Datenschutz im Finanzsektor: Was ist DORA?

Wenn Cyberangriffe zum Weckruf werden

Im Mai diesen Jahres wurde die US-amerikanische Evolve Bank & Trust Opfer eines der schwerwiegendsten Hacker-Angriffe der letzten Jahre. Die russische Hackergruppe LockBit verschaffte sich über einen Phishing-Link Zugang zu den Bank-Systemen, hat Kundendaten aus Datenbanken & Dateifreigaben gedownloaded und mit Einsatz von Ransomeware die Dateien verschlüsselt. Insgesamt wurden 7,6 Mio. vertrauliche Kundendaten (darunter Kontaktinfos, Sozialversicherungsnummern & Bankkontodetails) gestohlen und auf einer Dark-Web-Leak-Seite veröffentlicht. Dies führte u.a. zu enormen wirtschaftlichen Schäden und Vertrauensverlust.

Ein strukturierter Notfallplan nach den Vorgaben des Digital Operational Resilience Acts (DORA) hätte es der Bank ermöglicht, schneller zu reagieren, betroffene Partner frühzeitig zu informieren und den Schaden zu minimieren. Mit klaren Vorgaben für mehr digitale Resilienz fordert soll die EU-Verordnung den Finanzsektor widerstandsfähiger gegen Cyberangriffe machen und so dafür sorgen, Vorfälle effektiv zu bewältigen und langfristig Vertrauen zu schaffen. Ein solcher Plan beinhaltet unter anderem umfassende Tests, klare Kommunikationsstrategien und kontinuierliche Überwachung, um potenzielle Schwachstellen frühzeitig zu identifizieren und unmittelbar entsprechende Maßnahmen ergreifen zu können.

Was ist DORA?

DORA, der Digital Operational Resilience Act, ist eine EU-Verordnung, die am 17. Januar 2025 in Kraft tritt. Sie wurde entwickelt, um die digitale Widerstandsfähigkeit von Finanzinstituten zu stärken und sicherzustellen, dass Unternehmen in der Lage sind, IT-Störungen, Cyberangriffe und andere digitale Bedrohungen zu bewältigen, ohne ihren Betrieb zu gefährden.

Geltungsbereich von DORA:

DORA gilt für alle beaufsichtigten Finanzinstitute und -dienstleister in der EU, einschließlich Banken, Versicherungen, Investmentfonds und Zahlungsdienstleister. Die Verordnung harmonisiert IT-Sicherheitsanforderungen und stellt sicher, dass Unternehmen sich auf einheitliche Standards stützen können.

DORA fordert dabei nicht nur die Einführung von Sicherheitsmaßnahmen, sondern auch deren regelmäßige Überprüfung und Anpassung an aktuelle Bedrohungen. Besonders die Zusammenarbeit mit Drittanbietern, die häufig Sicherheitsrisiken darstellt, wird stärker in den Fokus genommen.

Die drei Kernziele von DORA:

1. Einführung europaweit einheitlicher IT-Sicherheitsstandards

2. Verbesserung der digitalen Resilienz, um die Auswirkungen von Cyberangriffen und IT-Ausfällen zu minimieren

3. Umsetzung eines umfassenden IKT-Risikomanagements, das auch die Zusammenarbeit mit Drittanbietern regelt

DORA im Kontext des europäischen Regelwerks

DORA fügt sich nahtlos in den bestehenden regulatorischen Rahmen der EU ein. Sie ergänzt Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) und die NIS2-Richtlinie, hat jedoch einen spezifischeren Fokus auf den Finanzsektor.

• DSGVO: Schützt personenbezogene Daten und regelt deren Verarbeitung.
• NIS2: Legt allgemeine Cybersicherheitsanforderungen für kritische Infrastrukturen fest.
• DORA: Adressiert die digitale Resilienz und Sicherheit kompletter IT-Systeme speziell im Finanzsektor.

In Deutschland wird DORA durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) unterstützt. Dieses Gesetz sorgt dafür, dass nationale Vorgaben für IT-Sicherheit harmonisiert und an die EU-Vorgaben angepasst werden. Es bietet eine rechtliche Grundlage für Meldepflichten und die Einführung von Cybersicherheitsmaßnahmen, die speziell auf die Anforderungen des Finanzsektors zugeschnitten sind.

