Wie DORA für mehr Sicherheit im Finanzsektor sorgt

An einem ruhigen Donnerstagabend im Februar 2016 inszenierte die nordkoreanische Hackergruppe Lazarus einen meisterhaften Cyberraub und entwendete 81 Millionen US-Dollar aus der Zentralbank von Bangladesch. Bereits ein Jahr zuvor hatten die Angreifer eine Malware über eine infizierte E-Mail in das Netzwerk der Bank eingeschleust und den digitalen Raub sorgfältig geplant. Die Hacker nutzten das Swift-System der Bank, um Zahlungen in Höhe von fast einer Milliarde US-Dollar in Auftrag zu geben, von denen letztendlich 81 Millionen erfolgreich gestohlen werden konnten. Um ihre digitalen Spuren zu verwischen, setzten die Angreifer den Drucker der Bank außer Gefecht, der normalerweise Quittungen für alle Überweisungen ausdruckt. Der Raub hätte möglicherweise völlig unbemerkt bleiben können, wäre man nicht bei einer zufälligen Überprüfung auf den Namen "Jupiter" gestoßen – ein Name, der auch einem sanktionierten iranischen Schiff zugeordnet war. Trotz dieser Entdeckung gelang es den Hackern, den Großteil des gestohlenen Geldes durch Casinos in Macau (China) zu waschen und nach Nordkorea zu transferieren. Dieser spektakuläre Einbruch in die digitalen Tresore der Zentralbank zeigte nicht nur die wachsende Raffinesse von Cyberangriffen auf Finanzinstitute, sondern offenbarte auf dramatische Art und Weise die Schwachstellen in den digitalen Infrastrukturen des Finanzsektors.

Mit der DORA-Verordnung reagiert die Europäische Union nun auf diese Bedrohungen und verpflichtet Finanzinstitute, ihre digitale Resilienz zu stärken.

In diesem Blogbeitrag erläutern wir die wesentlichen Fragen und vermitteln Ihnen die notwendigen Informationen der neuen EU-Verordnung DORA:

Was ist DORA?

Seit seiner Einführung Ende 2022 wurde der Digital Operational Resilience Act vielfältig überarbeitet, um der dynamischen Technologielandschaft und dem Bedarf an einem flexiblen regulatorischen Ansatz gerecht zu werden. Als Teil einer umfassenden Strategie der Europäischen Union soll die Verordnung für die Verbesserung der operationellen Resilienz des Finanzsektors sorgen und verlangt von allen Finanzakteuren, dass ihre digitalen Infrastrukturen allen Arten von Störungen widerstehen können.

Mit der Festlegung strengerer Anforderungen an das digitale Risikomanagement schützt DORA nicht nur den Finanzsektor vor Cyberbedrohungen, sondern schafft auch einen Rahmen zur Minderung der damit verbundenen Risiken und anderen IKT-bezogenen Vorfällen. Ihr Ziel ist es, die Widerstandsfähigkeit gegen Cyber-Bedrohungen und Betriebsausfällen zu erhöhen, um den Schutz der Finanzsysteme und der Daten aller Kunden zu gewährleisten.

Für welche Unternehmen gilt DORA?

DORA betrifft eine Vielzahl von Finanzakteuren aus dem europäischen Finanzsektor. Dazu gehören Banken, Versicherungsunternehmen, Zahlungsinstitute, Wertpapierfirmen und Kreditinstitute sowie alle externe Partner und Anbieter kritischer Finanzinformationen. Besonders für IKT-Anbieter hat die neue Verordnung bedeutende Implikationen, da diese nun strengere Regelungen in Bezug auf die Stärkung der digitalen Resilienz befolgen und verstärkt in Sicherheits- und Überwachungsmaßnahmen investieren müssen.

Welche Anforderungen beinhaltet DORA?

Der Angriff auf die Zentralbank von Bangladesch hat eindrucksvoll die wachsenden Bedrohungen durch Cyberangriffe gezeigt. Besonders im Finanzsektor können solche Cyberbedrohungen, Hackerangriffe und Datenlecks schwerwiegende Folgen wie Identitätsdiebstahl, Betrug und finanzielle Schäden für alle Beteiligten haben.

