[datensicherheit.de, 16.04.2025] In seiner aktuellen Stellungnahme geht Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, auf das Inkrafttreten der EU-Verordnung DORA („Digital Operational Resilience Act“) ein – nun wird demnach deutlich: „Cyber-Sicherheit ist längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität! Was bislang oft als nationale Aufgabe gehandhabt wurde, erhält nun einen verbindlichen, europäischen Rahmen – ein Novum, das weit über die Finanzbranche hinaus Signalwirkung entfaltet.“

Foto: KnowBe4

Dr. Martin J. Krämer rät dem Finanzsektor zu gelebter Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und regelmäßigen Schulungen

DORA greift dort, wo Finanzinstitute besonders angreifbar sind

„DORA greift dort, wo Finanzinstitute besonders angreifbar sind – bei ihrer wachsenden Abhängigkeit von digitalen Systemen und externen Dienstleistern.“ Diese Verordnung verlange weitreichende Maßnahmen in fünf zentralen Bereichen:

1. dem IKT-Risikomanagement,
2. dem Vorfallmanagement,
3. der operativen Resilienzprüfung,
4. dem Drittparteienrisiko sowie dem
5. Informationsaustausch.

Insbesondere Letzteres sei bemerkenswert – denn der Austausch über Cyber-Bedrohungen innerhalb der Branche werde erstmals ausdrücklich gefördert.

Viele Finanz-Unternehmen nutzen DORA-Einführung als Katalysator

Ein zentrales Element sei das Management von Drittanbieter-Risiken: Banken, Versicherungen und Kapitalverwaltungsgesellschaften müssten künftig deutlich striktere Prüfungen ihrer IT-Dienstleister vornehmen – insbesondere „Cloud“-Anbieter gerieten in den Fokus. Verträge müssten angepasst, Risiken regelmäßig bewertet und Notfallpläne etabliert werden. Krämer betont: „Diese Anforderungen führen dazu, dass sich die Anbieterlandschaft verändern wird: Nur wer robuste Sicherheitsstandards nachweisen kann, wird sich langfristig behaupten.“

Gleichzeitig werde auch das unternehmensinterne Krisenmanagement neu ausgerichtet. Unternehmen müssten sicherstellen, „dass sie Vorfälle schnell erkennen, koordinieren und wirksam bewältigen können“. Dies erfordere eine stärkere Verzahnung zwischen IT, Risiko- und Compliance-Funktionen sowie den jeweiligen Fachabteilungen. Viele Unternehmen nutzten die Einführung von DORA daher als Katalysator, um bestehende „Silostrukturen“ aufzubrechen und Sicherheitsprozesse ganzheitlicher aufzustellen.

Es geht um den Aufbau einer neuen digitalen Risikokultur der Finanzbranche

Doch der gesetzliche Rahmen allein reiche nicht: „DORA fordert mehr als nur eine formale Erfüllung technischer Vorgaben – es geht um den Aufbau einer neuen digitalen Risikokultur.“ Dazu gehörten regelmäßige Schulungen, klare Kommunikationswege im Krisenfall, eine transparente Fehlerkultur und die Bereitschaft, aus Sicherheitsvorfällen zu lernen. „Der Wandel beginnt also nicht bei der Technik, sondern im Denken!“

Nicht zuletzt werde sichtbar, wo die EU offensichtlich noch Nachholbedarf hat: „Die Umsetzung verläuft national sehr unterschiedlich – mit weitreichenden Folgen für international tätige Finanzunternehmen.“ Während Länder wie Deutschland, die Niederlande oder Luxemburg proaktiv handelten und konkrete Leitlinien erlassen hätten, blieben andere Mitgliedstaaten hinter den Erwartungen zurück. Dies berge die Gefahr „regulatorischer Unwucht“ und begünstige sogenannte Arbitrage-Effekte – also das gezielte Ausweichen in Länder mit laxerer Aufsicht.

EU-Rahmenwerke sollen Unternehmen Orientierung und Verbindlichkeit bieten – insbesondere in Kritischen Sektoren wie dem Finanzwesen

Mit DORA und der parallel wirkenden NIS2-Richtlinie etabliere Europa wichtige Rahmenwerke, welche Unternehmen Orientierung und Verbindlichkeit geben sollten – insbesondere in Kritischen Sektoren wie dem Finanzwesen. „Doch Regelwerke allein schaffen noch keine Sicherheit!“

Entscheidend sei, dass Unternehmen den Geist dieser Vorschriften verinnerlichten, unterstreicht Krämer zum Abschluss und rät zu einer gelebten Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und nicht zuletzt zu regelmäßige Schulungen, um das Sicherheitsbewusstsein aller Mitarbeiter stärken. „Nur so lässt sich die digitale Resilienz erreichen, die Europa in Zeiten wachsender Cyber-Bedrohungen dringend braucht!“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 13.04.2025
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung / DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

[datensicherheit.de, 07.04.2025] „Der Finanzdienstleistungssektor befindet sich an einem kritischen Punkt, da er zunehmend gezwungen ist, neue Spitzentechnologie, wie Künstliche Intelligenz (KI), einzusetzen, um wettbewerbsfähig zu bleiben“, so Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Daher nutzten viele Unternehmen bereits Große Sprachmodelle und Abrufgestützte Generierung, um Innovationen voranzutreiben und das Kundenerlebnis zu verbessern. „Um die Vorteile aber in Ruhe nutzen zu können, müssen sich die Firmen den Herausforderungen stellen, vor allem in Bezug auf die Sicherheit und Belastbarkeit von KI-Systemen!“

Foto: Check Point Software

Marco Eggerling: Die Zukunft der KI im Finanzdienstleistungssektor wird ein Vorbild für andere Branchen sein…

Finanzinstitute: Wandel hin zu KI-gesteuerten Innovationen

Finanzinstitute investieren demnach in erheblichem Umfang in Generative KI (GenAI): „Prognosen zeigen einen starken Anstieg der KI-Ausgaben im Finanzsektor und die Investitionen zwischen 2023 und 2024 sind mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 30,7 Prozent auf über 1,4 Milliarden US-Dollar gestiegen.“

Dieser Anstieg sei auf die Notwendigkeit zurückzuführen, Abläufe zu rationalisieren, die Entscheidungsfindung zu beschleunigen und das Kundenerlebnis zu verbessern. KI-Schlüsseltechnologien wie LLMs, Retrieval-Augmented Generation und „Cloud Computing“ revolutionierten die Arbeitsweise von Finanzinstituten und könnten ihnen helfen, neue Effizienzpotenziale zu erschließen, Dienstleistungen zu verfeinern und innovative Lösungen zu entwickeln.

„Aber: Die Vernetzung von KI-Systemen in Verbindung mit der zunehmenden Komplexität der finanztechnischen Infrastruktur bietet Schwachstellen, die von Cyber-Kriminellen ausgenutzt werden können.“ Die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit Generativer KI-Anwendungen sei von größter Bedeutung. Diese Anwendungen – von den Plattformen selbst bis hin zu Maschinellen Lernmodellen, „Cloud“-Ressourcen und Datenintegrität – stellten neue Vektoren für Cyber-Angriffe dar.

Nutzung der Cyber-Sicherheitsexpertise zur KI-Integration

„Kluge Finanzinstitute überstürzen die Einführung von KI nicht ohne sorgfältige Überlegungen und umfangreiche Tests. Sie nutzen ihre vorhandenen Stärken im Risikomanagement und in der Cyber-Sicherheit, um Bedrohungen zu mindern und die Datensicherheit zu gewährleisten.“ Einer der großen Vorteile der Initiativen zur Digitalen Transformation, auf die sich die IT-Abteilungen seit mehr als einem Jahrzehnt konzentrieren, besteht laut Eggerling darin, dass die bei diesem Technologiewandel gewonnenen Erkenntnisse nun auch auf die sichere Einführung und Umsetzung Generativer KI angewendet werden können.

Eine Schlüsselstrategie für die sichere Integration von KI sei die Schaffung einer engagierten KI-Führung mit einer klaren Vision und Strategie. Diese Führung treibe die organisatorischen Strukturänderungen voran, welche für den sicheren Einsatz von KI-Technologien erforderlich seien.

