Digital Operational Resilience Act (DORA): Für einen resilienten Finanzmarkt
Der hohe Digitalisierungsgrad und die Konnektivität bei der Erbringung von Finanzdienstleistungen bringen es mit sich, dass die finanzielle Solidität von Marktteilnehmern zunehmend durch IKT-Vorfälle und eine mangelnde operationale Resilienz beeinträchtigt werden kann. Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union ein Regelwerk erstellt, das die IKT-Sicherheit von Finanzunternehmen stärken und sicherstellen soll, dass der Sektor in Europa im Fall einer schweren Betriebsstörung widerstandsfähig bleibt. Ein Beitrag von Markus Robin, Managing Director Germany der SEC Consult Group.
Von DORA betroffen sind Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister, Rating-Agenturen, Wertpapierfirmen, Zentralverwahrer, Anbieter von Krypto-Diensten, Versicherungs- und Rückversicherungsunternehmen, Transaktionsregister und Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste sowie Drittdienstleister für IKT. Das Regelwerk bildet in seinem Aufbau die komplexe Vernetzung und Verflechtung der digitalisierten Finanzwelt ab und spricht alle Themen-Schwerpunkte, die sogenannten Säulen, wechselweise in anderen Säulen an.
Die fünf Säulen von DORA
Die Unternehmen müssen (1) einen IKT-Risikomanagementrahmen festsetzen, (2) belastbare Mechanismen zur Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle etablieren und (3) ihre digitale operationale Resilienz überprüfen. Außerdem ist eine (4) Bewertung der von IKT-Drittanbietern angebotenen Dienstleistungen notwendig, um das Drittparteienrisiko abschätzen zu können. Auch der Abschluss von Vereinbarungen über den (5) Austausch von Informationen mit den relevanten Stellen gehören zur unabdingbaren To-do-Liste.
Wie können DORA-Unternehmen nun sicherstellen, dass ihre operationelle Resilienz ausreichend ist? Schwachstellenbewertungen und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen (soweit durchführbar), szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests – all das gehört zur Werkzeugkiste der Cybersicherheitsexperten, die den Finanzsektor bei der Umsetzung der Verordnung unterstützen.
Auch Resilienz der Supply Chain im Fokus
Der Finanzbranche nachgelagerte Dienstleister und Subbranchen müssen ebenfalls ihre digitale operative Resilienz vorantreiben, um im Wettbewerb um die besten Kunden und Partner aus dem Sektor ein vertrauenswürdiger Player zu bleiben. Denn sie werden von ihren Auftraggebern in Zukunft wohl ganz genau hinsichtlich Einhaltung von DORA-relevanten Maßnahmen und ihrem Risikomanagement überprüft. Mit Transparenz und Zusammenarbeit in der Lieferkette kann aber gemeinsam an der Einhaltung der Vorgaben gearbeitet werden und allfällige Schwachstellen lassen sich effektiver beheben.
Insbesondere Unternehmen, welche IKT-Dienstleistungen für die Finanzindustrie bereitstellen, müssen ihre DORA-Konformität beweisen. Ebenso vielfältig wie die Dienstleistungen sind jedoch auch die Bedrohungsszenarien, die von der Kommunikation über Software as a Service bis zur eingesetzten Hardware hin berücksichtigt werden sollten. Hier ist der Cyber Resilience Act (CRA) der EU ein wichtiges Instrument, das DORA bei der Sicherung und beim Schutz von Software-Lieferketten ergänzt. Dass Handlungsbedarf besteht, haben die Fälle SolarWinds und Log4j gezeigt, die insgesamt Millionen von Systemen weltweit betrafen und Schäden im Ausmaß von mehreren Milliarden US-Dollar nach sich zogen.
Red Teaming für DORA
Neben den allgemeinen Anforderungen für das Testen der digitalen operationalen Resilienz im Rahmen des Testprogramms von Finanzunternehmen führt DORA auch erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis des sogenannten Threat Led Penetration Test (TLPT) ein. TLPT basiert auf dem TIBER-EU-Rahmenwerk. In einer aktuellen Publikation fordert die EZB Unternehmen und Regulatoren dazu auf, TIBER als Methode zur Umsetzung von DORA TLPT zu verwenden. Damit sind Dienstleister, welche bereits TIBER-Tests durchgeführt haben, bestens vorbereitet, um zukünftig TLPT durchführen zu können.
Im Scope von TLPT sind mehrere oder alle kritischen oder wichtigen Funktionen eines Finanzunternehmens und der Test wird an Live-Produktionssystemen durchgeführt. Der genaue Umfang wird von den Finanzinstituten festgelegt und von den zuständigen Behörden, wie z.B. der Deutschen Bundesbank, validiert.
Awareness und ganzheitliches Denken
Mitarbeiterschulungen sind ebenfalls ein wesentlicher Bestandteil der DORA-Compliance, da sie das Sicherheitsbewusstsein und die Kompetenz der Mitarbeiter im Umgang mit Cyberrisiken erhöhen. Durch gezielte Schulungen lernen Teams, potenzielle Bedrohungen frühzeitig zu erkennen und effektiv darauf zu reagieren. Gut geschulte Mitarbeiter können in Krisensituationen schneller handeln und damit die Ausfallsicherheit des Unternehmens stärken.
Abschließend lässt sich sagen: Es gibt keine einzelne Technologie oder Dienstleistung, die alle Cyberangriffe mit einem Schlag bekämpfen kann, die Angriffsvektoren sind zu vielfältig und ständig in Fluss. Punktuelle Maßnahmen helfen nur kurzfristig, sind jedoch nicht nachhaltig und nicht flächendeckend – Cybersicherheit muss daher ganzheitlich betrachtet werden und ständig im Fokus des Unternehmens bleiben.
