des Problems bevorzugt behandelt werden.

„Darüber hinaus helfen ,Incident Response’-Pläne auch bei der Dokumentation von Zwischenfällen. Das bedeutet, dass alle Schritte und Maßnahmen schriftlich festgehalten sind.“ Da sich Bedrohungsszenarien und Ereignismuster ständig änderten, gelte es, die Konzepte außerdem regelmäßig zu überprüfen und zu aktualisieren. Ein „Incident Management“-Tool könne dabei helfen, diese Prozesse effizient und nachvollziehbar für alle zu gestalten.

2. strategischer Hack zur DORA-Einführung: Offene Kommunikation in der Krise

Um die Anforderungen von DORA erfolgreich umzusetzen, sei im zweiten Schritt ein klarer Informationsaustausch von großer Bedeutung. „Aus dem Grund sollten innerhalb des Unternehmens eindeutige Abläufe definiert werden, damit im Notfall jeder Mitarbeitende genau weiß, was zu tun und jede Abteilung informiert ist.“

Yildiz betont: „Nur wenn alle Beteiligten wissen, wer welche Aufgaben übernimmt, sie ihre Rollen in einer Krisensituation kennen und entsprechend handeln, geht keine wertvolle Zeit verloren. Außerhalb der eigenen Organisation sei es ebenso relevant, „dass es gut organisierte Meldeprozesse gibt“. Schließlich müssten Unternehmen Informationen schnell und präzise an die zuständigen Stellen und externe Partner, wie z.B. Dienstleister, weitergeben.

Darüber hinaus sei auch Transparenz in der Zusammenarbeit entscheidend. Es gehe darum, mit allen mitwirkenden Akteuren – ob Mitarbeitern, Kunden, Partnerunternehmen oder Behörden – offen und klar zu kommunizieren, „damit alle auf dem gleichen Stand sind“. Nur so ließen sich Probleme im Ernstfall bei allen Beteiligten zügig lösen.

3. strategischer Hack zur DORA-Einführung: Simulation statt Spekulation

„Da Störfälle im besten Fall nicht an der Tagesordnung sind, lohnt es sich, regelmäßig Testläufe und Simulationen durchzuführen. Denn so wird sichergestellt, dass die ,Incident Response’-Pläne noch immer greifen.“ Sollten Lücken oder Probleme in der Strategie auftauchen, könnten diese frühzeitig erkannt und behoben werden – „bevor der Ernstfall eintritt!“.

Bei einem Simulationslauf werde ein „Incident“ in einer kontrollierten Umgebung nachgestellt. Diese Tests ließen sich sowohl für IT-Systeme als auch für Prozesse durchführen. Dabei könne das zuständige Team die Reaktionen und Notfallpläne in Echtzeit üben. „Die Netzwerke stehen währenddessen unter ständiger Überwachung, um sicherzustellen, dass sie wie geplant in Stand gesetzt werden können.“ Ziel dieser Übungen und Pläne sei es, Ausfallzeiten auf ein Minimum zu reduzieren und eine schnelle Reaktivierung des Betriebs zu gewährleisten.

Dieser Aspekt sei auch für die neuen Bestimmungen relevant, „denn mit DORA sind Finanzinstitute dazu verpflichtet, Kontinuitäts- und Wiederherstellungspläne zu entwickeln“. Denn es müsse garantiert sein, dass Kritische Anlagen nach einer Störung schnell wieder zum Laufen gebracht werden könnten. Diese Vorgehensweisen seien regelmäßig zu untersuchen und anhand der neuesten Erkenntnisse aus realen Vorfällen oder Überprüfungen anzupassen, um den gesetzlichen Anforderungen zu entsprechen.

„Incident Management“: Nach DORA-Einführung unverzichtbar

„Damit Finanzdienstleistungsunternehmen also nicht an der zukünftigen Regulierung scheitern oder mit hohen Strafzahlungen konfrontiert werden, lohnt sich ein gut strukturiertes ,Incident Management’, das den gesamten ,Incident’-Lifecycle abdeckt“, so Yildiz’ Fazit. Nur so würden Störungen systematisch bewertet, die schnelle Kommunikation und Fehlerbehebung im Team gewährleistet und alle Schritte lückenlos dokumentiert.