Hier setzt DORA nun an und beinhaltet eine Reihe von Maßnahmen und Vorschriften. Sie legt klare und umfassende Anforderungen fest und soll die digitale Betriebsresilienz von Finanzinstituten stärken. Ihre Anforderungen zielen darauf ab, (1) die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen, (2) potentielle Risiken durch Drittanbieter zu analysieren, (3) IKT-bezogene Vorfälle zu überwachen und zu melden und (4) regelmäßige Tests der IKT-Systeme durchzuführen.

1. IKT-Risikomanagement

   Mit der Einführung robuster Prozesse und Kontrollen für das Management von Cyberrisiken und der Durchführung regelmäßiger Sicherheitsaudits verpflichtet DORA alle Finanzinstitute, potentielle Risiken durch Cyberbedrohungen systematisch zu identifizieren, zu bewerten und zu mindern. Dazu sind strukturierte und kontinuierliche Prozesse zur proaktiven Überwachung und zum Management von Cyberrisiken erforderlich. Dies umfasst die Implementierung von Sicherheitskontrollen, regelmäßige Überprüfungen der IT-Infrastruktur und Reaktionspläne für Notfälle. Auch bei Drittanbietern und Partnern müssen diese Kontrollen wirksam sein. Ziel ist es, eine flexible und starke Abwehrstrategie zu entwickeln, die sich an neue Bedrohungen anpasst und bestehende IKT-Risiken minimiert. Diese robuste IKT-Risikomanagementstruktur schützt sensible Daten und stärkt das Vertrauen der Verbraucher in die Sicherheit der Finanzsysteme. Organisationen müssen sicherstellen, dass ihre IT-Infrastrukturen den geltenden Standards entsprechen und nur autorisierte Personen Zugang zu sensiblen Daten erhalten. Dies minimiert das Risiko von Sicherheitsverletzungen und verbessert die gesamte Sicherheitslage.

2. Umfassender Drittparteienschutz

   Durch die sorgfältige Analyse von Risiken durch Drittanbieter und die Implementierung effektiver Risikominimierungsstrategien sollen Abhängigkeiten von externen Dienstleistern sicherer gestaltet werden. Finanzinstitute sind verpflichtet, umfassende Risikoanalysen durchzuführen, um Schwachstellen bei Drittanbietern zu identifizieren, einschließlich der Bewertung ihrer IT-Sicherheitspraktiken, ihrer Abwehrmechanismen gegen Cyberangriffe und ihrer Reaktionsfähigkeit bei Sicherheitsvorfällen. Zur Risikominimierung sind strenge vertragliche Vereinbarungen erforderlich, die klare Sicherheitsstandards und detaillierte Risikomanagementanforderungen festlegen. Durch regelmäßige Audits und Überprüfungen muss sichergestellt werden, dass diese Standards konsequent eingehalten werden. Diese Maßnahmen tragen maßgeblich zur Reduktion des Risikos von Cyberangriffen durch Drittanbieter bei und stärken die Sicherheit im Finanzsektor erheblich.

3. Vorfallsmanagement

   Die Implementierung eines Prozesses zur Überwachung und Meldung von IKT-Vorfällen ist ein zentraler Bestandteil der DORA-Verordnung. Er gewährleistet, dass Finanzinstitute Bedrohungen schnell und effektiv begegnen können, und umfasst die kontinuierliche Überwachung aller IT-Systeme zur sofortigen Erkennung von Anomalien und Sicherheitsvorfällen. Bei der Entdeckung eines Vorfalls muss dieser umgehend bewertet und klassifiziert werden, um die Schwere und den potenziellen Schaden einzuschätzen. Relevante interne und externe Stakeholder, einschließlich der Aufsichtsbehörden, sind unverzüglich zu informieren. Ein klar definierter Meldeprozess verhindert die Eskalation von Vorfällen und leitet schnell Gegenmaßnahmen ein. Dieser strukturierte Ansatz minimiert die Auswirkungen von Cyberangriffen, indem er sicherstellt, dass alle relevanten Parteien sofort informiert werden und geeignete Maßnahmen ergreifen können, um den Schaden zu begrenzen.