Darüber hinaus sei die Einführung von Plattformtechnologien, „die ein Cyber-Sicherheitsnetz und Zero-Trust-Prinzipien unterstützen“, von entscheidender Bedeutung, um sicherzustellen, dass KI-Systeme gegenüber internen und externen Bedrohungen widerstandsfähig sind. „Zero-Trust- und Cyber-Security-Mesh-Architekturen sind besonders wirksam.“ Diese „Frameworks“ böten eine kontinuierliche Validierung von Benutzern und Geräten und stellten sicher, dass nur autorisierte Personen auf sensible Daten und Systeme zugreifen könnten.

KI und Maschinelles Lernen bei Finanzdienstleistern

Mit der zunehmenden Einführung von KI müssten Finanzdienstleister auch ihre Sicherheitsabläufe anpassen, um den einzigartigen Herausforderungen von KI und Maschinellem Lernen gerecht zu werden. Herkömmliche Cyber-Sicherheitskonzepte reichten möglicherweise nicht mehr aus, da KI-Systeme neue Komplexitäten und Risiken mit sich brächten, welche während des gesamten KI-Lebenszyklus beachtet werden müssten.

„Finanzinstitute setzen häufig KI-basierte, maschinell lernende Sicherheitsverfahren ein, um Sicherheitsbedrohungen in Echtzeit zu erkennen, darauf zu reagieren und sie zu entschärfen. Diese Verfahren basieren auf datengesteuerten Erkenntnissen und fortschrittlichen Algorithmen zur Erkennung von Bedrohungen, die es Finanzunternehmen ermöglichen, Schwachstellen zu beseitigen und ihre generativen KI-Anwendungen zu schützen.“ Angesichts der zunehmenden Raffinesse von Cyber-Angriffen sei die Nutzung von KI für die Sicherheit ein entscheidender Faktor, da sie verbesserten Schutz biete und gleichzeitig schnelle Reaktionszeiten auf neue Bedrohungen ermögliche.

KI-Sicherheitsoperationen mit Maschinellem Lernen ermöglichten es Finanzunternehmen zudem, Risiken in großem Umfang zu verwalten. Durch die Automatisierung der Erkennung von Anomalien, die Bewertung des Verhaltens von KI-Systemen und die Verbesserung der Reaktionszeiten auf Vorfälle könnten Unternehmen ihre allgemeine Cyber-Sicherheitslage verbessern. Eggerling führt aus: „Ein Ansatz für das KI-Lebenszyklusmanagement, dessen Grundlage die Risiko-Bewertung ist, stellt sicher, dass KI-Anwendungen auf eine Weise entwickelt, bereitgestellt und kontinuierlich überwacht werden, die mit bewährten Sicherheitspraktiken übereinstimmt.“

Einhaltung der Vorschriften und Governance: Zunehmend komplexes regulatorisches KI-Umfeld

Parallel zur Einführung von „Frameworks“ müssten sich Finanzinstitute in einem zunehmend komplexen regulatorischen Umfeld rund um KI zurechtfinden. Im Zuge der Weiterentwicklung von KI-Technologien arbeiteten Regulierungsbehörden auf der ganzen Welt daran, klare Richtlinien für ihre ethische und sichere Nutzung aufzustellen. „In den Vereinigten Staaten beispielsweise hat das National Institute of Standards and Technology (NIST) ein KI-Risikomanagement-Framework (AI RMF) entwickelt, das Unternehmen beim Umgang mit KI-Risiken helfen soll.“

Darüber hinaus führe das EU-Gesetz über Künstliche Intelligenz, das ab 2025 strengere KI-Vorschriften durchsetzen solle, ein KI-Klassifizierungssystem ein, welches auf Risiko-Bewertungen basiere – „insbesondere für den Finanzsektor, in dem KI-Anwendungen als hochriskant gelten“.

Eggerling stellt klar: „Finanzunternehmen müssten daher sicherstellen, dass sie diese ,Frameworks’ und Standards einhalten, welche Richtlinien für ,Data Governance’, Transparenz, Sicherheit und menschliche Aufsicht über KI-Systeme vorgeben.“ Führende Finanzinstitute richteten ihre Abläufe bereits am „NIST AI RMF“ und anderen Konzepten aus, um sicherzustellen, dass ihre KI-Systeme transparent, rechenschaftspflichtig und widerstandsfähig gegenüber Cyber-Bedrohungen blieben. „Sie ernten verbesserte betriebliche Effizienz, Entscheidungsfindung, optimierte Kundenerfahrungen und einen Wettbewerbsvorteil in einer sich schnell entwickelnden Branche“, unterstreicht Eggerling. Diese Vorteile könnten jedoch nur durch einen methodischen Ansatz bei der Einführung von KI realisiert werden, „bei dem Risiko-Bewertung, Cyber-Sicherheit, Ausfallsicherheit und die Einhaltung gesetzlicher Vorschriften im Vordergrund stehen“.

KI-Einsatz mit Bedacht: Aufruf zum Handeln an Führungskräfte der Finanzdienstleistung

Die Möglichkeiten, KI im Finanzdienstleistungssektor zu nutzen, seien immens, aber sie müssten mit Bedacht und unter Berücksichtigung der Sicherheit verfolgt werden. Finanzinstitute müssten ihre Cyber-Sicherheit anpassen und entwickeln, „indem sie innovative Plattformtechnologien und KI-gesteuerte Sicherheitsmaßnahmen einführen, welche die Vertraulichkeit, Integrität und Verfügbarkeit von KI-Anwendungen gewährleisten“.

Der Wunsch, KI in den Geschäftsbetrieb zu integrieren, sei groß, und der Wandel werde nicht ohne Herausforderungen möglich sein. Finanzunternehmen müssten KI jedoch sicher integrieren und skalieren, „indem sie eine Strategie anwenden, bei der die KI vertrauensvoll in die Struktur ihrer Abläufe eingebettet wird“. Führungskräfte im Finanzdienstleistungssektor sollten sich mit vertrauenswürdigen Sicherheitsexperten zusammenschließen, um spezifische Anwendungsfälle zu definieren und zu verfeinern, „damit sie sicherstellen, dass die richtigen Governance-, Rechts- und Compliance-Rahmenbedingungen für ihre KI-Initiativen vorhanden sind“.

Eggerlings abschließender Kommentar: „Die Zukunft der KI im Finanzdienstleistungssektor wird dabei ein Vorbild für andere Branchen sein, und diejenigen, die sie mit Weitsicht und Sorgfalt meistern, werden sich als Branchenführer durchsetzen, denn Finanzdienstleister verarbeiten riesige Mengen hochsensibler Daten, darunter auch persönliche Daten und Transaktionshistorien.“ KI-Sicherheit sollte deshalb für sie nicht nur als technisches Thema gelten, sondern als grundlegende Geschäftsanforderung, die einen direkten Einfluss auf das Vertrauen von Kunden und Anlegern, die finanzielle Stabilität und die laufende Einhaltung von Vorschriften hat.

Weitere Informationen zum Thema:

Latest Global Market Insights By The Business Research Company, 27.11.2024
Generative Artificial Intelligence (AI) In Financial Services Market Key Insights 2024-2033: Growth Rate, Trends And Opportunities

NIST, Information Technology Laboratory
AI RMF Development

The EU Artificial Intelligence Act
Up-to-date developments and analyses of the EU AI Act

datensicherheit.de, 06.12.2024
Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen / Cyber-Sicherheit als Rückgrat des modernen Bankwesens basiert auf Vertrauen und zuverlässiger digitaler Technologie

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

[datensicherheit.de, 06.02.2025] Seit dem 17. Januar 2025 sind Unternehmen des europäischen Finanzsektors verpflichtet, die Anforderungen des „Digital Operational Resilience Act“ (DORA) zu erfüllen. „Diese Verordnung ist eine Reaktion auf die zunehmenden Cyber-Bedrohungen für die Finanzdienstleistungsbranche und zielt darauf ab, die Widerstandsfähigkeit dieser Branche gegen Cyber-Angriffe zu stärken.“ Warum DORA Herausforderungen mit sich bringt und was Unternehmen tun können, um sie einzuhalten, erörtert Andre Schindler, „General Manager EMEA und SVP Global Sales“ bei NinjaOne, in seiner aktuellen Stellungnahme:

DORA schreibe robuste IT-Risikomanagement- und Vorfallmeldeprozesse vor

DORA schreibe robuste IT-Risikomanagement- und Vorfallmeldeprozesse vor, was viele Finanzunternehmen vor Herausforderungen stelle. „Das liegt daran, dass zahlreiche Unternehmen im Finanzsektor immer noch veraltete IT-Systeme benutzen, die nicht in der Lage sind, die hohen Anforderungen von DORA zu erfüllen, wie z.B. die durchgehende Überwachung von den IT- und OT-Systemen“, so Schindler.