„Mit entsprechenden Tools, die alle Prozesse aus einer Hand abdecken, können zudem Wiederherstellungspläne fortlaufend getestet und an aktuelle Bedrohungsszenarien angepasst werden, um die Geschäftskontinuität stets zu gewährleisten.“ Auf diese Weise werde der Reaktionsprozess optimiert und die Kommunikation und Zusammenarbeit mit Behörden und externen Partnern gefördert. Der Erfüllung der neuen DORA-Bestimmungen stehe dann nichts mehr im Weg und Finanzdienstleister könnten sich darauf verlassen, für den Ernstfall gewappnet zu sein.

Weitere Informationen zum Thema:

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 09.07.2024] Mit dem „Digital Operational Resilience Act“ (DORA) der Europäischen Union (EU) wird Anfang 2025 ein weitreichendes Regulierungswerk für die Themen Cyber-Sicherheit, Risiken der Informations- und Kommunikationstechnologie (IKT) und Digitale Resilienz in Kraft treten, welches den gesamten EU-Finanzsektor adressiert. In einer aktuellen Stellungnahme kommentiert BeyondTrust die Regulierungen, welche den Finanzmarkt gegenüber Cyber-Risiken und IT-Sicherheitsverletzungen stärken sollen.

DORA soll Finanzmarkt gegenüber Cyber-Risiken und IT-Sicherheitsvorfällen stärken

BeyondTrust informiert über die IT-Compliance-Anforderungen an Geldinstitute und Finanzunternehmen, welche für den gesamten EU-Bankensektor ab dem 17. Januar 2025 gelten werden. „In einem aktuellen Blogbeitrag werden die Regulierungen des ,Digital Operational Resilience Act’ (DORA) vorgestellt, die den Finanzmarkt gegenüber Cyber-Risiken und IT-Sicherheitsvorfällen stärken sollen.“

Die von BeyondTrust angebotenen Lösungen stellten sicher, „dass Finanzinstitute privilegierte Zugriffe und Anmeldeinformationen effektiv verwalten und sichern, eine entscheidende Komponente der Digitalen Resilienz, die von DORA eingefordert wird.“

EU-Verordnung 2022/2554 – DORA harmonisiert Sicherheitsmaßnahmen im gesamten EU-Finanzsektor

Mit der EU-Verordnung 2022/2554 würden Sicherheitsmaßnahmen im gesamten EU-Finanzsektor harmonisiert. Zur Aufrechterhaltung eines widerstandsfähigen Finanzbetriebs sollten technologische Sicherheit, ein reibungsloses Funktionieren sowie eine rasche Wiederherstellung nach IKT-Sicherheitsverletzungen und -Vorfällen gewährleistet werden.

Die zunehmende Digitalisierung und Vernetzung von Rechnern und IT-Systemen verstärkten unterschiedliche IT-Risiken, „die das Finanzsystem und Geldflüsse durch Cyber-Bedrohungen oder Störungen gefährden“.

DORA-Verordnung: Finanzdienstleistungen müssen in der gesamten EU wirksam und reibungslos erbracht werden

Im Kontext der DORA-Verordnung müssten Finanzdienstleistungen demnach in der gesamten EU wirksam und reibungslos erbracht werden können, und gleichzeitig das Vertrauen der Verbraucher und Märkte auch in Stress-Situationen gewährleisten. „Das betrifft insbesondere Zahlungen, die von bargeld- und papiergestützten Methoden zunehmend auf die Nutzung digitaler Lösungen verlagert wurden, sowie Wertpapierclearing und -abrechnungssysteme.“

Das einheitliche Regelwerk und Aufsichtssystem ordnet demnach den elektronischen und algorithmischen Handel, Darlehens- und Finanzierungsgeschäfte, Schadensmanagement und Back-Office-Transaktionen neu.

BeyondTrust bietet Lösungen für von DORA betroffene Institutionen

„Cyber-Kriminelle schlafen nie. Unsere Tools sind darauf ausgelegt, Angriffe zu antizipieren und zu neutralisieren, bevor sie irreparablen Schaden anrichten. Eine verbesserte Transparenz der digitalen Assets und Identitäten ist ein entscheidender Faktor für die Erkennung potenzieller Sicherheitsverletzungen, von unbefugten Zugriffsversuchen bis hin zu Insider-Bedrohungen“, erläutert Jens Brauer, „Regional Vice President CEE“ bei BeyondTrust.

