test the episodes
Die Hintergründe
Die DORA-Verordnung bedeutet für Finanzunternehmen Mehraufwände, aber auch eine wichtige Chance – ihre Cyber-Resilienz zu erhöhen, effektiv auf Vorfälle reagieren zu können und ein konsistent hohes Sicherheitsniveau zu erreichen.
Immer mehr Vorfälle und ausgeklügeltere Angriffe machen es nötiger denn je, einen effektiven Schutz zu etablieren und Cyber-Bedrohungen gestärkt entgegenzutreten.
Hier gibt es mehr über die Hintergründe von DORA zu erfahren.
Was ist DORA?
Beim Digital Operational Resilience Act (DORA) handelt es sich um eine EU-Verordnung, welche die digitale Widerstandsfähigkeit von Finanzunternehmen und -infrastrukturen stärken soll. DORA legt einheitliche Vorschriften fest, damit die betreffenden Organisationen gegen Cyberangriffe und andere IT-bezogene Risiken gewappnet sind.
Die Verordnung bündelt und harmonisiert Regelungen aus anderen EU-Verordnungen sowie Richtlinien – und verlangt eine umfassende Anpassung der IT- und Risikomanagementsysteme. Sie trat am 17. Januar 2025 in Kraft.
Was besagt DORA?
Der Digital Operational Resilience Act soll die digitale Resilienz des gesamten europäischen Finanzsektors stärken.
Wesentliche Inhalte sind dabei die folgenden:
- Risikomanagement: Um IT-Risiken zu identifizieren, zu bewältigen und zu überwachen, müssen Finanzunternehmen robuste Systeme und Prozesse implementieren.
- Meldepflichten: Unternehmen sollen IT-Störungen und Cyberangriffe dokumentieren und melden.
- Drittanbieter-Management: Es gelten strenge Regeln für den Umgang mit kritischen Drittanbietern von IT-Diensten wie Cloud-Providern.
- Regelmäßige IT-Tests: Um mögliche Schwachstellen zu identifizieren, müssen Unternehmen ihre digitalen Systeme regelmäßig auf Schwachstellen testen.
- Einheitlicher Rahmen: Es erfolgt eine Harmonisierung der Anforderungen innerhalb der EU, um eine Fragmentierung zu vermeiden.
Wen betrifft DORA?
DORA betrifft als europäische Verordnung nicht nur Finanzunternehmen, sondern auch andere Sektoren, darunter die folgenden Bereiche:
- Banken
- Versicherungen
- Investmentgesellschaften
- Börsen
- Zahlungsdienstleister
- Anbieter kritischer IKT (Informations- und Kommunikationstechnik)-Dienste
Übergeordnete Bereiche sind also Finanzinstitute, Finanz-Infrastrukturanbieter, aber auch Anbieter kritischer Dienstleistungen sowie Aufsichtsbehörden und Regulierungsstellen. Selbst kleinere, möglicherweise indirekt von Cyberrisiken betroffene Finanzakteure sowie deren Dienstleister müssen die von DORA geforderten Standards einhalten.
Die Verordnung betrifft eine breite Zielgruppe, da sie insgesamt die Verflechtungen innerhalb des Finanzsektors in den Blick nimmt. So könnten sich IT-Störungen eines bestimmten Akteurs auf die gesamte Branche auswirken. Aus diesem Grund müssen alle Beteiligten resilient gegenüber Cyber-Risiken sein.
Was bedeutet DORA für betroffene Unternehmen?
Im Groben gibt es zwei Möglichkeiten: Entweder nehmen Unternehmen und Organisationen DORA als eine Herausforderung oder als eine Chance vor.
DORA als Herausforderung
Die Verordnung birgt Herausforderungen, da es in der Regel einen langen Adaptierungsprozess braucht, um sie einzuhalten. Dieser sollte bei zwei Jahren Zeit zwischen dem Inkrafttreten am 17. Januar 2023 und der Anwendung am 17. Januar 2025 inzwischen abgeschlossen sein. Dennoch kann es zu Problemen kommen, da Finanzunternehmen konsequent einen konsistenten Reifegrad bei der Cybersicherheit und operativer Widerstandsfähigkeit sicherstellen müssen.