Das Ersetzen der alten Systeme durch neue sei kostspielig und setze besonders kleinere Unternehmen stark unter Druck. Auch der Mangel an IT-Fachkräften erschwere die Umsetzung und die Einhaltung der hohen Anforderungen. Eine Verbesserung sei hier leider nicht in Sicht – „im Gegenteil, eine Bitkom-Studie zeigt, dass sich die Situation in den nächsten Jahren noch verschärfen wird!“

Finanzunternehmen sollten u.a. DORA auch als Chance sehen, ihre eigene IT-Infrastruktur robuster gegen Cyber-Angriffe zu gestalten

Es gebe allerdings auch Maßnahmen, die Finanzunternehmen ergreifen könnten, um diese Probleme zu bewältigen – zum Beispiel die Einführung eines automatisierten Endpunktmanagements. „Durch dessen Einsatz erreicht man die notwendige Transparenz, Kontrolle und Sicherheit für alle Endpunkte – einschließlich Server, Laptops oder PCs und mobile Geräte, die ein Risiko für Finanzinstitute und ihre Nutzer darstellen könnten.“ Eine weitere Maßnahme sei ein automatisches Patching zur Verwaltung von Schwachstellen, Backups zur Wiederherstellung von Daten im Falle eines Angriffs sowie automatisierte Erkennung und Reaktion.

Da Risiken für die Cyber-Sicherheit immer weiter zunähmen, sollten Finanzunternehmen Vorschriften wie DORA auch als Chance sehen, ihre eigene IT-Infrastruktur robuster gegen Cyber-Angriffe zu gestalten. Der Schutz vor Cyber-Angriffen sei wichtiger denn je – laut eines Berichts des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hätten sich die Aggressivität sowie die Raffinesse Cyber-Krimineller in den letzten Jahren deutlich erhöht. „Es ist deshalb zu erwarten, dass in Zukunft noch mehr Branchen der Kritischen Infrastruktur diese Rahmenregelungen übernehmen werden“, gibt Schindler abschließend zu bedenken.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, Oktober 2024
DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2024

bitkom, 11.04.2024
Mangel an IT-Fachkräften droht sich dramatisch zu verschärfen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

[datensicherheit.de, 21.01.2025] Auch Dean Watson, „Lead Solutions Expert Secure Networking“ bei Infinigate, widmet seine aktuelle Stellungnahme dem im Jahr 2020 eingeführten und 2023 in Kraft getretenen „Digital Operational Resilience Act“ (DORA) – dass dessen Regeln nun europaweit griffen, sei eigentlich hinlänglich bekannt. „Und doch stellt die neue Verordnung, die nun am 17. Januar 2025 verpflichtend wurde, viele Unternehmen vor große Herausforderungen. DORA markiert einen Wendepunkt für die digitale Sicherheit im europäischen Finanzsektor.“ Denn diese EU-Verordnung ziele in erster Linie darauf ab, die Widerstandsfähigkeit von Finanzinstituten gegenüber IT-Risiken und Cyber-Bedrohungen deutlich zu stärken. Allerdings betreffe sie nicht nur Banken, Versicherungen und Wertpapierfirmen, sondern auch Zahlungs- und IT-Dienstleister. „Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen“, erläutert Watson.

Foto: Infinigate

Dean Watson: DORA ermöglicht die Modernisierung von Systemen und Prozessen, was zu einer höheren Effizienz und besserer Skalierbarkeit führt

Schonfrist für die Einhaltung von DORA nun abgelaufen

Die DORA-Herausforderungen seien beachtlich – und dies nicht nur, weil die Schonfrist für die Einhaltung von DORA nun abgelaufen sei: „Unternehmen, die im Finanzdienstleistungssektor tätigt sind oder ITK-Dienstleistungen für diese Branche erbringen, sind verpflichtet, sich an die Anforderungen der Verordnung zu halten.“ Diese müssten ein umfangreiches IT-Risikomanagement etablieren, strenge Meldepflichten für IT-Vorfälle einführen und regelmäßige Resilienztests durchführen.

Um Einiges komplexer gestalte sich das DORA-Management von Drittanbietern: „Unternehmen müssen bis zum 30. April 2025 ein vollständiges Register aller vertraglichen Vereinbarungen mit ihren IT-Dienstleistern erstellen.“ Sogenannte Kritische Drittanbieter unterlägen dabei einer direkten Aufsicht durch europäische Behörden und hätten zusätzliche Sicherheits- und Berichtsstandards zu erfüllen. „Weigern sie sich, sind allein die finanziellen Folgen beträchtlich: Bußgelder können bis zu zwei Prozent des weltweiten Jahresumsatzes eines Finanzunternehmens oder bis zu zehn Millionen Euro betragen.“

Diese drohten, wenn größere ITK-bezogene Vorfälle oder Bedrohungen nicht gemeldet würden. Haftbar sind bei Nichteinhaltung der Vorschriften außerdem auch Drittanbieter von ITK-Diensten. Hierbei könnten DORA-Geldbußen von bis zu einem Prozent des durchschnittlichen täglichen weltweiten Umsatzes für jeden einzelnen Tag der Nichteinhaltung verhängt werden.

Nichteinhaltung von DORA kann nicht nur finanzielle Folgen haben

Die potenziellen DORA-Bußgelder bedeuteten in der Praxis hohe Investitionen in IT-Infrastruktur bei komplexen rechtlichen Anforderungen – und einem Mangel an qualifiziertem Personal. Die operativen und finanziellen Herausforderungen dürften insbesondere kleine Unternehmen auf die Probe stellen.

Denn die Nichteinhaltung kann nicht nur finanzielle Folgen haben: Neben hohen Geldbußen drohten Reputationsschäden, eingeschränkte Marktchancen und verstärkte regulatorische Überwachung. Auch erhöhe Versicherungskosten und rechtliche Konsequenzen seien möglich.

„Spezifische Herausforderungen ergeben sich dabei für IT-Dienstleister: Sie müssen nicht nur ihre eigenen Systeme DORA-konform gestalten, sondern auch ihre Dienste an die strengen Anforderungen ihrer Kunden aus dem Finanzsektor anpassen.“ Dies betreffe insbesondere „Cloud“-Provider, Rechenzentren und „Managed Service“-Provider.

DORA sowohl Herausforderung als auch Chance zur Transformation

Trotz aller Herausforderungen sollte DORA nicht nur als regulatorische Pflicht betrachtet werden, sondern als Chance, die Digitale Transformation durch eine bessere IT-Sicherheitsstrategie zu beschleunigen und das Vertrauen der Kunden zu stärken.

„Wird diesem Projekt ein ganzheitlicher Ansatz zugrunde gelegt, ermöglicht DORA die Modernisierung von Systemen und Prozessen, was zu einer höheren Effizienz und besserer Skalierbarkeit führt. Werden automatisierte Workflows und digitale Abläufe implementiert, können proaktive Strategien zur Schadensbegrenzung zum Einsatz kommen.“

Als strategische Partner könnten „Value Add“-Distributoren in den Bereichen „Digital Operation Resilience Testing“, „Third-Party Risk Management“ sowie „Training“ und „Awareness“ unterstützen – etwa durch Lösungen zur Automatisierung regelmäßiger Tests, zur Bereitstellung einer 360°-Sichtbarkeit der Umgebungen, zur Implementierung von Mikrosegmentierung und API-Schutz für ihre Systeme sowie zur Durchführung umfassender Schulungen in den Bereichen „Security-Awareness“ und „Compliance“.