Brauer betont abschließend: „Die EU-Gesetzgebung fordert diese Fähigkeiten im Rahmen des ,Digital Operational Resilience Act’. Unsere Lösungen unterstützen nicht nur die Einhaltung der strengen Vorschriften, sondern stärken auch die Cyber-Resilienz von Unternehmen zur Bewahrung der Integrität und Stabilität der Finanzsysteme in einer vernetzten Welt.“

Weitere Informationen zum Thema:

EUR-Lex Der Zugang zum EU-Recht
Dokument 32022R2554

BeyondTrust, 08.07.2024
Digital Operational Resilience Act (DORA): Wie die EU-Vorgaben zur Stärkung der Cyber-Resilienz im Finanzsektor eingehalten werden können

datensicherheit.de, 25.04.2024]
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 21.06.2024] Dies sind laut einer aktuellen Stellungnahme von Cohesity direkte Folgen der jüngsten Ransomware-Attacken der vergangenen 15 Tage: „800 verschobene Operationen, geschlossene Rathäuser, ausgefallene Video-Dienste“ – die Ransomware-„Pandemie“ wüte ungebremst und die Politik diskutiere strengere Regeln. So werde in Großbritannien diskutiert, ob Firmen gezwungen werden sollten, Ransomware-Attacken und Lösegeld-Zahlungen zu melden. Die EU habe mit NIS-2 und DORA bereits strenge Meldepflichten definiert.

Ransomware-Angriff gegen britisches Labor zwang Krankenhäuser zur Verschiebung von rund 800 Operationen

„Der Fall von Synnovis legt offen, wie selbst Kritische Infrastrukturen anfällig bleiben und wie komplex Firmen heute miteinander verwoben sind. Dadurch entstehen ungewisse Ausfallrisiken.“ Synnovis sei als Pathologie-Labor in Großbritannien mit seinen Dienstleistungen wie Bluttests eng mit einigen Krankenhäusern verzahnt.

Ein Ransomware-Angriff gegen dieses Labor habe nun betroffene Krankenhäuser gezwungen, insgesamt rund 800 Operationen zu verschieben. Mark Dollar, „CEO“ des demnach am 4. Juni 2024 gehackten Gesundheitsdienstleisters Synnovis, kommentiert: „Angriffe dieser Art können jederzeit jedem passieren und die dahinter stehenden Personen haben beunruhigenderweise keinerlei Skrupel, wen ihre Aktionen treffen könnten.“

Weitere Ransomware-Angriffe gegen kommunale Einrichtungen in den USA

Zeitungen hätten weitere Ransomware-Angriffe gegen kommunale Einrichtungen wie Michigan’s Traverse City und New York’s Newburgh in den USA gemeldet, der Video-Dienstleister Niconico sei ebenfalls offline. Dies seien vier Beispiele für erfolgreiche Ransomware-Angriffe aus den vergangenen 15 Tagen – die Dunkelziffer sei wahrscheinlich x-fach höher. „Und hier wollen Politiker aus Großbritannien ansetzen und Firmen zu mehr Transparenz zwingen.“

„Diskutiert werden erste Ideen, ob man alle Opfer verpflichten soll, Vorfälle der Regierung zu melden.“ Opfer sollten sich auch vor erpressten Lösegeldzahlungen eine Lizenz besorgen müssen – ebenfalls vorgeschlagen werden solle sogar ein vollständiges Verbot von Lösegeldzahlungen für an nationaler Kritischer Infrastruktur beteiligte Organisationen. Dieses Verbot solle Hackern den Anreiz nehmen, diese Kritischen Dienste zu stören, indem es sie daran hindere, Angriffe zu monetarisieren.

Meldepflicht von 72 Stunden als globaler Standard auch nach Ransomware-Vorfällen

Die US-Regierung habe bereits im März 2022 mit ihrem Gesetz „Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)“ klar geregelt, dass Betreiber Kritischer Infrastruktur einen Cyber-Vorfall innerhalb von 72 Stunden melden müssten. Ransomware-Zahlungen müssten sogar 24 Stunden nach der Zahlung kommuniziert werden.