Datenschutz im Finanzbereich

Neben der Resilienz gegen IT-Störungen nimmt DORA auch den Schutz sensibler Finanzdaten in den Fokus. Finanzinstitute müssen sicherstellen, dass die Vertraulichkeit und Integrität von Kundendaten gewährleistet wird, insbesondere angesichts wachsender Cyberrisiken. Moderne Technologien wie Verschlüsselung, Zwei-Faktor-Authentifizierung und Zugangskontrollen sind zentrale Bausteine einer sicheren IT-Infrastruktur.

DORA ergänzt bestehende Datenschutzgesetze wie die DSGVO, indem es die Sicherheitsanforderungen auf die gesamte IT-Landschaft eines Unternehmens ausweitet. Dies stärkt nicht nur den Schutz von Kundendaten, sondern schafft auch die Grundlage für ein langfristiges Vertrauen in den Finanzsektor.

Die wachsenden Bedrohungen durch IKT-Risiken

Die zunehmenden Cyberangriffe zeigen, dass Finanzinstitute nicht nur externe Bedrohungen bewältigen, sondern auch interne Schwachstellen adressieren müssen. DORA verpflichtet daher europäische Finanzinstitute, ein umfassendes IKT-Risikomanagement einzuführen, um zentrale Sicherheitsrisiken zu minimieren:

Schatten-IT

Die Nutzung unautorisierter Geräte oder Software kann das Risiko von Datenlecks erhöhen und sensible Daten anfällig für unbefugten Zugriff machen.

Datendubletten

Über mehrere Systeme verstreute Daten erschweren die Verwaltung, erhöhen das Risiko von Sicherheitslücken und machen eine einheitliche Sicherheitsstrategie schwierig.

Phishing

Täuschungsversuche - wie gefälschte E-Mails - zielen darauf ab, sensible Informationen zu stehlen. Diese Angriffe sind besonders effektiv, da sie den menschlichen Faktor ausnutzen.

Integrationsprobleme

Externe Systeme und Dienstleister bieten Angreifern oft Einfallstore, insbesondere wenn grundlegende Sicherheitsstandards wie Verschlüsselung oder Zugangskontrollen fehlen.

Wie DORA die Resilienz des Finanzsektors stärkt

Vorab gesagt: DORA kann Cyberangriffe nicht vollständig verhindern, aber die Verordnung bietet klare Vorgaben, um auf solche Vorfälle und IT-Ausfälle effektiv zu reagieren. Mit gezielten Maßnahmen stärkt DORA die digitale Resilienz von Finanzinstituten und trägt dazu bei, das Vertrauen von Kunden und Partnern nachhaltig zu sichern. Im Fokus stehen unter anderem regelmäßige Audits, eine lückenlose Dokumentation und die Überwachung von Drittanbietern, um Sicherheitslücken frühzeitig zu erkennen und gezielt zu schließen:

Notfallpläne

Notfallpläne müssen nicht nur vorhanden sein, sondern auch regelmäßig getestet und aktualisiert werden. Dabei ist sicherzustellen, dass sie den neuesten Standards entsprechen und mögliche Schwachstellen frühzeitig identifiziert werden. Anpassungen sollten zeitnah umgesetzt werden, um die Effektivität der Pläne sicherzustellen und eine schnelle Wiederherstellung des Betriebs im Ernstfall zu ermöglichen.

Lückenlose Dokumentation

Alle Maßnahmen und Vorfälle müssen detailliert dokumentiert werden (bspw. in einem Audit-Log), um vollständige Transparenz zu gewährleisten. Dies umfasst die Aufzeichnung von Ereignissen, Entscheidungen und deren Hintergründen, um einen klaren Überblick zu bieten. Die Dokumentation dient nicht nur internen Zwecken, sondern ist auch essenziell für die Einhaltung von Meldepflichten und die Nachvollziehbarkeit gegenüber externen Prüfern oder Aufsichtsbehörden.

Schnelle Kommunikation

Kunden und Geschäftspartner müssen schnell und präzise informiert werden, um Schäden zu minimieren. Klare und verständliche Informationen zu Vorfällen sowie geplanten Gegenmaßnahmen ermöglichen es den Betroffenen, eigene Vorsichtsmaßnahmen zu ergreifen und das Vertrauen in die Organisation zu wahren.