Weitere Informationen zum Thema:

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

[datensicherheit.de, 16.01.2025] „Mit dem endgültigen Inkrafttreten des Digital Operational Resilience Act (DORA) am 17. Januar 2025 stehen Finanzinstitute in der gesamten EU vor der dringenden Aufgabe, ihre Cyber-Sicherheit und operative Widerstandsfähigkeit maßgeblich zu stärken“, betont Peter Machat, „Senior Director EMEA Central“ bei Armis, in seiner aktuellen Stellungnahme. DORA führe umfassende Anforderungen ein, welche von der Meldung von Sicherheitsvorfällen bis zum Management von Risiken entlang der Lieferkette reichten. Ziel sei es, den Finanzsektor besser vor den stetig wachsenden Cyber-Bedrohungen zu schützen. „Trotz der klaren Frist sind viele Organisationen weiterhin unzureichend vorbereitet, was sowohl zu Compliance-Verstößen als auch zu gravierenden Sicherheitslücken führen kann“, warnt Machat.

Foto: Armis

Peter Machat: DORA stärkt nicht nur operative Widerstandsfähigkeit, sondern bietet Finanzinstituten und „Fintechs“ auch einen strategischen Vorteil

Zentraler Aspekt von DORA ist die verpflichtende kontinuierliche Überwachung von IT-, OT- und anderen vernetzten Systemen

Dieses regulatorische Rahmenwerk stelle nicht nur hohe Anforderungen, sondern biete Finanzinstituten auch eine Möglichkeit, die Stabilität ihrer digitalen Infrastrukturen gegen externe Störungen zu sichern. Ein zentraler Aspekt von DORA sei die verpflichtende kontinuierliche Überwachung von IT-, OT- und anderen vernetzten Systemen, um Cyber-Risiken frühzeitig zu identifizieren und zu minimieren. Viele Finanzdienstleister und sogenannte Fintech-Unternehmen verfügten jedoch bislang nicht über die notwendige Infrastruktur und die geeigneten Prozesse, um diesen Anforderungen gerecht zu werden.

Die zunehmende Komplexität moderner IT-Umgebungen, verstärkt durch den Einsatz von IoT- und Cloud-Technologien, stelle dabei eine erhebliche Herausforderung dar. Versäumnisse bei der Schließung dieser Lücken könnten nicht nur finanzielle Bußen und Reputationsverluste, sondern auch Unterbrechungen Kritischer Dienste nach sich ziehen. „Angesichts der näher rückenden Frist sind Finanzinstitute gefordert, ihre Bemühungen zur Einhaltung der Vorgaben zu intensivieren – insbesondere in den Bereichen ,Asset’-Transparenz, Risikobewertung und Lieferkettenmanagement.“

DORA-Richtlinien unterstreichen zunehmende Bedeutung operativer Resilienz

Die DORA-Richtlinien unterstrichen die zunehmende Bedeutung operativer Resilienz und robuster Cyber-Sicherheitsmaßnahmen. Viele Organisationen stünden jedoch bereits vor der grundlegenden Herausforderung, welche in ihren wachsenden IT-Umgebungen vorhandenen „Assets“ zu identifizieren und effizient zu verwalten. Die Frage „Welche ,Assets’ haben wir?“ bildee dabei die Grundlage für Sicherheitsteams, um Prozesse wie „Asset“-Identifikation, Bedrohungserkennung, Schwachstellen-Priorisierung und deren Behebung effektiv umzusetzen.

Ein ganzheitlicher und proaktiver Ansatz sei entscheidend, um die potenziellen geschäftlichen Auswirkungen eines Cyber-Vorfalls zu minimieren. „Anbieter wie Armis bieten hierbei maßgeschneiderte Lösungen, die Transparenz in IT-, OT- und IoT-Umgebungen schaffen und eine proaktive Risikominderung unterstützen.“ Diese Fähigkeiten seien optimal auf die zukunftsweisenden Vorgaben von DORA abgestimmt und ermöglichten es Sicherheitsteams, die gesamte Angriffsfläche ihrer Organisation in Echtzeit zu überwachen und zu steuern.

Organisationen können mittels DORA-Befolgung nicht nur Betriebsabläufe absichern, sondern auch Compliance-Anforderungen erfüllen

Die Integration von Asset-Management, Bedrohungserkennung, Schwachstellenpriorisierung und -behebung stärke nicht nur die operative Widerstandsfähigkeit, sondern biete Finanzinstituten und „Fintechs“ auch einen strategischen Vorteil.

„Durch die Implementierung robuster Strategien zur Erkennung und Abwehr von Cyber-Bedrohungen können Organisationen nicht nur ihre Betriebsabläufe absichern, sondern auch die Compliance-Anforderungen erfüllen und das Vertrauen in einer sich wandelnden digitalen Welt aufrechterhalten“, kommentiert Machat abschließend.

Weitere Informationen zum Thema:

ARMIS
Solutions // Frameworks / The Path to DORA (Digital Operational Resilience Act) / Securing the Financial Services Frontier with Cyber Compliance

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cyber-Sicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 05.12.2024] Zwischen 2023 und 2024 sollen laut einer aktuellen Studie 79 Prozent der Finanzeinrichtungen weltweit mindestens einen Cyber-Angriff identifiziert haben (2023: 68%). Hierzulande berichtete die BaFin über 235 Meldungen schwerwiegender IT-Probleme im Jahr 2023 – fünf Prozent davon gingen auf die Kappe von Cyber-Angreifern. Tiho Saric, „Senior Sales Director“ von Gigamon, erörtert in seiner aktuellen Stellungnahme, „welchen Risiken sich der Finanzsektor im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die ,Cloud’ stellen muss“.

Foto: Gigamon

Tiho Saric warnt: Vor allem der laterale „Ost-West-Traffic“ ist ein beliebter Angriffsvektor für Cyber-Kriminelle!

Finanzsektor beliebtes Ziel für einzelne Cyber-Akteure, Gruppierungen sowie „Nation State“-Angreifer

Der Finanzsektor sei ein beliebtes Ziel für einzelne Cyber-Akteure, Gruppierungen sowie sogenannte Nation-State-Angreifer. Saric erläutert: „Grund dafür sind nicht nur all die sensiblen Informationen, mit denen Banken und Fintechs tagtäglich arbeiten, sondern auch die zunehmende Vernetzung der Branche.“

So habe die Mehrheit deutscher Verbraucher im letzten Jahr – 2023 – zwar noch immer die Barzahlung (51%) bevorzugt, kontakt- und bargeldlose Transaktionen hätten allerdings zugenommen. „In 27 Prozent der Bezahlvorgänge nutzen sie Debit; mobiles Bezahlen verdreifacht sich auf sechs Prozent.“

Obwohl unter anderem das BSI und die BaFin neue Standards und Richtlinien zum Schutz der Informationssysteme herausgäben, bleibe die systemische Vernetzung des Finanzsektors eine Herausforderung. Dies zeigten die jüngsten Angriffe auf Branchenvertreter wie die Postbank und Deutsche Bank oder DG Immobilien Management (Immobilientochter der DZ-Bank).

Über den „Seiteneingang“: Cyber-Kriminelle schleichen sich ein

Saric berichtet: „Diese Entwicklung wurde in den vergangenen Jahren vor allem durch den Erfolg von Fintechs befeuert, die von Grund auf digitaler denken und vornehmlich auf ,Cloud’-Infrastrukturen sowie SaaS-Banking-Lösungen setzen.“ Dies zwinge traditionelle Finanzeinrichtungen dazu, mitzuhalten und stärker in ihre Digitalisierung – einschließlich moderner Public-, Private-, Hybrid- und Multi-„Cloud“-Umgebungen – zu investieren. „Zwar bietet ihnen das unter anderem mehr Flexibilität und eine schnellere ,Time-to-Market’, gleichzeitig wächst dadurch aber auch das Sicherheitsrisiko.“

Vor allem der sogenannte laterale Ost-West-Traffic sei ein beliebter Angriffsvektor für Cyber-Kriminelle. „Dabei machen sie Schwachstellen in der Verteidigung ausfindig, verschaffen sich Zugang zu anfälligen ,Cloud’-Hosts und bewegen sich dann seitlich durch das Netzwerk von Host zu Host, um den besten Ort zu finden, wo sie sich unentdeckt einnisten können. Solche Orte werden auch als ,Blind Spots’ bezeichnet.“ Dort verharrten sie nicht selten monatelang, machten sich mit ihrer Umgebung vertraut und planten die beste Strategie für den eigentlichen Angriff.