Die Vorschriften und Gesetze, mit denen Regierungen mehr Licht in Cyber-Gefahren und -Risiken bringen möchten, orientierten sich zusehends an strengen zeitlichen Vorgaben bei der Meldepflicht: „72 Stunden sind hier der globale Standard, der sich nun zu etablieren scheint.“ Auch bei dem „Digital Operational Resilience Act“ (DORA), auf die Finanzindustrie fokussiert, und der NIS-2-Direktive seien 72 Stunden das Maß der Dinge. Mit beiden Regelwerken möchte die EU Firmen in Europa zu mehr operativer Cyber-Resilienz drängen.

Obligatorische Meldepflichten bei Datenschutzverletzungen

Die obligatorischen Meldepflichten bei Datenschutzverletzungen hätten es in sich und stellten klare Anforderungen:

• Innerhalb von 24 Stunden müsse die Organisation eine Frühwarnung geben, „wenn der Verdacht besteht, dass ein schwerwiegender Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte“.
• Innerhalb von 72 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls müsse die Frühwarnung mit einer ersten Bewertung, einschließlich seiner Schwere und Auswirkungen, aktualisiert werden. Die Organisation sollte dem nationalen CERT auch alle Indikatoren für eine Gefährdung im Zusammenhang mit dem Angriff mitteilen.
• Auf Anfrage eines nationalen CERT oder einer Aufsichtsbehörde müsse die Organisation Zwischenstatus-Aktualisierungen bereitstellen.
• Innerhalb eines Monats nach Einreichung der Vorfallmeldung müsse die Organisation einen Abschlussbericht vorlegen.

Nicht nur nach Ransomware-Angriffen selbst mehr Transparenz schaffen

Das Risiko erfolgreicher Cyber-Attacken auf das Wohl und Leben der Bürger werde die Politik weiter antreiben, neue Regeln und Vorschriften zu erlassen – mit dem Ziel, das Sicherheitsniveau und die Cyber-Resilienz zu stärken. „Da wird also wahrscheinlich noch mehr kommen.“ Firmen sollten entsprechend reagieren und intern mehr Transparenz und Kontrolle über ihre Daten und Dienste schaffen. Dazu seien folgende Schritte elementar:

1. Daten genau verstehen!
Firmen müssten genau wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann könnten sie in den Behörden berichten, welche Daten bei einer erfolgreichen Attacke korrumpiert wurden. Auf diesem Gebiet könnten KI-Lösungen (wie z.B. „Cohesity Gaia“) massiv helfen und eine der komplexesten Probleme entschärfen, „indem sie die Daten von Firmen automatisiert klassifizieren“. Sogenannte Business Owner könnten beispielsweise direkte Fragen zu bestimmten Daten stellen und bekämen automatisch eine entsprechende Antwort mit einer Liste aller betroffenen Dokumente.

2. Zugriffe reglementieren!
„Wer seine Daten richtig eingestuft und klassifiziert hat, kann automatisch Regeln und Rechte durchsetzen, die den Zugriff darauf regeln.“ Daten-Management-Plattformen (wie etwa jene von Cohesity) wickelten das automatisiert ab und reduzierten die Risiken für menschliche Fehler. Eine Firma könne durchsetzen, dass bestimmte Daten niemals an externe Speicherorte oder KI-Module weitergegeben werden dürften.

3. Angriffe überstehen!
„Damit eine Firma die Berichte für die Behörden überhaupt erstellen kann, muss sie handlungsfähig bleiben!“ Bei Ransomware oder einem Wiper-Angriff (Attacke per Schadsoftware mit Löschfunktion) aber funktioniere im „Worst Case“ nichts mehr. Die IT-Teams der „CIOs“ und „CISOs“ würden auf diese Attacke nicht einmal reagieren können, da alle Sicherheitstools offline, Beweise in Logs und auf den Systemen verschlüsselt seien. Firmen sollten daher unbedingt sogenannte Clean-Room-Konzepte implementieren, „wo ein Notfallset an Tools und System- und Produktionsdaten liegt, um einmal einen Notbetrieb der Gesamt-IT zu schaffen“. Darin lägen alle erforderlichen Tools für die Security-Teams, „damit diese mit dem essenziellen Incident-Response-Prozess beginnen können“. Dieser Prozess sei fundameltal, um richtige und aussagekräftige Berichte für NIS-2-, DORA- und DSGVO-Verstöße zu generieren.