4. Regelmäßige Tests

   Die DORA-Verordnung fordert regelmäßige Tests der IKT-Systeme zur Stärkung der digitalen Resilienz. Finanzinstitute müssen ihre Informations- und Kommunikationstechnologiesysteme kontinuierlich strengen Tests unterziehen, um deren Widerstandsfähigkeit gegen Cyberangriffe sicherzustellen. Dazu gehören umfassende Penetrationstests und Simulationen von Cyberangriffen zur Bewertung der Reaktionsfähigkeit der Systeme. Regelmäßige Tests ermöglichen die frühzeitige Identifikation und Behebung potenzieller Sicherheitslücken, bevor diese ausgenutzt werden können. Zudem tragen sie zur kontinuierlichen Verbesserung und Anpassung der Sicherheitsstrategien an die sich stetig verändernde Bedrohungslandschaft bei. Dies gewährleistet, dass die digitalen Infrastrukturen der Finanzinstitute stets dem neuesten Stand der Technik entsprechen und optimal geschützt sind.

Warum ist ein tiefes Verständnis der DORA-Verordnung für den Finanzsektor unerlässlich?

Die Einhaltung und ein tiefes Verständnis der DORA-Verordnung ist unerlässlich, um den Finanzsektor langfristig gegen potentielle Cyberangriffe zu schützen und einen erneuten Millionschaden zu verhindern. Die Bedeutung der DORA-Verordnung sollte daher als sehr hoch eingeschätzt werden. Dies umfasst die genaue Analyse und Umsetzung der durch die Verordnung vorgeschriebenen Standards und Praktiken, um umfassende Cyber-Sicherheitsmaßnahmen sicherzustellen. Die strikte Einhaltung dieser Anforderungen befähigt Organisationen, sich effektiv gegen Betriebsunterbrechungen und Cyber-Bedrohungen zu schützen, und erhöht somit erheblich die digitale Widerstandsfähigkeit.

Welchen Einfluss hat DORA für betroffene Finanzakteure?

DORA wird ein entscheidender Faktor für die Cybersicherheitsstrategien vieler Unternehmen sein. Sie bietet einen umfassenden Rahmen für den Schutz der digitalen Infrastruktur und sorgt dafür, dass sowohl Unternehmen als auch Verbraucher von einem höheren Sicherheitsniveau profitieren. Die Implementierung der DORA-Prinzipien hat das Potenzial, Software-Lieferprozesse grundlegend zu transformieren. Alle Finanzakteure können mit einer signifikanten Steigerung der Bereitstellungshäufigkeit, verkürzten Durchlaufzeiten für Änderungen, schnelleren Fehlerbehebung und einer allgemeinen Verbesserung der Entwicklungseffizienz rechnen. Mit der Umsetzung der DORA-Maßnahmen kann so die Widerstandsfähigkeit gegen Cyberangriffe langfristig gesteigert werden.

Ab welchem Zeitpunkt müssen Unternehmen die Anforderungen aus DORA umsetzen?

DORA wurde Ende 2022 eingeführt und tritt am 17. Januar 2025 in allen EU-Mitgliedstaaten in Kraft. Betroffene Unternehmen müssen die Anforderungen aus dem Digital Operational Resilience Act (DORA) ab dem festgelegten Zeitpunkt der regulatorischen Umsetzung einhalten.

Wie beeinflusst DORA die Zusammenarbeit mit IT-Dienstleistern?

Die neue Verordnung hat erhebliche Auswirkungen auf IT-Dienstleister, da sie strengere Sicherheitsmaßnahmen und Risikomanagement-Protokolle einführt. Diese Anforderungen zielen darauf ab, die operative Resilienz zu stärken und die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen. Dies kann erhöhte Compliance-Kosten und notwendige Anpassungen in den Geschäftsprozessen mit sich bringen.