Viele Unternehmen gingen davon aus, dass „Cloud“-Anbieter auf ihren Plattformen „bereits ausgiebig für Sicherheit vor solch ausgeklügelten Angriffstaktikten sorgen und implementieren die für ihren Schutz notwendigen Kontrollen und Tools nicht oder selten“. Aufgrund dessen hätten viele von ihnen „auf die harte Tour lernen“ müssen, dass ihnen ein beträchtlicher Teil der Verantwortung selbst obliege.

Klassische Cyber-Sicherheitslösungen des Finanzsektors reichen schon lange nicht mehr aus

Wie die meisten Unternehmen sähen sich auch die IT-Abteilungen von Finanzeinrichtungen einer IT-Landschaft gegenüber, welche immer weiterwachse und sich zunehmend verteile. „Folglich steigen die Komplexität sowie das Risiko der ,Blind Spots’, je mehr Daten und Anwendungen sich an verschiedenen Orten befinden.“

Die klassischen Sicherheitslösungen des Finanzsektors reichten für eine solche Umgebung schon lange nicht mehr aus. In den meisten Fällen seien sie veraltet – „und wurden ursprünglich für eine lokale Netzwerkumgebung entwickelt“. Außerdem führten sie oftmals nur MELT-Monitoring (metrik-, event-, log- und tracebasiert) durch. „Doch MELT sind manipulierbar, weshalb eine zweite ,Source of Truth’ unerlässlich ist. Hier kommt ,Deep Observabiltiy’, die bis zur Netzwerkebene reicht, ins Spiel und gemeinsam mit MELT ein sicheres Netzwerkpaket bildet.“ Denn Finanzeinrichtungen müssten insbesondere einen Weg finden, ihren „Ost-West-Traffic“ genauso wie den in „Nord-Süd-Richtung“ zu beobachten, zu analysieren und zu schützen.

Saric betont abschließend: „Nur wer seinen Netzwerkverkehr– sowohl innerhalb der lokalen als auch in der ,Cloud’-Umgebung – vollständig einsehen kann und dieses Wissen mit MELT-basierten Informationen anreichert, kann ,Blind Spots’ beseitigen. Ausgestattet mit fortschrittlichen Monitoring-Lösungen, die diese Sichtbarkeit bis hinunter auf Netzwerkebene gewährleisten, erreichen Finanzeinrichtungen ein hohes Sicherheitsniveau, das es ihnen erlaubt, auf eine digitale Zukunft mit der ,Cloud’ zuzusteuern.“

Weitere Informationen zum Thema:

FONDS professionell ONLINE, 11.07.2024
Bafin: Risiko für Cyberangriffe bei Banken ist hoch

RHEINISCHE POST, Martin Kessler, 23.06.2024
Cyberattacke Volksbanken-Kunden wurden Opfer von Hackern

netwrix, 01.05.2024
Netwrix Annual Security Survey: 79% of Organizations Spotted a Cyberattack within the Last 12 months, up from 68% in 2023

tagesschau, 11.07.2023
Hacker-Angriff / Daten von Tausenden Bankkunden abgegriffen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

[datensicherheit.de, 31.10.2024] Ab Januar 2025 wird in der EU eine neue Verordnung gelten, welche dazu beitragen soll, die digitale Widerstandsfähigkeit von Finanzinstituten zu schützen: Der „Digital Operational Resilience Act“ (DORA) verlangt dann von Unternehmen aus dem Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen. „Sie müssen dafür sorgen, dass ihr Betrieb auch bei einem IT-Vorfall weiterläuft und die wichtigsten Systeme schnellstmöglich wieder instandgesetzt werden“, kommentiert Birol Yildiz, Gründer und CEO des Kölner SaaS-Unternehmens ilert, und warnt: „Bei Nichteinhaltung drohen hohe Strafen!“ Es sei daher wichtig, dass Unternehmen und ihre Drittanbieter Störungen geschwind und effektiv identifizierten, managten und aus ihnen lernten. Ein gut funktionierendes „Incident Management“ werde hierfür zur Grundvoraussetzung.

Foto: ilert

Birol Yildiz rät von DORA betroffenen Unternehmen zum strukturierten, umfassenden „Incident Management“

DORA verpflichtet Finanzunternehmen und Dienstleister zum effektiven „Incident Management“

„Finanzdienstleister sollten daher heute damit beginnen, mithilfe von Plänen die Weichen zu stellen, um Kritische Strukturen nach einem Störfall rasch wiederherstellen zu können“, empfiehlt Yildiz. Zudem sollte das eigene „Incident Management“ mithilfe von „drei strategischen Hacks“ auf den neuesten Stand gebracht werden und sich so auf das DORA-Inkrafttreten vorbereitet werden. DORA verpflichte nämlich ab Januar 2025 Finanzunternehmen und ihre Dienstleister zu einem effektiven „Incident Management“.

1. strategischer Hack zur DORA-Einführung: Ein Plan für den Ernstfall

Yildiz führt aus: „Eine der wichtigsten Anforderungen der neuen DORA-Verordnung ist die Klassifizierung von Vorfällen nach Schweregrad, Auswirkung und Dauer. Um einzuschätzen, ob eine Störung als ,signifikant’, ,bedeutsam’ oder ,geringfügig’ einzustufen ist und entsprechend reagieren zu können, bedarf es einer vorausschauenden Planung und passender Lösung.“ Für die Analyse und Bewertung von Störfällen helfe es, im Voraus bereits „Incident Response“-Pläne zu erstellen. Diese sollten den gesamten Incident-Lifecycle behandeln und dabei jede Phase eines Zwischenfalls berücksichtigen – von der Identifikation des Problems über die Eindämmung der Auswirkungen und die Beseitigung der Ursache bis hin zur vollständigen Reparatur der betroffenen Infrastrukturen.

„Denn besonders drastische Ereignisse unterliegen strengen Meldepflichten und müssen unverzüglich an die zuständigen Behörden berichtet werden!“ Die Klassifizierung stelle sicher, dass im Falle eines Vorfalls die vorhandenen Ressourcen effizient eingesetzt und zuerst die wichtigsten Systeme schnell wieder zum Laufen gebracht werden könnten, um größere und langfristige Schäden zu vermeiden. So ließen sich beispielsweise Kritische Datenbanken oder Kundensysteme schneller schützen und könnten bei der Lösung des Problems bevorzugt behandelt werden.

„Darüber hinaus helfen ,Incident Response’-Pläne auch bei der Dokumentation von Zwischenfällen. Das bedeutet, dass alle Schritte und Maßnahmen schriftlich festgehalten sind.“ Da sich Bedrohungsszenarien und Ereignismuster ständig änderten, gelte es, die Konzepte außerdem regelmäßig zu überprüfen und zu aktualisieren. Ein „Incident Management“-Tool könne dabei helfen, diese Prozesse effizient und nachvollziehbar für alle zu gestalten.

2. strategischer Hack zur DORA-Einführung: Offene Kommunikation in der Krise

Um die Anforderungen von DORA erfolgreich umzusetzen, sei im zweiten Schritt ein klarer Informationsaustausch von großer Bedeutung. „Aus dem Grund sollten innerhalb des Unternehmens eindeutige Abläufe definiert werden, damit im Notfall jeder Mitarbeitende genau weiß, was zu tun und jede Abteilung informiert ist.“

Yildiz betont: „Nur wenn alle Beteiligten wissen, wer welche Aufgaben übernimmt, sie ihre Rollen in einer Krisensituation kennen und entsprechend handeln, geht keine wertvolle Zeit verloren. Außerhalb der eigenen Organisation sei es ebenso relevant, „dass es gut organisierte Meldeprozesse gibt“. Schließlich müssten Unternehmen Informationen schnell und präzise an die zuständigen Stellen und externe Partner, wie z.B. Dienstleister, weitergeben.

Darüber hinaus sei auch Transparenz in der Zusammenarbeit entscheidend. Es gehe darum, mit allen mitwirkenden Akteuren – ob Mitarbeitern, Kunden, Partnerunternehmen oder Behörden – offen und klar zu kommunizieren, „damit alle auf dem gleichen Stand sind“. Nur so ließen sich Probleme im Ernstfall bei allen Beteiligten zügig lösen.