„Die Regeln für IT werden strenger, denn unsere Abhängigkeiten von der IT werden größer und damit der Schaden für die Wirtschaft und Gesellschaft, wenn wichtige Dienste ausfallen“, unterstreicht Mark Molyneux, „EMEA CTO“ bei Cohesity. Abschließend gibt er zu bedenken: „Wer die Vorgaben von 72 Stunden bei den Berichten einhalten will, muss all jene Prozesse und Workflows gegenchecken, die mit Daten hantieren.“ Cohesity etwa könne diese Aufgabe mit einer zentral KI-getriebenen Plattform für Datenmanagement mit Kernfunktionen massiv abdecken, um möglichst große operative Cyber-Resilienz zu schaffen.

Weitere Informationen zum Thema:

CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)

The Digital Operational Resilience Act (DORA)
Regulation (EU) 2022/2554

The NIS 2 Directive
What is the NIS 2 Directive?

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cyber-Sicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 25.04.2024] Der „Digital Operational Resilience Act“ (DORA) soll ein wichtiges Problem bei der Regulierung von Finanzinstituten in der Europäischen Union (EU) lösen helfen: Diese neue Gesetzgebung soll als verbindliche Richtlinie für das Risikomanagement im Finanzsektor dienen und darauf abzielen, die digitale Widerstandsfähigkeit zu verbessern. Als Stichtag für alle betroffenen Organisationen zur Erfüllung der Vorschriften gilt der 17. Januar 2025. Um nun den Schutz ihrer eigenen IT-Infrastruktur zu gewährleisten und hohe Standards für die Verfügbarkeit von Daten und Diensten aufrechtzuerhalten, müssen viele Finanzorganisationen offensichtlich in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall (Disaster Recovery / DR). Reinhard Zimmer von Zerto fasst in seiner aktuellen Stellungnahme zusammen, wie Finanzinstitute moderne DR-Technologien nutzen können, um die operative Resilienz ihrer IT-Systeme zu verbessern und so die neue EU Gesetzgebung zu erfüllen.

Foto: Zerto

Reinhard Zimmer – „Regional Sales Manger“ bei Zerto, Spezialist für die Absicherung virtueller Infrastrukturen

DORA gilt allgemein für den EU-Finanzsektor sowie Anbieter von IT-Dienstleistungen für den Finanzbereich

„Der Digital Operational Resilience Act (DORA) löst ein wichtiges Problem bei der Regulierung von Finanzinstituten in der Europäischen Union und dient als verbindliche Richtlinie für das Risikomanagement im Finanzsektor“, betont Zimmer. Er ziele darauf ab, die digitale Widerstandsfähigkeit zu verbessern und auch für Drittanbieter – etwa „Cloud“-Service-Anbieter – verbindlich zu machen.

Diese neue Verordnung gelte allgemein für den EU-Finanzsektor sowie Anbieter von IT-Dienstleistungen für den Finanzbereich – „unabhängig davon, wo die Anbieter ihren Sitz haben“. Alle betroffenen Organisationen müssten die Vorschriften bis zum 17. Januar 2025 erfüllt haben.

EU-Finanzsektor: Verbesserung der IT-Resilienz zentrales DORA-Anliegen

Die DORA-Gesetzgebung gehe in fünf ihrer neun Kapitel detailliert auf die Verbesserung der IT-Resilienz ein: „Risikomanagement (Kapitel II), Incident Management (Kapitel III), Digital Operational Resilience Testing (Kapitel IV), Third-Party Management (Kapitel V) sowie Information Sharing (Kapitel VI).“ Dies bedeutet laut Zimmer, dass die Finanzinstitute ihre Widerstandsfähigkeit auf vielen miteinander verbundenen Ebenen gleichzeitig verbessern müssten.

Der Bereich, auf den sich die neue Gesetzgebung am meisten auswirkt, ist demnach die Wiederherstellung im Katastrophenfall, da „Disaster Recovery“ Kernanforderungen dreier Artikel dieser Verordnung erfüllen könne: „Konkret handelt es sich um Artikel 9 (Schutz und Prävention), Artikel 11 (Reaktion und Wiederherstellung) und Artikel 12 (Sicherungsstrategien und -verfahren).“ Finanzunternehmen, deren aktuelle Technologien nicht ausreichen, um die neuen Anforderungen von DORA zu erfüllen, würden daher gezwungen sein, nach geeigneteren Lösungen zu suchen.