Werden IKT-Drittdienstleister durch DORA künftig unter die Finanzdienstleistungsaufsicht gestellt?

Die bevorstehende Umsetzung von DORA könnte dazu führen, dass Informations- und Kommunikationstechnologie-Drittdienstleister strenger reguliert werden. Veränderungen in den regulatorischen Anforderungen könnten tiefgreifende Auswirkungen auf die IT-Dienstleisterbranche haben. Rechnen Sie mit umfassenderen Überwachungs- und Kontrollmechanismen.

Welche DORA-Vorgaben entstehen für das IKT-Risikomanagement?

DORA verpflichtet Finanzakteure im europäischen Raum, umfassende Anforderungen für das IKT-Risikomanagement umzusetzen. Dies umfasst die Entwicklung robuster Strategien zur Identifizierung, Bewertung und Minimierung von IT-Risiken. Ein effektives IKT-Risikomanagement gewährleistet die Integrität, Verfügbarkeit und Vertraulichkeit digitaler Vermögenswerte und sichert so die Geschäftskontinuität. Es beinhaltet die Erstellung von Risikominimierungsplänen, die potenzielle Risiken identifizieren, ihre Auswirkungen bewerten und Strategien zur Risikovermeidung oder -reduktion implementieren.

Wie unterstützen zentrale Cloud-Speicherplattformen bei der Einhaltung der DORA-Compliance?

Cloud-Plattformen spielen eine entscheidende Rolle bei der Einhaltung der DORA-Verordnung. Sie bieten eine umfassende IT-Sicherheitslösung, die den DORA-Anforderungen entsprechen und somit das IKT-Risikomanagement effizienter gestalten.
Durch den Einsatz von Cloud-Diensten können Finanzinstitute Best Practices für die Risikominimierung umsetzen und so die Compliance-Anforderungen der EU-Richtlinie erfüllen. Diese Plattformen unterstützen bei der Überwachung und Verwaltung von Risiken, um eine robuste digitale Operationsresilienz zu gewährleisten.
Cloud-Provider bieten zudem kontinuierliche Aktualisierungen und passende Sicherheitsfeatures, wie von der DORA-Verordnung gefordert. Dies erleichtert es Unternehmen, die Einhaltung der DORA-Compliance sicherzustellen.

Über DRACOON

Als zentraler Speicherort mit Zero-Trust-Prinzipien und einfachem Dateiaustausch ohne Umwege unterstützen wir Sie bei der Einhaltung vieler DORA-Anforderungen. Schützen Sie Ihre IT-Systeme mit unserer clientseitigen Verschlüsselung für jeden Datenraum und tauschen Sie sensible Inhalte bequem, einfach und sicher via Freigabelinks mit Ihren Kolleginnen und Kollegen sowie mit externen Partnern aus. Unsere BSI C5 Typ 2 Testierung sowie Zertifizierungen nach ISO Normen 27001, 27017 und 27018 signalisieren ein hohes Maß an Sicherheit.

Mit dem feingranularen und rollenbasierten Benutzer- und Rechtemanagement erhalten nur diejenigen Zugriff auf sensible Daten, die es auch wirklich benötigen. Mit einer umfassenden Protokollierung aller Vorgänge und Datenbewegungen im Audit-Log behalten Sie dabei stets die volle Übersicht. Auch können Sie mithilfe von individuell anpassbaren Berichtsoptionen, das Audit-Log schnell & einfach auswerten. So können Sie potentielle Sicherheitslücken sofort identifizieren und etwaigen Meldepflichten schnell nachkommen.

Mit DRACOON schaffen Sie eine geschützte Arbeitsumgebung für Ihre gesamte Organisation und können entspannt den vielen DORA-Anforderungen begegnen.

Überzeugen Sie sich gerne selbst und testen Sie DRACOON 14 Tage lang kostenlos oder kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.