3. strategischer Hack zur DORA-Einführung: Simulation statt Spekulation

„Da Störfälle im besten Fall nicht an der Tagesordnung sind, lohnt es sich, regelmäßig Testläufe und Simulationen durchzuführen. Denn so wird sichergestellt, dass die ,Incident Response’-Pläne noch immer greifen.“ Sollten Lücken oder Probleme in der Strategie auftauchen, könnten diese frühzeitig erkannt und behoben werden – „bevor der Ernstfall eintritt!“.

Bei einem Simulationslauf werde ein „Incident“ in einer kontrollierten Umgebung nachgestellt. Diese Tests ließen sich sowohl für IT-Systeme als auch für Prozesse durchführen. Dabei könne das zuständige Team die Reaktionen und Notfallpläne in Echtzeit üben. „Die Netzwerke stehen währenddessen unter ständiger Überwachung, um sicherzustellen, dass sie wie geplant in Stand gesetzt werden können.“ Ziel dieser Übungen und Pläne sei es, Ausfallzeiten auf ein Minimum zu reduzieren und eine schnelle Reaktivierung des Betriebs zu gewährleisten.

Dieser Aspekt sei auch für die neuen Bestimmungen relevant, „denn mit DORA sind Finanzinstitute dazu verpflichtet, Kontinuitäts- und Wiederherstellungspläne zu entwickeln“. Denn es müsse garantiert sein, dass Kritische Anlagen nach einer Störung schnell wieder zum Laufen gebracht werden könnten. Diese Vorgehensweisen seien regelmäßig zu untersuchen und anhand der neuesten Erkenntnisse aus realen Vorfällen oder Überprüfungen anzupassen, um den gesetzlichen Anforderungen zu entsprechen.

„Incident Management“: Nach DORA-Einführung unverzichtbar

„Damit Finanzdienstleistungsunternehmen also nicht an der zukünftigen Regulierung scheitern oder mit hohen Strafzahlungen konfrontiert werden, lohnt sich ein gut strukturiertes ,Incident Management’, das den gesamten ,Incident’-Lifecycle abdeckt“, so Yildiz’ Fazit. Nur so würden Störungen systematisch bewertet, die schnelle Kommunikation und Fehlerbehebung im Team gewährleistet und alle Schritte lückenlos dokumentiert.

„Mit entsprechenden Tools, die alle Prozesse aus einer Hand abdecken, können zudem Wiederherstellungspläne fortlaufend getestet und an aktuelle Bedrohungsszenarien angepasst werden, um die Geschäftskontinuität stets zu gewährleisten.“ Auf diese Weise werde der Reaktionsprozess optimiert und die Kommunikation und Zusammenarbeit mit Behörden und externen Partnern gefördert. Der Erfüllung der neuen DORA-Bestimmungen stehe dann nichts mehr im Weg und Finanzdienstleister könnten sich darauf verlassen, für den Ernstfall gewappnet zu sein.

Weitere Informationen zum Thema:

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 09.07.2024] Mit dem „Digital Operational Resilience Act“ (DORA) der Europäischen Union (EU) wird Anfang 2025 ein weitreichendes Regulierungswerk für die Themen Cyber-Sicherheit, Risiken der Informations- und Kommunikationstechnologie (IKT) und Digitale Resilienz in Kraft treten, welches den gesamten EU-Finanzsektor adressiert. In einer aktuellen Stellungnahme kommentiert BeyondTrust die Regulierungen, welche den Finanzmarkt gegenüber Cyber-Risiken und IT-Sicherheitsverletzungen stärken sollen.

DORA soll Finanzmarkt gegenüber Cyber-Risiken und IT-Sicherheitsvorfällen stärken

BeyondTrust informiert über die IT-Compliance-Anforderungen an Geldinstitute und Finanzunternehmen, welche für den gesamten EU-Bankensektor ab dem 17. Januar 2025 gelten werden. „In einem aktuellen Blogbeitrag werden die Regulierungen des ,Digital Operational Resilience Act’ (DORA) vorgestellt, die den Finanzmarkt gegenüber Cyber-Risiken und IT-Sicherheitsvorfällen stärken sollen.“

Die von BeyondTrust angebotenen Lösungen stellten sicher, „dass Finanzinstitute privilegierte Zugriffe und Anmeldeinformationen effektiv verwalten und sichern, eine entscheidende Komponente der Digitalen Resilienz, die von DORA eingefordert wird.“

EU-Verordnung 2022/2554 – DORA harmonisiert Sicherheitsmaßnahmen im gesamten EU-Finanzsektor

Mit der EU-Verordnung 2022/2554 würden Sicherheitsmaßnahmen im gesamten EU-Finanzsektor harmonisiert. Zur Aufrechterhaltung eines widerstandsfähigen Finanzbetriebs sollten technologische Sicherheit, ein reibungsloses Funktionieren sowie eine rasche Wiederherstellung nach IKT-Sicherheitsverletzungen und -Vorfällen gewährleistet werden.

Die zunehmende Digitalisierung und Vernetzung von Rechnern und IT-Systemen verstärkten unterschiedliche IT-Risiken, „die das Finanzsystem und Geldflüsse durch Cyber-Bedrohungen oder Störungen gefährden“.

DORA-Verordnung: Finanzdienstleistungen müssen in der gesamten EU wirksam und reibungslos erbracht werden

Im Kontext der DORA-Verordnung müssten Finanzdienstleistungen demnach in der gesamten EU wirksam und reibungslos erbracht werden können, und gleichzeitig das Vertrauen der Verbraucher und Märkte auch in Stress-Situationen gewährleisten. „Das betrifft insbesondere Zahlungen, die von bargeld- und papiergestützten Methoden zunehmend auf die Nutzung digitaler Lösungen verlagert wurden, sowie Wertpapierclearing und -abrechnungssysteme.“

Das einheitliche Regelwerk und Aufsichtssystem ordnet demnach den elektronischen und algorithmischen Handel, Darlehens- und Finanzierungsgeschäfte, Schadensmanagement und Back-Office-Transaktionen neu.

BeyondTrust bietet Lösungen für von DORA betroffene Institutionen

„Cyber-Kriminelle schlafen nie. Unsere Tools sind darauf ausgelegt, Angriffe zu antizipieren und zu neutralisieren, bevor sie irreparablen Schaden anrichten. Eine verbesserte Transparenz der digitalen Assets und Identitäten ist ein entscheidender Faktor für die Erkennung potenzieller Sicherheitsverletzungen, von unbefugten Zugriffsversuchen bis hin zu Insider-Bedrohungen“, erläutert Jens Brauer, „Regional Vice President CEE“ bei BeyondTrust.

Brauer betont abschließend: „Die EU-Gesetzgebung fordert diese Fähigkeiten im Rahmen des ,Digital Operational Resilience Act’. Unsere Lösungen unterstützen nicht nur die Einhaltung der strengen Vorschriften, sondern stärken auch die Cyber-Resilienz von Unternehmen zur Bewahrung der Integrität und Stabilität der Finanzsysteme in einer vernetzten Welt.“

Weitere Informationen zum Thema:

EUR-Lex Der Zugang zum EU-Recht
Dokument 32022R2554

BeyondTrust, 08.07.2024
Digital Operational Resilience Act (DORA): Wie die EU-Vorgaben zur Stärkung der Cyber-Resilienz im Finanzsektor eingehalten werden können

datensicherheit.de, 25.04.2024]
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 25.04.2024] Der „Digital Operational Resilience Act“ (DORA) soll ein wichtiges Problem bei der Regulierung von Finanzinstituten in der Europäischen Union (EU) lösen helfen: Diese neue Gesetzgebung soll als verbindliche Richtlinie für das Risikomanagement im Finanzsektor dienen und darauf abzielen, die digitale Widerstandsfähigkeit zu verbessern. Als Stichtag für alle betroffenen Organisationen zur Erfüllung der Vorschriften gilt der 17. Januar 2025. Um nun den Schutz ihrer eigenen IT-Infrastruktur zu gewährleisten und hohe Standards für die Verfügbarkeit von Daten und Diensten aufrechtzuerhalten, müssen viele Finanzorganisationen offensichtlich in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall (Disaster Recovery / DR). Reinhard Zimmer von Zerto fasst in seiner aktuellen Stellungnahme zusammen, wie Finanzinstitute moderne DR-Technologien nutzen können, um die operative Resilienz ihrer IT-Systeme zu verbessern und so die neue EU Gesetzgebung zu erfüllen.

Foto: Zerto

Reinhard Zimmer – „Regional Sales Manger“ bei Zerto, Spezialist für die Absicherung virtueller Infrastrukturen

DORA gilt allgemein für den EU-Finanzsektor sowie Anbieter von IT-Dienstleistungen für den Finanzbereich

„Der Digital Operational Resilience Act (DORA) löst ein wichtiges Problem bei der Regulierung von Finanzinstituten in der Europäischen Union und dient als verbindliche Richtlinie für das Risikomanagement im Finanzsektor“, betont Zimmer. Er ziele darauf ab, die digitale Widerstandsfähigkeit zu verbessern und auch für Drittanbieter – etwa „Cloud“-Service-Anbieter – verbindlich zu machen.

Diese neue Verordnung gelte allgemein für den EU-Finanzsektor sowie Anbieter von IT-Dienstleistungen für den Finanzbereich – „unabhängig davon, wo die Anbieter ihren Sitz haben“. Alle betroffenen Organisationen müssten die Vorschriften bis zum 17. Januar 2025 erfüllt haben.

EU-Finanzsektor: Verbesserung der IT-Resilienz zentrales DORA-Anliegen

Die DORA-Gesetzgebung gehe in fünf ihrer neun Kapitel detailliert auf die Verbesserung der IT-Resilienz ein: „Risikomanagement (Kapitel II), Incident Management (Kapitel III), Digital Operational Resilience Testing (Kapitel IV), Third-Party Management (Kapitel V) sowie Information Sharing (Kapitel VI).“ Dies bedeutet laut Zimmer, dass die Finanzinstitute ihre Widerstandsfähigkeit auf vielen miteinander verbundenen Ebenen gleichzeitig verbessern müssten.

Der Bereich, auf den sich die neue Gesetzgebung am meisten auswirkt, ist demnach die Wiederherstellung im Katastrophenfall, da „Disaster Recovery“ Kernanforderungen dreier Artikel dieser Verordnung erfüllen könne: „Konkret handelt es sich um Artikel 9 (Schutz und Prävention), Artikel 11 (Reaktion und Wiederherstellung) und Artikel 12 (Sicherungsstrategien und -verfahren).“ Finanzunternehmen, deren aktuelle Technologien nicht ausreichen, um die neuen Anforderungen von DORA zu erfüllen, würden daher gezwungen sein, nach geeigneteren Lösungen zu suchen.

DR-Technologie für Finanzinstitute: Aufrüstung mit Continuous Data Protection empfohlen

Um Ausfallsicherheit, Kontinuität und Verfügbarkeit zu verbessern, sollten Unternehmen modernere Disaster-Recovery-Lösungen in Betracht ziehen, welche auf „Continuous Data Protection“ (CDP) basieren. CDP verfolge und spiegele Datenänderungen nicht in vordefinierten Intervallen wie bei regulären Backups, sondern kontinuierlich. Dabei werde jede Version der Daten zwischen einem lokalen und einem entfernten Standort repliziert.

Diese journal-basierte Technologie protokolliere alle Änderungen und ermögliche eine punktgenaue Wiederherstellung in Schritten von Sekunden. Mit Tausenden von Wiederherstellungspunkten in der Historie des Journals minimiere CDP so das Risiko von Datenverlusten. „Die Technologie reduziert damit die Auswirkungen eines Ausfalls auf den Betrieb, unabhängig davon, ob die Ursache versehentlich oder absichtlich, natürlich oder vom Menschen verursacht wurde.“ Damit sei CDP ideal für die Erfüllung der Kernanforderungen von Artikel 9 (Belastbarkeit, Kontinuität und Verfügbarkeit von IT-Systemen).

DORA-Artikel 11 verlangt von Finanzorganisationen angemessene Kontinuitätspläne

DORA-Artikel 11 verlange von Finanzorganisationen, „dass sie angemessene Kontinuitätspläne einführen, aufrechterhalten und diese regelmäßig testen“. Nicht alle Disaster-Recovery-Lösungen böten jedoch angemessene Tests für Ausfallsicherung oder fortschrittliche Analysen. Finanzinstitute müssten daher sicherstellen, „dass ihre Disaster-Recovery-Lösungen vollautomatische, unterbrechungsfreie, skalierbare und granulare Failover-Tests in einer Sandbox-Umgebung bieten“.

Solche Testfunktionen sollten idealerweise eine Wiederherstellungsgarantie mit detaillierten Berichtsfunktionen ermöglichen, welche bei Audits und Inspektionen zum Nachweis der Sicherheit der Umgebung verwendet werden könnten. Zimmer: „Mit solchen Funktionen kann die Wiederherstellung innerhalb von Minuten von einer einzigen Person per Mausklick getestet werden, ohne die Produktion zu unterbrechen.“

Geo-Redundanz: DORA-Artikel 12 fordert, dass Finanzinstitute zweiten Standort betreiben müssen

Um sich gegen den Ausfall eines gesamten Standorts abzusichern, schreibe Artikel 12 vor, dass Finanzinstitute einen zweiten Standort betreiben müssten, welcher „mit angemessenen Ressourcen, Fähigkeiten, Funktionen und Personalkapazitäten ausgestattet ist, um die Geschäftsanforderungen zu erfüllen“. Zimmer kommentiert: „Das bedeutet, dass Organisationen Disaster-Recovery-Lösungen verwenden müssen, die eine One-to-many-Replikationsfunktion bieten, um replizierte Daten auf zwei oder mehr Cloud-Standorte zu verteilen.“

Mit einer One-to-Many-Replikation könnten Unternehmen Daten von einer einzigen Quelle auf mehrere Zielumgebungen replizieren und so Daten und Anwendungen auf flexible und effiziente Weise schützen. Mit dieser Funktion sei es möglich, lokal oder auf mehrere Ziel- oder Remote-Standorte zu replizieren, „Failover“ durchzuführen sowie bestimmte virtuelle Instanzen an einen anderen Standort zu verschieben. Im Gegensatz zur synchronen Replikation funktioniere die asynchrone Replikation auch zwischen weiter voneinander entfernten Standorten und vermeide dabei den Datenverlust, der normalerweise mit asynchronen Optionen verbunden sei. Auf diese Weise könnten Unternehmen ihre Ausfallsicherheit auf ein noch höheres Niveau heben und ganze Standorte vor regionalen Katastrophen schützen.

Erkennung in Echtzeit: Finanzorganisationen müssen über Mechanismen verfügen, um anomale Aktivitäten umgehend zu erkennen

Noch besser als die schnelle und einfache Wiederherstellung von Daten und Workloads nach einem erfolgreichen Angriff sei es, gar nicht erst Opfer eines Angriffs zu werden oder erfolgreiche Angriffe so früh wie möglich zu erkennen, bevor sie größeren Schaden anrichten. Artikel 10 von DORA ziele darauf ab, diese Erkennung zu verbessern: „Finanzorganisationen müssen über Mechanismen verfügen, um anomale Aktivitäten […] umgehend zu erkennen, einschließlich automatisierter Warnmechanismen für Mitarbeiter, die für die Reaktion auf IKT-bezogene Vorfälle zuständig sind.“ Präventive Cyber-Sicherheits-Tools seien ideal, um Angriffe zu erkennen und zu stoppen, wie zum Beispiel Ransomware-Angriffe.

Zimmer erläutert: „,Tools‘ zur Erkennung von Ransomware in Echtzeit nutzten algorithmische Intelligenz, um Unternehmen innerhalb von Sekunden vor einer Verschlüsselungsanomalie zu warnen. So verkürzt eine solche Lösung die Zeit, in der Cyber-Kriminelle Daten verschlüsseln können, um ein Vielfaches.“ In Verbindung mit den Wiederherstellungspunkten von CDP und dem Journal, „das diese Punkte automatisch sichert“, wird es einfacher, die vor der Anomalie erstellten Wiederherstellungspunkte von denen danach erstellten zu unterscheiden. „Das bedeutet, dass man nach einem Angriff genau weiß, wo sich der richtige Wiederherstellungspunkt befindet“, so Zimmer. Dadurch reduzierten sich Datenverluste und Ausfallzeiten nach einem Angriff drastisch.

Wiederaufnahme des Betriebs einer Finanzinstitution innerhalb von Minuten dank Applikations-Gruppen

Zimmer führt aus: „So wichtig CDP für einen geringstmöglichen Datenverlust ist, reicht es alleine nicht aus, um den Betrieb von komplexen, verteilten Applikationen schnell wieder aufzunehmen!“ Vielmehr würden hierfür „Virtual Protection Groups“ (VPGs) benötigt, welche es ermöglichten, verschiedene Komponenten einer Applikation (z.B. Datenbank sowie Applikations- und Web-Server) als eine einzige, absturzsichere Einheit zu gruppieren.

Anders als in dem zuvor beschriebenen Backup-Ansatz, bei dem jede Komponente einen anderen Zeitstempel habe und so die Wiederherstellung um ein Vielfaches länger dauere, hätten innerhalb einer VPG alle gruppierten VMs die gleichen konsistenten Zeitstempel. Mithilfe von Orchestrierung und Automatisierung lasse sich so mit wenigen Klicks ein Failover eines gesamten Standorts mit Tausenden von Applikationen durchführen – ohne eine längere Unterbrechung des Betriebs.

Fazit: DORA ist eine weitreichende EU-Verordnung, für die es keine Einheitslösung gibt

Zusammenfassend stellt Zimmer klar: „DORA ist eine weitreichende EU-Verordnung, für die es keine Einheitslösung gibt. Finanzinstitute werden zahlreiche Bereiche ihrer IT verbessern müssen, um alle Anforderungen zu erfüllen. Im Idealfall werden sie sich auf Lösungen verlassen wollen, die weite Bereiche der Gesetzgebung abdecken können.“

Die Wiederherstellung im Katastrophenfall sei einer der Bereiche, welcher mehrere Artikel und deren Anforderungen abdecken könne. Um dies zu erreichen, benötigten Organisationen Lösungen zur Wiederherstellung, welche über die begrenzten Möglichkeiten der meisten Backup-Lösungen hinausgingen. „Moderne DR-Lösungen mit ,Continuous Data Protection’ und ,Virtual Protection Groups’ bieten heute bereits viele fortschrittliche Funktionen, die zur Einhaltung der neuen DORA-Vorschriften beitragen können“, so Zimmers Fazit.

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 18.01.2024
DORA – Digital Operational Resilience Act

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 24.04.2024] Eine eigene aktuelle Umfrage zeigt laut BioCatch einen „erschreckenden Trend“ auf: Zwar nutzten Finanzinstitute Werkzeuge der Künstlichen Intelligenz (KI) zur Cyber-Verteidigung, aber auch KI-gestützte Angriffe nähmen weiter zu. BioCatch hat nach eigenen Angaben seinen ersten jährlichen Bericht über Betrug und Finanzkriminalität mit KI-Schwerpunkt veröffentlicht. Hierzu seien 600 Experten in elf Ländern auf vier Kontinenten – unter anderem aus den Bereichen Betrugsmanagement, AML (Anti-Money Laundering) und Compliance – befragt worden.

Abbildung: BioCatch

BioCatch: „2024 AI, Fraud, and Financial Crime Survey / AI’s Role in Perpetrating and Fighting Financial Crime“

Künstliche Intelligenz kann jeden erdenklichen Finanz-Betrug optimieren

Der Bericht zeige eine beunruhigende Entwicklung: „Cyber-Kriminelle nutzen KI und können bessere, umfassendere und erfolgreichere Betrugsversuche auf Banken und die Finanzbranche durchführen. Dafür benötigen sie kaum Bankexpertise oder technisches Know-how.“ Fast 70 Prozent gäben an, dass die Angreifer KI geschickter einsetzten als Banken ihrerseits bei der Bekämpfung der Attacken. Ebenso besorgniserregend sei, dass etwa die Hälfte der Befragten mehr Angriffe im letzten Jahr – 2023 – festgestellt hätten oder für 2024 erwarteten.

„Künstliche Intelligenz optimiert jeden erdenklichen Betrug“, warnt daher Tom Peacock, „Director of Global Fraud Intelligence“ bei BioCatch. Er erläutert: „Sie lokalisiert Sprache und Eigennamen perfekt, so dass für jedes Opfer personalisierte Betrugsversuche entstehen – mit Bildern, Videos oder Audio-Inhalten.“ Somit ermögliche KI „grenzenlose Betrügereien“ – „und das erfordert neue Strategien und Technologien der Finanzinstitute, um Kunden zu schützen“, betont Peacock.

Finanz-Betrugsfälle durch synthetische Identitäten

Überraschend sei besonders ein Ergebnis: „91 Prozent der Befragten geben an, dass ihr Unternehmen bei wichtigen Kunden die Sprachverifizierung überdenkt. Der Grund hierfür ist die Stimmerzeugung durch KI.“ Bei 70 Prozent hätten Finanzinstitute im letzten Jahr die Verwendung synthetischer Identitäten bei der Neukundenakquise identifiziert. Die Federal Reserve (FED) schätzt, „dass bisher eingesetzte Betrugsmodelle bis zu 95 Prozent der synthetischen Identitäten nicht erkennen, die für die Beantragung neuer Konten verwendet werden“. Demnach wachse die Finanzbetrugszahl durch synthetische Identitäten am schnellsten in den USA – „und sie kostet Unternehmen jedes Jahr Milliarden von Dollar“.

„Wir dürfen uns nicht mehr nur auf unsere Sinne verlassen, um digitale Identitäten zu überprüfen“, unterstreicht Jonathan Daly, „CMO“ von BioCatch. Das KI-Zeitalter erfordere neue Methoden zur Authentifizierung. „Bei unserer Arbeit haben wir gesehen, dass wir Signale der Verhaltensintention nutzen sollten. Dieser Ansatz hilft Finanzinstituten dabei, Deepfakes und Stimmklone in Echtzeit zu erkennen. Und so lässt sich das hart verdiente Geld der Kunden besser schützen.“

Weitere zentrale Ergebnisse der Umfrage zur Bedrohung der Finanzinstitute:

KI sei eine teure Bedrohung
Mehr als die Hälfte der befragten Banken gäben an, im Jahr 2023 zwischen fünf und 25 Millionen US-Dollar durch KI-gestützte Angriffe verloren zu haben.

Finanzinstitute nutzten ebenfalls KI
Bei drei Viertel der Befragten verwende der Arbeitgeber bereits KI zur Erkennung von Betrug oder Finanzkriminalität. 87 Prozent berichteten, dass die Technologie die Reaktionsgeschwindigkeit auf potenzielle Bedrohungen erhöht habe.

Kommunikation sei essenziell
Mehr als 40 Prozent der Befragten sagten, dass ihr Unternehmen Betrug und Finanzkriminalität in getrennten Abteilungen behandele und diese nicht zusammenarbeiteten. 90 Prozent der Befragten seien der Meinung, dass Finanzinstitute und Regierungsbehörden mehr Informationen austauschen müssten, um Betrug und Finanzkriminalität zu bekämpfen.

KI zur Unterstützung beim Informationsaustausch
Fast jeder Befragte vermute, dass er in den nächsten zwölf Monaten KI einsetzen werde, um Informationen über Hochrisikopersonen („high-risk individuals“) zwischen Banken auszutauschen.

„Heutzutage sind Betrüger organisiert und clever“, so Gadi Mazor, „CEO“ von BioCatch. Er kommentiert: „Sie arbeiten zusammen und tauschen Informationen aus. ,Fraud Fighter’ – einschließlich Banken, Regulierungs- sowie Strafverfolgungsbehörden und Lösungsanbieter wie wir – müssen genauso handeln. Nur so können wir die steigenden Betrugszahlen weltweit wieder umkehren.“

Weitere Informationen zum Thema:

BioCatch
2024 AI, Fraud, and Financial Crime Survey / AI’s Role in Perpetrating and Fighting Financial Crime

THE FEDERAL RESERVE
PAYMENTS FRAUD INSIGHTS OCTOBER 2019 / Detecting Synthetic Identity Fraud in the U.S. Payment System