Kontinuierliche Überwachung

Die IT-Systeme müssen rund um die Uhr überwacht werden, um Schwachstellen und potenzielle Risiken frühzeitig zu erkennen. Automatisierte Tools können hierbei helfen, verdächtige Aktivitäten in Echtzeit zu identifizieren und entsprechende Sicherheitsmaßnahmen umgehend einzuleiten. Eine kontinuierliche Überwachung trägt dazu bei, die Reaktionszeiten zu verkürzen und Vorfälle schon im Entstehen zu entschärfen.

Regelmäßige Tests und Audits

Die Sicherheitsprotokolle und Notfallpläne müssen regelmäßig getestet und evaluiert werden, um ihre Wirksamkeit sicherzustellen. Audits helfen dabei, die Einhaltung von Sicherheitsstandards zu überprüfen und Optimierungspotenziale aufzudecken. Diese regelmäßigen Prüfungen sind essenziell, um die Anpassungsfähigkeit der Organisation an neue Bedrohungen zu gewährleisten und die Resilienz kontinuierlich zu verbessern.

Strenges Drittanbieter-Management

Verträge und Schnittstellen mit externen Dienstleistern müssen strenger reguliert und überwacht werden. Finanzinstitute sind verpflichtet, sicherzustellen, dass Drittanbieter dieselben hohen Sicherheitsstandards einhalten. Dazu gehören regelmäßige Überprüfungen der Systeme und Prozesse der Dienstleister sowie klare Vorgaben für den Umgang mit sensiblen Daten. Durch ein robustes Drittanbieter-Management wird das Risiko von Sicherheitslücken an Schnittstellen deutlich reduziert.

Fazit: 

DORA-Compliance als Schlüsselelement der Cybersicherheit

DORA fordert den Einsatz von automatisierten Tools, um Risiken in Echtzeit zu überwachen und Berichte effizienter zu erstellen. Dies entlastet IT-Teams und erhöht die Sicherheit. DORA-Compliance wird damit ein unverzichtbares Instrument, um die langfristige Sicherheit und Stabilität des Finanzsektors zu gewährleisten. Die Verordnung schafft die Grundlage für ein resilienteres & sichereres Finanzsystem und ermöglicht es Ihnen, nicht nur gesetzlichen Vorgaben zu entsprechen, sondern auch das Vertrauen Ihrer Kunden zu stärken. Für Finanzinstitute ist DORA weit mehr als eine Pflicht – es ist eine Chance für den Ausbau der digitalen Widerstandsfähigkeit im Finanzsektor. Durch die Kombination aus robustem Risikomanagement, klaren Sicherheitsstandards und modernen Technologien können Sie nicht nur gesetzlichen Anforderungen gerecht werden, sondern auch das Vertrauen Ihrer Kunden und Partner nachhaltig stärken.

Mit DRACOON auf Kurs zur DORA-Compliance

Als zentraler Speicherort mit Zero-Trust-Prinzipien und einfachem Dateiaustausch ohne Umwege unterstützen wir Sie bei der Einhaltung vieler DORA-Anforderungen. Schützen Sie Ihre IT-Systeme mit unserer clientseitigen Verschlüsselung für jeden Datenraum und tauschen Sie sensible Inhalte bequem, einfach und sicher via Freigabelinks mit Ihren Kolleginnen und Kollegen sowie mit externen Partnern aus. Unsere BSI C5 Typ 2 Testierung sowie Zertifizierungen nach ISO Normen 27001, 27017 und 27018 signalisieren ein hohes Maß an Sicherheit.

Mit dem feingranularen und rollenbasierten Benutzer- und Rechtemanagement erhalten nur diejenigen Zugriff auf sensible Daten, die es auch wirklich benötigen. Mit einer umfassenden Protokollierung aller Vorgänge und Datenbewegungen im Audit-Log behalten Sie dabei stets die volle Übersicht. Auch können Sie mithilfe von individuell anpassbaren Berichtsoptionen, das Audit-Log schnell & einfach auswerten. So können Sie potentielle Sicherheitslücken sofort identifizieren und etwaigen Meldepflichten schnell nachkommen.

Mit DRACOON schaffen Sie eine geschützte Arbeitsumgebung für Ihre gesamte Organisation und können Ihr Unternehmen entspannt auf Kurs zur DORA-Compliance navigieren.

Überzeugen Sie sich gerne selbst und testen Sie DRACOON 14 Tage lang kostenlos oder kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.