DR-Technologie für Finanzinstitute: Aufrüstung mit Continuous Data Protection empfohlen

Um Ausfallsicherheit, Kontinuität und Verfügbarkeit zu verbessern, sollten Unternehmen modernere Disaster-Recovery-Lösungen in Betracht ziehen, welche auf „Continuous Data Protection“ (CDP) basieren. CDP verfolge und spiegele Datenänderungen nicht in vordefinierten Intervallen wie bei regulären Backups, sondern kontinuierlich. Dabei werde jede Version der Daten zwischen einem lokalen und einem entfernten Standort repliziert.

Diese journal-basierte Technologie protokolliere alle Änderungen und ermögliche eine punktgenaue Wiederherstellung in Schritten von Sekunden. Mit Tausenden von Wiederherstellungspunkten in der Historie des Journals minimiere CDP so das Risiko von Datenverlusten. „Die Technologie reduziert damit die Auswirkungen eines Ausfalls auf den Betrieb, unabhängig davon, ob die Ursache versehentlich oder absichtlich, natürlich oder vom Menschen verursacht wurde.“ Damit sei CDP ideal für die Erfüllung der Kernanforderungen von Artikel 9 (Belastbarkeit, Kontinuität und Verfügbarkeit von IT-Systemen).

DORA-Artikel 11 verlangt von Finanzorganisationen angemessene Kontinuitätspläne

DORA-Artikel 11 verlange von Finanzorganisationen, „dass sie angemessene Kontinuitätspläne einführen, aufrechterhalten und diese regelmäßig testen“. Nicht alle Disaster-Recovery-Lösungen böten jedoch angemessene Tests für Ausfallsicherung oder fortschrittliche Analysen. Finanzinstitute müssten daher sicherstellen, „dass ihre Disaster-Recovery-Lösungen vollautomatische, unterbrechungsfreie, skalierbare und granulare Failover-Tests in einer Sandbox-Umgebung bieten“.

Solche Testfunktionen sollten idealerweise eine Wiederherstellungsgarantie mit detaillierten Berichtsfunktionen ermöglichen, welche bei Audits und Inspektionen zum Nachweis der Sicherheit der Umgebung verwendet werden könnten. Zimmer: „Mit solchen Funktionen kann die Wiederherstellung innerhalb von Minuten von einer einzigen Person per Mausklick getestet werden, ohne die Produktion zu unterbrechen.“

Geo-Redundanz: DORA-Artikel 12 fordert, dass Finanzinstitute zweiten Standort betreiben müssen

Um sich gegen den Ausfall eines gesamten Standorts abzusichern, schreibe Artikel 12 vor, dass Finanzinstitute einen zweiten Standort betreiben müssten, welcher „mit angemessenen Ressourcen, Fähigkeiten, Funktionen und Personalkapazitäten ausgestattet ist, um die Geschäftsanforderungen zu erfüllen“. Zimmer kommentiert: „Das bedeutet, dass Organisationen Disaster-Recovery-Lösungen verwenden müssen, die eine One-to-many-Replikationsfunktion bieten, um replizierte Daten auf zwei oder mehr Cloud-Standorte zu verteilen.“

Mit einer One-to-Many-Replikation könnten Unternehmen Daten von einer einzigen Quelle auf mehrere Zielumgebungen replizieren und so Daten und Anwendungen auf flexible und effiziente Weise schützen. Mit dieser Funktion sei es möglich, lokal oder auf mehrere Ziel- oder Remote-Standorte zu replizieren, „Failover“ durchzuführen sowie bestimmte virtuelle Instanzen an einen anderen Standort zu verschieben. Im Gegensatz zur synchronen Replikation funktioniere die asynchrone Replikation auch zwischen weiter voneinander entfernten Standorten und vermeide dabei den Datenverlust, der normalerweise mit asynchronen Optionen verbunden sei. Auf diese Weise könnten Unternehmen ihre Ausfallsicherheit auf ein noch höheres Niveau heben und ganze Standorte vor regionalen Katastrophen schützen.