Dabei führt DORA zu neuen Anforderungen wie Penetrationstests (simulierte Hackerangriffe) und weitere verschärfte Sicherheitsmaßnahmen. Zudem müssen Unternehmen und ihre Dienstleister die wechselseitigen Abhängigkeiten genau klären sowie kontrollieren: So obliegt Unternehmen insbesondere bei kritischen Geschäftsprozessen die Aufgabe, sicherzustellen, dass Drittanbieter widerstandsfähig sind. Das funktioniert nur, indem sie eng mit IT-Dienstleistern zusammenarbeiten.
Kurzum: Um DORA dauerhaft gerecht zu werden, müssen Unternehmen hohe Aufwände leisten – und die Sicherheit der genutzten Systeme genauestens im Blick haben.
DORA als Chance
Ein Stein des Anstoßes, der Gutes bewirkt und dauerhaft schützt: So können Unternehmen DORA auch sehen. Denn Widerstandsfähigkeit ist nicht nur wichtig, sondern darüber hinaus ein wichtiger Wettbewerbsvorteil. Dabei sind Unternehmen, die bereits andere regulatorische Anforderungen erfüllen, generell besser aufgestellt als solche, bei denen das nicht der Fall ist.
Anders ausgedrückt: Es schadet nie, sich umfassend zu schützen – vor allem bei einer sich ständig erhöhenden Bedrohungslage.
Zu schnell sind kritische Angriffe geschehen, die nicht nur sensible Daten bedrohen, sondern auch hohe wirtschaftliche Schäden bedeuten können.
Chancen liegen in den folgenden Aspekten:
- Verbesserung der Resilienz und Sicherheit: Indem sie die DORA-Verordnung umsetzen, erhöhen Unternehmen effektiv ihre Cybersicherheit und Widerstandsfähigkeit gegen Angriffe – und erleben so ein geringeres Risiko von IT-Ausfällen, Cyberangriffen und anderen Vorfällen.
- Harmonisierung und Skaleneffekte: Durch den EU-weit einheitlichen Rahmen können grenzüberschreitend tätige Unternehmen ihre Prozesse optimieren und vereinheitlichen. Sie profitieren von weniger administrativen Hürden und Skaleneffekten.
- Wettbewerbsvorteile: Eine hohe digitale Resilienz fungiert als Qualitätsmerkmal und Vertrauensfaktor für Kunden, Partnern oder Investoren. Wer mögliche Angriffe und Ausfälle gut bewältigen kann, hebt sich im Wettbewerb ab.
- Ganzheitliche Kontrolle: Durch das Drittanbieter-Management können Unternehmen ihre Abhängigkeiten besser verstehen und frühzeitig geeignete Maßnahmen ergreifen, um etwaige durch externe Dienstleister entstehende Risiken zu minimieren.
- Innovationsanreize: Da betroffene Unternehmen mitunter in neue Technologien und Prozesse investieren müssen, erhalten sie die Chance, eine effiziente und zukunftssichere IT-Infrastruktur aufzubauen.
Best Practices für bessere Cybersicherheit
Der Digital Operational Resilience Act zwingt betroffene Unternehmen dazu, die eigene IT-Sicherheit zu erhöhen. Allerdings hat es auch losgelöst von einer Verordnung viel Sinn, in Cybersicherheit zu investieren – und sich dadurch nicht nur vor Angriffen und Vorfällen zu wappnen, sondern auch etliche damit einhergehende Vorteile zu verschaffen. Stabilität, eine gestärkte Position im Wettbewerb und ein Vertrauensbonus sind da vordergründig zu nennen.
Somit lohnt es sich – auch für Unternehmen außerhalb des Finanzsektors –, ihre IT-Sicherheit umfassend auf den Prüfstand zu stellen, konsequent aufzuarbeiten und damit verbundene Investitionen zu tätigen.
Die folgenden Best Practices können dabei helfen.
Best Practice #1: Strukturierte Cyber Defense implementieren
Im Ernstfall müssen vor allem IT-, Sicherheits- und Managementteams sicher und strukturiert miteinander kommunizieren. Vordefinierte und bewährte Prozesse sparen dabei Zeit und vermeiden Fehler. Eine adäquate Cyber-Defense-Lösung verschafft nicht nur allen Beteiligten einen schnellen Überblick und automatisiert Workflows, sondern verspricht auch absolut sichere Verschlüsselungen und erweiterte Compliance-Funktionen.
Best Practice #2: Auf passende IT-Services setzen
Externe Dienstleister mit IT-Services zu beauftragen, erhöht den Gestaltungsspielraum von Unternehmen und damit auch die Fähigkeit, flexibel auf Sicherheitsvorfälle reagieren zu können. Eine gute Skalierbarkeit, ein einfacher Zugang zu Fachwissen, ein geringeres Arbeitsvolumen und eine professionelle IT-Verwaltung sind einige der Vorteile.
Best Practice #3: IT Asset Management leisten
IT Asset Management beschreibt die systematische Verwaltung von IT Assets – wie Computer, Software, Netzwerke und wichtige Informationen. Indem dies zentral vonstatten geht, lassen sich Informationssilos und Risiken vermeiden.
Best Practice #4: Einen Incident Response Plan erstellen
Mit einem ausgeklügelten Notfallplan lässt es sich schnell und angemessen auf Sicherheitsvorfälle reagieren. Dabei ist es für eine hohe Cybersecurity ausschlaggebend, sich auf mögliche Bedrohungen vorzubereiten. Ein Incident Response Plan (IPR) enthält typischerweise Rollen, Verantwortlichkeiten, Eskalationswege, Kommunikationsprotokolle und technische Schritte, um Sicherheitsvorfälle bewältigen zu können.
Best Practice #5: Bedrohungen analysieren und überwachen
Die beste Abwehr besteht darin, eine Bedrohung gar nicht erst aufkeimen zu lassen. Somit empfiehlt es sich, Netzwerke auf unbefugte Aktivitäten zu überwachen und entsprechende Systeme zu implementieren. Wer zum Beispiel Threat Intelligence nutzt, um Daten zu Bedrohungen zu sammeln, analysieren und zu verbreiten, kann schnell reagieren und sie unschädlich machen, bevor sie akut werden.
Best Practice #6: IoT-Geräte absichern
Der Bereich Internet of Things (IoT) hat einen hohen Stellenwert gewonnen – und breitet sich weiter aus. Er bringt allerdings auch einige Sicherheitsrisiken mit sich. Um sich möglichst breit zu schützen, sollten bei den entsprechenden Geräten keine Standard-Passwörter genutzt und die Software regelmäßig aktualisiert werden. Ebenso empfiehlt es sich, unnötige Funktionen und Dienste zu deaktivieren.
Best Practice #7: Mit ethischen Hackern zusammenarbeiten
Niemand kann einen erfolgreichen Hacker-Angriff so gut vereiteln wie Hacker selbst. Ethische Hacker auf die eigenen Systeme anzusetzen, ist der Königsweg, um die Sicherheit auf das bestmögliche Niveau anzusetzen.
Im Wesentlichen gibt es dabei zwei mögliche Resultate:
- Ethische Hacker finden keine relevanten Schwachstellen, was eine optimale Rückversicherung dafür darstellt, dass ein System sicher ist.
- Es kommen relevante Schwachstellen zum Vorschein, so dass die betreffenden Organisationen diese beseitigen können, bevor es zum Ernstfall kommt.
Weitere Maßnahmen
Darüber hinaus hilft der Katalog von Maßnahmen, die mehr oder weniger zum guten Standard gehören, wie diese:
- Multi-Faktor-Authentifizierungen
- regelmäßige Software-Updates
- regelmäßige Überprüfung von Zugriffsrechten
- regelmäßige Backups kritischer Daten
- sicherer Umgang mit E-Mails
Was die richtigen Softwarelösungen leisten können
Bei Cybersicherheit kommt es vor allem auf die richtige Software an, in zweifacher Hinsicht:
- Die genutzte Software muss sicher und rechtskonform (complaint) sein.
- Es braucht – insbesondere im DORA-Bereich und bei kritischer Infrastruktur (KRITIS) spezielle Sicherheitslösungen, um sich umfassend zu schützen und bei möglichen Vorfällen schnell und angemessen reagieren zu können.
Die richtige Software-Unterstützung verleiht Organisationen das gute Gefühl von Sicherheit, unterstützt sie effektiv dabei, sämtliche Regularien einzuhalten und zeigt sich bei tatsächlichen Vorfällen von unschätzbarem Wert.
Wie genutzte Softwarelösungen den Schutz erhöhen
Sicherheit und Compliance gehören zu den Kernanforderungen für Softwarelösungen. Doch ein ausreichender Schutz ist kein Selbstläufer. Die Erfüllung der Datenschutz-Grundverordnung (DSGVO), sichere Server in Europa, umfassende Authentifizierungen und fortschrittliche Sicherheitsmethoden bilden den guten Standard. Ebenso sollten Systeme revisionssicher, auditierbar und möglichst mit automatisierten Backups ausgestattet sein.
Insgesamt kann zum Beispiel eine stark geschützte Cloud-Lösung ohne Compliance-Risiken Organisationen schnell auf den richtigen Pfad führen. Wer auf eine professionelle verwaltete und umfassend überwachte Lösung setzt, erhöht den Schutz zumeist deutlich effizienter als durch interne Sicherheitsmaßnahmen, die dadurch aber keineswegs zu vernachlässigen sind. Die schafft eine gute Basis, um Regularien wie DORA einzuhalten und das Risiko von Angriffen und Vorfällen entscheidend zu minimieren.
Warum spezielle Cyber-Defense-Lösungen so wichtig sind
Es mangelt weder an Cyber-Risiken noch an Sicherheitslücken: Organisationen müssen auf den Ernstfall vorbereitet sein, unabhängig davon, wie sicher ihre IT-Systeme und Sicherheitsmaßnahmen bereits sind. Die Bedrohungslage erhöht sich und die DORA-Verordnung zeigt eindrücklich, dass eine robuste Cyber-Defense-Lösung absolut zu empfehlen ist.
Dabei geht es nicht nur darum, Sicherheitsvorfälle so effektiv wie nur möglich zu bearbeiten und unter den beteiligten Teams strukturiert kommunizieren zu können, sondern auch die Sicherheit im Allgemeinen auf ein höchstmögliches Niveau zu drücken – bis hin zur Erfüllung militärischer Standards.
Fazit: DORA als eine Chance begreifen
Verordnungen wie DORA kosten Organisationen viel Zeit, Geld und Nerven. Es ist nicht immer einfach, sie in jedem Punkt einzuhalten. Regulierungen sind dabei oft nicht gerade positiv konnotiert und viele zweifeln an ihrem Sinn.
Nun fasst DORA jedoch bestehende Verordnungen zusammen und entzerrt damit den „Regulierungswahn“, dem sich viele Organisationen ausgesetzt sehen. Darüber hinaus verfügt der Finanzsektor – samt den mit ihm interagierenden Bereichen – sowieso über hohe Sicherheitsstandards, für deren Erfüllung DORA ein guter Anstoß ist.
Anders ausgedrückt: Die Verordnung ist eine Herausforderung, aber mehr noch eine Chance, Schritte umzusetzen, die ob einer hohen Bedrohungslage auch aus praktischen Gründen von unschätzbarem Wert sein können.
In der heutigen Unternehmenswelt hängen die Sicherheit und Compliance stark von den eingesetzten Softwarelösungen ab. Wer also in diesem Bereich die richtige Wahl trifft, umfangreiche Schutzfunktionen implementiert und alles auf dem aktuellen Stand hält, hat eine hervorragende Basis, um Verordnungen wie DORA konsequent einzuhalten.