Gestiegene Sicherheitsanforderungen im gesamten EU-Finanzsektor

DORA implementiert = gut geschützt vor Angriffen?

Mit der Implementierung von DORA sehen sich die meisten Finanzunternehmen gut aufgestellt, um sich und ihre Geschäftsprozesse im Falle eines Cyberangriffs zu schützen. Doch diese Annahme ist zu kurzsichtig, denn sie lässt das Management zukünftiger Veränderungen außer Acht, das die operative Resilienz dauerhaft sichern muss. 

Veränderungen mit DORA managen

Zum Zeitpunkt der Ist-Erhebung zu DORA wurden in den Finanzunternehmen zum Teil sehr große Projekte aufgesetzt, um die vorhandenen und zukünftig möglichen Risiken genauer zu beleuchten. Daraus folgend wurden Maßnahmen abgeleitet und beschrieben, mit denen diese Risiken vermieden, mitigiert, transferiert oder gestreut werden können.

Besonders detailliert wird in der DORA-Verordnung vorgegeben, wie sich Unternehmen gegen Dienstleister-Ausfälle schützen müssen. Anlass hierfür waren eine Reihe von Cyberangriffen in Form von Datenverschlüsselungs-Attacken (Ransomware), die zu erheblichen wirtschaftlichen Schäden führten, da viele Dienstleister von denselben zentralen Infrastrukturen abhängig sind.

Für Neuanschaffungen sind diese Prozesse in der Regel gut etabliert. Insbesondere spielt das sogenannte Ausgliederungsmanagement eine wesentliche Rolle. Ein genauerer Blick lohnt sich jedoch auf die Veränderungsprozesse, insbesondere wenn Unternehmen Cloud-Dienste wie SaaS (Software as a Service), IaaS (Infrastructure as a Service) oder PaaS (Platform as a Service) nutzen. Die zentrale Frage lautet dann: Wie erkennen Unternehmen rechtzeitig Veränderungen in diesen Diensten, die Risiken mit sich bringen könnten? Denn diese Dienste liegen nicht direkt in ihrem Kontrollbereich und Veränderungen werden nicht automatisch wahrgenommen und somit auch nicht hinsichtlich der darin verborgenen Risiken bewertet.

DORA fordert in diesem Zusammenhang strikte Tests jeder Veränderung vor der Produktivsetzung. Dabei müssen Unternehmen sicherstellen, dass Risikoveränderungen frühzeitig erkannt und bewertet werden.

Verändert sich bei genutzten Diensten der Leistungsumfang, entstehen oft neue Risiken. Diese müssen erkannt werden, bevor ein Dienst weiterhin oder erneut verwendet wird. Doch eine vollständige Identifikation aller relevanten Veränderungen ist oft komplexer, als es auf den ersten Blick scheint.

Beispiele:

• Wenn ein Fachbereich eigenständig Software nutzt oder verändert, ohne dass die IT-Abteilung involviert ist.
• Wenn ein Dienstleister fusioniert oder Subdienstleister austauscht, wodurch bestehende Notfallpläne nicht mehr wie geplant funktionieren.
• Wenn durch eine Änderung neue Bedrohungen für die IT-Sicherheit entstehen, die eine sofortige Risiko-Neubeurteilung erfordern.

Deshalb ist es essenziell, dass alle Organisationseinheiten eng mit dem Risikomanagement zusammenarbeiten. Quartalsorientiertes Meldewesen ist nicht mehr zeitgemäß – stattdessen muss das Risikomanagement direkt mit dem Veränderungsmanagement gekoppelt werden, um kontinuierlich auf neue Risiken reagieren zu können. Im folgenden erläutern wir einige alltägliche Szenarien, deren Tragweite hinsichtlich des Risikomanagements sich erst bei genauerem Hinsehen erschließen lässt.

DORA-Veränderungsmanagement: Business und Kontrolle

Eine HR-Anwendung eines Dienstleisters (zu berücksichtigendes Thema hierbei: Third Party Risk) wird zunächst für Zwecke eingeführt, die einem normalen Verwaltungsakt geschuldet sind und sich hinsichtlich Vertraulichkeits-, Verfügbarkeits- und Integritätsrisiko her vertretbar auslagerungsfähig einstufen lassen – zum Beispiel die Mitarbeiter-Zeiterfassung. Die Risikoanalyse wird zu diesem Zeitpunkt typerischerweise für diejenigen Teile der Anwendung durchgeführt, deren Verwendung zu diesem Zeitpunkt vorgesehen ist. 

Die Anwendung verfügt aber über ein deutlich stärkeres Toolpotential und erlaubt in der Nutzung viel, so dass die ausgeführten Prozesse in der täglichen Nutzung beständig erweitert werden. Zum Beispiel sollen jetzt auch Mitarbeitergespräche protokolliert werden. Diese Daten sind in der Regel als streng vertraulich einzustufen, weil sensible oder kritische Inhalte erfasst werden könnten. Aus Sicht des Risikomanagements ist ein „Change Request“ erforderlich, obwohl technisch keine Veränderung vorgenommen wird. Und das, bevor die Anwendung erweitert produktiv genutzt wird. 

Anhand dieses einen Beispiels wird schon die notwendige enge Zusammenarbeit aus verschiedenen Organisationseinheiten hinsichtlich des Risikomanagements gut sichtbar: Compliance hat Prozesse definiert, die solche Risiken sichtbar machen, z.B. ein Service-Management nach ITIL. Der Fachbereich meldet in diesem Prozess-Rahmenwerk die gewünschte veränderte Nutzung, der zufolge der Datenschutz die Vertraulichkeit neu einstufen und das Risikomanagement zusätzliche Maßnahmen zum Schutz der Daten beim Dienstleister einfordern kann. Governance prüft die Wirtschaftlichkeit, Recht prüft Vertragsrechte, Einkauf passt die Verträge an und verändert gegebenenfalls die Überwachungsmaßnahmen zum Dienstleister. Aufgrund des erhöhten Risikos werden zusätzliche Tests in Fachbereich und IT eingeführt.

DORA-Veränderungsmanagement: IT und Risikomanagement

Ein externes Rechenzentrum, das die Daten eines Finanzunternehmens verwaltet, wird beim Einkauf gründlich geprüft und mit der Überzeugung unter Vertrag genommen, dass dieses sicher ist. Die Überprüfung erfolgt regelmäßig. Demgegenüber muss sich jedes Finanzunternehmen allerdings bewusst machen, dass solche Rechenzentren immer wieder und oft im Fokus von Angriffen stehen, da sich der Schaden mit der Anzahl der Nutzer eines solchen Dienstes multipliziert. Daher ist es aus Gesichtspunkten der Notfallvorsorge unbedingt notwendig, von einem Dienstleister zum anderen schwenken zu können, sollte ein Dienstleister in Schwierigkeiten gelangen. 

Nehmen wir als Beispiel den Notfallplan, dass für den Fall, dass die Daten des Rechenzentrums-Betreibers verschlüsselt würden, die Daten bei einem anderen Rechenzentrums-Betreiber angezeigt werden könnten. Und zwar bis das Problem behoben ist! Denn das kann auch mal einige Wochen dauern, denn die Angreifer verschlüsseln meist so, dass das Einspielen einer Datensicherung auch das Einspielen der Verschlüsselung bedeutet. Die Behebung eines solchen Problems dauert deshalb oft so lange, weil erst die eigentlichen Informationen von den schadhaften getrennt werden müssen, da diese von den Angreifern versteckt hinterlegt wurden und sich die Suche nicht immer ganz einfach gestaltet.

Ein weiteres gutes Beispiel ist das eines kranken Kunden aus der Versicherungsbranche, der genau in diesem Augenblick eine OP beantragt hat und auf die Kostenzusage wartet. Bei einer dringenden OP kann er auf diese Zusage nicht lange warten. Eine blinde Kostenzusage kann das Versicherungsunternehmen aber auch nicht treffen. Und die OP kann oder will der Kunde nicht aus eigener Tasche bezahlen. Eine Operation kann leicht 15.000 Euro oder auch viel mehr kosten. Welches Schicksal steckt hinter dieser finanziellen Entscheidung? 

Ein Finanzinstitut beugt diesem gerne vor, indem die Daten mit einem passenden Stand gesichert sind, so dass diese Daten beim gleichen oder besser einem anderen Dienstleister interimistisch verarbeitet werden können, dessen Infrastruktur gegen diese Verschlüsselung immun war.

DORA-Veränderungsmanagement: Recht und Compliance im Portfolio

Die meisten Institute haben zum Stichtag 17. Januar 2025 ihr DORA-Projekt abgeschlossen und erfüllen die gesetzlichen Anforderungen. Bei der Frage aber, ob sie dies auch in einem Jahr und darüber hinaus tun werden, gibt es viele Unsicherheiten. Wie entwickelt sich das Unternehmen weiter? Welche Auswirkungen ergeben sich aus etwaigen Veränderungen auf die Erfüllung von DORA? Recht und Compliance müssen den Zusammenhang von Änderungen und deren Wirkung auf DORA einschätzen können. Dazu arbeiten diese heute enger und engmaschiger als bisher mit den Fachbereichen zusammen. Ein Fachbereich kann dabei nicht im Silo denken, viele Veränderungen finden Fachbereichs-übergreifend statt. Deshalb ist es heute sinnvoll und unabdingbar, Melde- und Entscheidungswege in Service-Prozessen etabliert zu haben (Gesetz, Prüfung, Entscheidung). Um dabei nicht in zu viel Arbeit unterzugehen, ist es möglich, automatische Prüfungen zu verwenden. Dann können sich alle Beteiligten voll und ganz darauf konzentrieren, die echten Betroffenheiten juristisch oder hinsichtlich Compliance und Governance zu prüfen. Änderungen aufgrund von Rechtseinschätzungen gehören in ein Portfolio und konkurrieren so mit anderen Projekten. Diese Ressourcen müssen freigehalten werden, denn in den meisten Unternehmen gilt, dass rechtliche Themen höchste Priorität haben. Im Übrigen sollte dies auch abseits von DORA implementiert sein, denn es gilt im Prinzip für alle möglichen Gesetze und Regulierungen.

DORA-Veränderungsmanagement: Effizientes Steuern von Risiken

In DORA spielt das Risikomanagement die Haupt-Rolle. Es wird erwartet, dass es klare Prozesse gibt, die jedes relevante Risiko gegen die digitale Resilienz im Risikomanagement steuern. Das heißt aus dem Berufsalltag heraus gesprochen: Man kommt mit einem Meldewesen auf Basis von Excel nicht mehr gut durch. Von diesem Ausgangspunkt gedacht, klingt es zunächst nach sehr viel Arbeit. Vieles davon ist aber automatisierbar, wie z.B. die Auswertung des vorhandenen Wissens in den Systemen. So kann z.B. das Risikomanagement durch automatisierte Meldungen den einen Server entdecken, der (versehentlich) keine Sicherheitsupdates bekommen hat. Durch eine Automatisierung erhöhen sich zudem Meldequalität und -geschwindigkeit. Ein unsicherer Server stellt nämlich meist nicht nur eine Gefahr für sich, sondern auch für die umliegenden Systeme dar. Dieses scheinbar kleine Risiko könnte ganze Prozessketten zum Stillstand bringen. Deshalb startet man DORA auch gerne mit der Überprüfung aller Prozessdokumentationen, die bei der Einschätzung eines Risikos eine große Rolle spielen.

DORA spart aber auch Geld und kostet nicht nur. So ist es z.B. viel wirtschaftlicher, einem mit einem Risiko verbundenen Schaden entgegenzuwirken, als bis zum Eintritt eines Risikos zu warten. Den Schaden zu beheben kostet oft ein zehnfaches oder hundertfaches an Aufwand. Selbst wenn die Eintrittswahrscheinlichkeit also niedrig, der Schaden aber sehr hoch ist, rentieren sich die im Verhältnis preiswerten Maßnahmen zur Risikovermeidung, Risikoreduzierung oder Risikomitigation. 

Risiken verringern kann darüber hinaus mit dem Thema „Immer Testen vor Produktiveinsatz“, dessen Wirkung gerne unterschätzt wird. Dieses Thema zahlt nämlich vor allem darauf ein, Risiken früher zu erkennen, also noch bevor sie produktiv entstehen. 

DORA verpflichtet dazu, die Informations- und Kommunikationstechnologie auf Herz und Nieren zu prüfen, mit einem risikobasierten, proportionalen Testprogramm. 
Von übergeordneter Stelle werden darüber hinaus nochmal alle Finanzunternehmen geprüft, mit dem Hauptzweck der Hilfestellung, Risiken zu erkennen und somit europaweit für Resilienz der Finanzunternehmen zu sorgen. Aber geprüft wird das, was die Unternehmen jetzt an Mehrwert schaffen: Digitale Resilienz.

DORA-Veränderungsmanagement: Kontrolle als Aufsichtsrat oder Vorstand

Da der Aufsichtsrat und Vorstand eine zentrale Rolle in der Governance und Überwachung der DORA-Compliance spielen, ist ein strukturiertes Risikomanagement entscheidend. Eine effiziente Umsetzung erfordert Automatisierung, gezieltes Portfoliomanagement und klare Überwachungsmechanismen, um sicherzustellen, dass Prozesse resilient bleiben und die Steuerung nachweislich funktioniert, ohne dabei den Aufwand zu hoch werden zu lassen.

Die Einführung von DORA war ein wichtiger Meilenstein, aber die eigentliche Herausforderung liegt in der kontinuierlichen Kontrolle im täglichen Betrieb und insbesondere im täglichen Veränderungsmanagement. Wie kann der Aufsichtsrat sicherstellen, dass Risiken in Echtzeit erkannt und adressiert werden?

Beispiele für typische Kontrollfragen eines Aufsichtsrats oder Vorstands:

• Wie wird sichergestellt, dass alle Veränderungen in IT-Systemen und Drittanbieter-Diensten systematisch erfasst, bewertet und genehmigt werden?
• Gibt es automatisierte Überwachungsmechanismen, um neue IKT-Risiken in Echtzeit zu erkennen?
• Wie erfolgt die Berichterstattung an den Vorstand bzw. Aufsichtsrat? 
  Sind die Indikatoren und KPIs für DORA-Risiken transparent und verständlich aufbereitet?
• Welche Prozesse greifen, wenn sich ein Dienstleister ändert oder neue regulatorische Anforderungen entstehen?

Diese Kontrollfragen zeigen, dass DORA kein einmaliges Compliance-Projekt ist, sondern eine kontinuierliche Managementaufgabe, die eine klare Verantwortlichkeitsverteilung und stringente Kontrollen erfordert.

Wann bin ich fertig mit DORA?

Wir bei trendig verfügen über umfassende Erfahrung in der Gestaltung und Optimierung oben dargestellter Prozesse und können deutsche Banken, Versicherungen und Finanzdienstleister dabei unterstützen, dass DORA-Compliance nicht nur ein formaler Nachweis bleibt, sondern zu einem integralen Bestandteil der Unternehmenssteuerung ausgebaut wird, um digitale Resilienz zu erreichen.

Einige Hauptgedanken, die für uns bei trendig zu den essentiellen Bestandteilen Deiner Bemühungen rund um DORA-Compliance zählen sollten, möchten wir Dir im Folgenden noch einmal in kurzen Stichpunkten vorstellen.

Belastbare IKT-Systeme zur Risikominimierung

Eine der zentralen Maßnahmen zur Reduzierung von IKT-Risiken ist die Einrichtung und Pflege belastbarer IKT-Systeme und -Werkzeuge. Diese müssen so gestaltet sein, dass sie Sicherheitslücken minimieren und widerstandsfähig gegenüber Bedrohungen sind. Resiliente IT-Infrastrukturen tragen entscheidend dazu bei, die Betriebsstabilität zu sichern und Ausfallrisiken zu reduzieren.

Identifizierung und Klassifizierung kritischer Funktionen und Prozesse

Ein effektives Risikomanagement setzt voraus, dass kritische Schlüsselfunktionen und -Prozesse identifiziert, klassifiziert und dokumentiert sind. Ohne eine detaillierte Erfassung dieser Elemente ist eine gezielte Steuerung und Priorisierung von Sicherheitsmaßnahmen nicht möglich.

Kontinuierliche Überwachung und Meldesysteme für IKT-Risiken

Die fortlaufende Überwachung aller Quellen von IKT-Risiken ist entscheidend, um frühzeitig potenzielle Bedrohungen zu erkennen und geeignete Schutz- und Präventionsmaßnahmen einzurichten. Hierbei ist ein Meldewesen für erkannte Sicherheitslücken für fast alle Dienste zu etablieren, um eine schnelle Reaktion auf neue Risiken zu ermöglichen und Angriffsflächen zu minimieren.

Automatisierte und dokumentierte Risiko-Kommunikation

Ferner ist eine linienübergreifende, automatisierte und protokollierte Kommunikation über Veränderungen an wesentlichen Risiken essenziell. Dabei müssen relevante Stakeholder in den Feldern Datenschutz, Informationssicherheit, Risikomanagement, IT, Fachbereiche, Recht, Einkauf und Vorstand eng zusammenarbeiten, um Risiken frühzeitig zu bewerten und entsprechende Maßnahmen zu koordinieren.

Vollständige Tests vor Produktivsetzung von Änderungen

Bevor Änderungen an Software, Hardware, Infrastruktur oder Diensten in den produktiven Betrieb überführt werden, sind vollständige Tests unerlässlich. Dies gilt nicht nur für Neuimplementierungen, sondern insbesondere auch für bestehende Systeme, um Risiken durch unerkannte Schwachstellen zu minimieren.

Echtzeit-Monitoring mit unverzüglicher Meldefähigkeit

Zur Erkennung von anomalen Aktivitäten ist ein umfassendes 24/7-Monitoring erforderlich, das eine unverzügliche Meldung von IT-Sicherheitsvorfällen sicherstellt. Nur durch eine schnelle Identifikation und Eskalation von Sicherheitsproblemen kann ein wirksames Incident-Response-Management gewährleistet werden.

Business-Continuity-Richtlinien und Notfallpläne

Die Einführung und regelmäßige Aktualisierung von Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungsplänen ist für die Betriebssicherheit essenziell. Jährliche Tests dieser Pläne stellen sicher, dass alle notwendigen Funktionen auch im Ernstfall funktionsfähig bleiben und Krisenszenarien effizient bewältigt werden können.

Risikomanagement bei Dienstleister-Abhängigkeiten

Ein kritischer Punkt im Risikomanagement ist die Erkennung von Auswirkungen auf Notfallpläne, wenn sich Rahmenbedingungen ändern. Besonders relevant ist dies bei Abhängigkeiten von Dienstleistern und Sub-Dienstleistern, da Notfallpläne oft von deren Stabilität abhängen. Unternehmen müssen sicherstellen, dass alle beteiligten Partner ebenfalls über robuste Notfallstrategien verfügen.

Lernmechanismen aus internen und externen Vorfällen

Die kontinuierliche Verbesserung der IT-Sicherheit erfordert die Einrichtung von Mechanismen zur Analyse und Auswertung von externen sowie internen IKT-Vorfällen. Unternehmen müssen aus vergangenen Sicherheitsereignissen lernen, um ihre Schutzmaßnahmen kontinuierlich weiterzuentwickeln und zukünftige Bedrohungen frühzeitig zu erkennen.

Häufig gestellte Fragen zu DORA