Erkennung in Echtzeit: Finanzorganisationen müssen über Mechanismen verfügen, um anomale Aktivitäten umgehend zu erkennen

Noch besser als die schnelle und einfache Wiederherstellung von Daten und Workloads nach einem erfolgreichen Angriff sei es, gar nicht erst Opfer eines Angriffs zu werden oder erfolgreiche Angriffe so früh wie möglich zu erkennen, bevor sie größeren Schaden anrichten. Artikel 10 von DORA ziele darauf ab, diese Erkennung zu verbessern: „Finanzorganisationen müssen über Mechanismen verfügen, um anomale Aktivitäten […] umgehend zu erkennen, einschließlich automatisierter Warnmechanismen für Mitarbeiter, die für die Reaktion auf IKT-bezogene Vorfälle zuständig sind.“ Präventive Cyber-Sicherheits-Tools seien ideal, um Angriffe zu erkennen und zu stoppen, wie zum Beispiel Ransomware-Angriffe.

Zimmer erläutert: „,Tools‘ zur Erkennung von Ransomware in Echtzeit nutzten algorithmische Intelligenz, um Unternehmen innerhalb von Sekunden vor einer Verschlüsselungsanomalie zu warnen. So verkürzt eine solche Lösung die Zeit, in der Cyber-Kriminelle Daten verschlüsseln können, um ein Vielfaches.“ In Verbindung mit den Wiederherstellungspunkten von CDP und dem Journal, „das diese Punkte automatisch sichert“, wird es einfacher, die vor der Anomalie erstellten Wiederherstellungspunkte von denen danach erstellten zu unterscheiden. „Das bedeutet, dass man nach einem Angriff genau weiß, wo sich der richtige Wiederherstellungspunkt befindet“, so Zimmer. Dadurch reduzierten sich Datenverluste und Ausfallzeiten nach einem Angriff drastisch.

Wiederaufnahme des Betriebs einer Finanzinstitution innerhalb von Minuten dank Applikations-Gruppen

Zimmer führt aus: „So wichtig CDP für einen geringstmöglichen Datenverlust ist, reicht es alleine nicht aus, um den Betrieb von komplexen, verteilten Applikationen schnell wieder aufzunehmen!“ Vielmehr würden hierfür „Virtual Protection Groups“ (VPGs) benötigt, welche es ermöglichten, verschiedene Komponenten einer Applikation (z.B. Datenbank sowie Applikations- und Web-Server) als eine einzige, absturzsichere Einheit zu gruppieren.

Anders als in dem zuvor beschriebenen Backup-Ansatz, bei dem jede Komponente einen anderen Zeitstempel habe und so die Wiederherstellung um ein Vielfaches länger dauere, hätten innerhalb einer VPG alle gruppierten VMs die gleichen konsistenten Zeitstempel. Mithilfe von Orchestrierung und Automatisierung lasse sich so mit wenigen Klicks ein Failover eines gesamten Standorts mit Tausenden von Applikationen durchführen – ohne eine längere Unterbrechung des Betriebs.

Fazit: DORA ist eine weitreichende EU-Verordnung, für die es keine Einheitslösung gibt

Zusammenfassend stellt Zimmer klar: „DORA ist eine weitreichende EU-Verordnung, für die es keine Einheitslösung gibt. Finanzinstitute werden zahlreiche Bereiche ihrer IT verbessern müssen, um alle Anforderungen zu erfüllen. Im Idealfall werden sie sich auf Lösungen verlassen wollen, die weite Bereiche der Gesetzgebung abdecken können.“

Die Wiederherstellung im Katastrophenfall sei einer der Bereiche, welcher mehrere Artikel und deren Anforderungen abdecken könne. Um dies zu erreichen, benötigten Organisationen Lösungen zur Wiederherstellung, welche über die begrenzten Möglichkeiten der meisten Backup-Lösungen hinausgingen. „Moderne DR-Lösungen mit ,Continuous Data Protection’ und ,Virtual Protection Groups’ bieten heute bereits viele fortschrittliche Funktionen, die zur Einhaltung der neuen DORA-Vorschriften beitragen können“, so Zimmers Fazit.

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 18.01.2024
DORA – Digital Operational Resilience Act

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen