DORA – Herausforderungen & Lösungen

Mit dem Digital Operational Resilience Act (DORA) wurde eine direkt anzuwendende EU-Verordnung erlassen, welche die digitale Widerstandsfähigkeit (Resilienz) von Finanzunternehmen erhöhen und damit das Vertrauen in den Finanzsektor stärken soll. Die weiteren wichtigsten Ziele sind:

EU-weite Harmonisierung der Regulierung von Finanzunternehmen (u.a. Banken, Versicherungen, Zahlungsdienstleister und Investmentfirmen)
Stärkere Überwachung und Steuerung von IKT-Drittanbietern (IKT = Informations- und Kommunikationstechnologien)
Verbesserung und weitere Harmonisierung der Berichterstattung und Meldepflichten in Hinblick auf Cybervorfälle und IT-Störungen
Stärkung des IKT-Risikomanagements und der Resilienz (u.a. durch erweiterte Tests der IKT-Systeme)

Die Umsetzung von DORA stellt den Finanzsektor vor erhebliche Herausforderungen, die es zu meistern gilt. Ein effektives IKT-Risikomanagement, die Handhabung von IKT-Risiken und Cyberbedrohungen, das regelmäßige Testen der digitalen operationalen Resilienz und das Management der IKT-Dienstleister sind dabei Kernelemente, um den Anforderungen gerecht zu werden. Die Implementierung dieser Maßnahmen ist der Schlüssel für Finanzunternehmen, um ihre Cyber-Resilienz zu stärken und den regulatorischen Anforderungen nachhaltig zu entsprechen.

Die Bewältigung dieser Herausforderungen erfordert eine Gap- bzw. Reifegrad-Analyse, welche Ihnen aufzeigt, an welchen Stellen IT-Risikomanagement, IT-Sicherheit und IT-Dienstleistersteuerung bei Ihnen noch Lücken aufweisen.

Im Anschluss werden die identifizierten Optimierungserfordernisse mit Maßnahmen, Abhängigkeiten, Verantwortlichkeiten und zeitlichen Planungen unterlegt und umgesetzt. Wir unterstützen Sie bei der adäquaten und proportionalen Schließung der identifizierten Lücken und stärken damit die Resilienz. Eine übergreifende enge Zusammenarbeit von Funktionen der 1st- und 2nd- Line of Defence (LoD) ist dabei unerlässlich, um sicherzustellen, dass alle regulatorischen Anforderungen friktionsfrei und übergreifend erfüllt werden. Es wird empfohlen, die 3rd LoD frühzeitig hierbei einzubeziehen.

Finanzunternehmen müssen ein umfassendes IKT-Risikomanagement-Rahmenwerk entwickeln und implementieren, das auf ihre Größe, Komplexität und Risikoprofile zugeschnitten ist. Dieses Rahmenwerk muss sicherstellen, dass Risiken im Zusammenhang mit IKT-Systemen identifiziert, bewertet, gemindert und (laufend) überwacht werden.

Herausforderungen des IKT-Risikomanagements

Governance & Organisation: Die Geschäftsleitung und die Aufsichtsgremien sind direkt verantwortlich für ein effektives IKT-Risikomanagement sowie die Überwachung und Steuerung des IKT-Risikos. Hierzu müssen klare Zuständigkeiten und Prozesse zur Entscheidungsfindung sowie für ein regelmäßiges / ad hoc Reporting definiert werden (Management und die zuständigen Aufsichtsbehörden). Es ist zudem unerlässlich, dass ausreichend Ressourcen für ein angemessenes IKT-Risikomanagement zur Verfügung gestellt werden. Dies beinhaltet auch regelmäßige Schulungen der Geschäftsleitung sowie aller Mitarbeiterinnen und Mitarbeiter, um bezüglich möglicher IKT-Risiken ausreichend sensibilisiert zu sein.
DORA-Resilienz-Strategie: Unternehmen müssen sich entscheiden, ob sie eine eigene Strategie für die digitale operationale Resilienz entwickeln oder bestehende Strategien an die Anforderungen von DORA anpassen und spezifisch ergänzen wollen.
Prävention, Detektion und Abwehr (kontinuierliches Monitoring): Unternehmen müssen Maßnahmen zur Prävention, Detektion und Abwehr von IKT-Risiken implementieren. Dazu gehören Sicherheitskontrollen, kontinuierliche Überwachung und strukturierte Notfallstrategien. Der Fokus liegt auf der Sicherstellung der kontinuierlichen Verfügbarkeit von kritischen Diensten und der Minimierung von Ausfallzeiten.

Lösungen

Ein erprobtes Vorgehensmodell ist unverzichtbar für ein effektives IKT-Risikomanagement. Unsere Erfahrung in Gap-Assessments ermöglicht es uns, Schwachstellen präzise zu identifizieren und gezielte Maßnahmen zu entwickeln – darauf können Sie sich verlassen. Wir helfen mit unseren Erfahrungen aus Gap-Analysen und Prüfungen, Ihr Unternehmen auf Prüfungssituationen vorzubereiten, indem wir u.a. den Fokus auf die Nachweisdokumentation lenken, mit der Sie die Einhaltung der regulatorischen Anforderungen belegen können. Des Weiteren wird durch Awareness Sessions das Bewusstsein und die Kompetenz der Mitarbeiterinnen und Mitarbeiter so erhöht, dass sie IKT-Risiken proaktiv begegnen können.

Unternehmen können ihre digitale Resilienz stärken und den Anforderungen von DORA gerecht werden – mit einer strukturierten Herangehensweise und kontinuierlicher Verbesserung. Dies schafft nicht nur Sicherheit, sondern auch Vertrauen bei Kundinnen und Kunden sowie Partnerinnen und Partnern.

Ein weiterer wichtiger Aspekt von DORA ist die Handhabung von IKT-Störungen und Cyberbedrohungen. Finanzunternehmen müssen in der Lage sein, schnell und effektiv auf Sicherheitsvorfälle zu reagieren. Hierzu müssen Institute sicherstellen, dass sie über die notwendigen Ressourcen verfügen, um Cyberangriffe erfolgreich abzuwehren und die Auswirkungen von Vorfällen bestmöglich minimieren zu können.

Herausforderungen

Identifikation erfolgt bisher in Silos: Die aktuelle Vorgehensweise bei der Identifikation wird den DORA-Anforderungen nicht gerecht. Die Identifikation von schwerwiegenden Incidents, IS-Vorfällen, Security Incidents und Zahlungsverkehrsvorfällen erfolgt derzeit häufig in separaten Silos oder verantwortlichen Einheiten. Durch die DORA-Klassifizierung von schwerwiegenden IKT-Vorfällen / Cyberbedrohungen sollte eine zentrale Verantwortlichkeit zur Identifikation etabliert werden und auch die Modifikation der bisher eingesetzten Tools zum Incident-, Security, Zahlungsverkehr- und/oder Vorfall-Management ist erforderlich.
Klassifizierung anhand der DORA-Matrix: Die DORA-Entscheidungsmatrix und Kriterien zur Ableitung von schwerwiegenden IKT-Vorfällen / Cyberbedrohungen und deren Integration in den Zielprozess sind ebenfalls Herausforderungen, die es zu meistern gilt. Insbesondere die Anpassung oder Ergänzung der hierfür erforderlichen Datenbasis, um zügig oder sogar (teil-)automatisiert die Kategorisierung eines IKT-Vorfalls / -Cyberbedrohung anhand der definierten Kriterien vorzunehmen, ist herausfordernd.
IKT-Vorfallsmeldung: Die IKT-Vorfallsmeldung orientiert sich bezüglich des Meldeprozesses und der Meldefristen an den europäischen Vorgaben zur PSD2^[1] bzw. den bekannten Meldungen hinischtlich schwerwiegender Zahlungssicherheitsvorfälle. Die Meldeinhalte sind dabei umfangreicher. Eine automatisierte Meldung unter Nutzung bereits etablierter Incident- und/oder Vorfall-Management-Tools ein möglicher Lösungsansatz, welchen wir bei diversen Mandanten im Kontext einer umfassenden SIEM Lösung realisieren.
IKT-Vorfallsbehandlung: Im Falle eines Sicherheitsvorfalls ist eine schnelle und zielgerichtete Reaktion notwendig. Dabei müssen die Dokumentation, Meldung und Bearbeitung durch kompetentes und geschultes Fachpersonal und nach geltenden Richtlinien erfolgen. Wenn kein eigenes Team zur Behandlung von Vorfällen existiert, muss im Voraus ein Abrufvertrag mit einem geeigneten Dienstleister geschlossen werden. Auch ist eine vorherige Registrierung im Meldeportal der BaFin sowie die Integration dieser Plattform in die internen Prozesse erforderlich.

Lösungen

Harmonisierung von Security- und sonstigen Incident-Prozessen

Wir entwickeln in Zusammenarbeit mit der BDO Digital GmbH und der BDO Cyber Security GmbH einen Ansatz zur Harmonisierung der Security- und sonstigen Incident-Prozesse. Unser Ziel ist es, eine einheitliche und effiziente Vorgehensweise zu etablieren, die sowohl den regulatorischen Anforderungen entspricht als auch die betriebliche Effizienz steigert.

BDO Cyber Security GmbH als BSI qualifizierter APT Response Dienstleister

Unser zertifiziertes und vom BSI qualifiziertes Notfallteam unterstützt Sie schnell und kompetent bei der Behandlung, Aufklärung und Aufarbeitung eingetretener Sicherheitsvorfälle. Wir bieten Retainer-Verträge mit zugesicherten Reaktionszeiten und eine Erreichbarkeit rund um die Uhr.

Die Umsetzung dieser Maßnahmen schafft eine robuste und widerstandsfähige IKT-Infrastruktur, die den aktuellen und zukünftigen Cyberbedrohungen gewachsen ist.

^[1] National umgesetzt im Zahlungsdiensteaufsichtsgesetz [ZAG]

DORA verpflichtet Finanzunternehmen und IKT-Drittdienstleister dazu, die digitale operationale Resilienz ihrer relevanten Anwendungen und Systeme regelmäßig einmal im Jahr zu testen. Dazu gehören eine Vielzahl von Testszenarien, darunter Stresstests und Penetrationstests.

Penetrationstests sind ein äußerst effektives Instrument, um potenzielle Sicherheitslücken aufzudecken, Behebungsmaßnahmen zu identifizieren und damit das Sicherheitsniveau zu erhöhen. Durch regelmäßige Penetrationstests können Unternehmen aktiv gegen Bedrohungen vorgehen und Ihre Daten sowie Geschäftsabläufe besser schützen.

Um sich bestmöglich auf den Ernstfall vorzubereiten und die Resilienz nachhaltig zu verbessern, schreibt DORA zusätzlich die regelmäßige Durchführung von Threat-Led Penetration Tests (TLPT) nach Threat Intelligence-based Ethical Red Teaming (TIBER DE/EU) für Finanzunternehmen mit besonderer Bedeutung für die Finanzstabilität vor. Dabei werden bereits etablierte Sicherheitsmechanismen gezielt überprüft, um Optimierungspotenziale in den Cyber Defense-Maßnahmen aufzuzeigen.

Herausforderungen

Erhöhte Anzahl von Penetrationstests: Digital Operational Resilience Testing ist einmal jährlich verpflichtend vorgeschrieben für alle kritischen und wichtigen Systeme und Anwendungen. Diese Tests sind in ein Programm zur Prüfung der digitalen Cyber Resilienz einzubinden und erfolgen nach einem risikobasierten Ansatz. Für Finanzinstitute wird die Durchführung dieser Tests durch externe Dienstleister empfohlen.
Strukturierter Testprozess benötigt: Es ist ein Rahmenprogramm für Sicherheitstests zu schaffen. Neben der Identifikation zu untersuchender Systeme und deren Priorisierung ist auch die Erstellung eines Testkonzepts und Testplans erforderlich, welcher entsprechend zu dokumentieren und nachzuverfolgen ist. Zusätzlich ist ein Prozess zur Offenlegung von Schwachstellen erforderlich.
Durchführung von Threat-Led Penetration Tests (TLPT): Für TLPT sind hochqualifizierte Testerinnen und Tester erforderlich, welche einem formal vorgegebenen Testprozess in Zusammenarbeit mit der zuständigen Aufsichtsbehörde folgen müssen. Die Auswahl der Anbieter solcher Tests ist derzeit beschränkt.
DORA Readiness: Vielen betroffenen Unternehmen ist derzeit nicht klar, wie man sich am besten auf die neuen DORA-Herausforderungen vorbereitet und auch die Nachweisbarkeit gewährleistet. Dies gilt vor allem für Institutionen wie kritische IKT-Drittdienstleister, die bisher keiner direkten Regulierungen der Aufsichtsbehörden unterlagen.

Lösungen

BDO als Dienstleister für Penetrationstests und TLPTs

Identifizieren Sie mit Hilfe unserer zertifizierten Penetrationstesterinnen und -tester Schwachstellen in Ihren Unternehmensnetzwerken, Anwendungen und Systemen. Unser Team untersucht Ihre Lösung aus der Perspektive eines realen Angreifers, um das Sicherheitsniveau zu ermitteln. Sie erhalten von uns einen detaillierten Bericht, der nicht nur die identifizierten Schwachstellen und deren Kritikalität auflistet, sondern auch mögliche Maßnahmen zur Behebung aufzeigt.

Um sich bestmöglich auf den Ernstfall vorzubereiten und die Resilienz nachhaltig zu verbessern, simulieren unsere erfahrenen Red Teaming-Expertinnen und -Experten zusätzlich realistische Cyber-Angriffe auf Ihr Unternehmen. Wir unterstützen Sie bei der Planung und Durchführung von TLPTs auf Basis des TIBER Frameworks in enger Zusammenarbeit mit Ihnen und den zuständigen Aufsichtsbehörden.

Einbindung Testprogramm in IT-Prozesse und IT-Landschaft

Die Integration des Testprogramms bei genutzten IT-Dienstleistern und -Prozessen ist von entscheidender Bedeutung und muss daher zwingend erfolgen. Dazu müssen die zu untersuchenden Systeme identifiziert und priorisiert sowie wiederholbare Testszenarien in einem Testkonzept definiert werden, um spezifische Bedrohungen effektiv zu adressieren. Unsere Expertinnen und Experten unterstützen Sie weiterhin beim Testmanagement, mit der Planung, Vorbereitung und Durchführung von Penetrationstests.

Diese Maßnahmen sind unerlässlich für Finanzunternehmen, um die Cyber-Resilienz erheblich zu steigern und sich besser auf zukünftige IT-Vorfälle vorzubereiten.

Seien Sie gut vorbereitet mit unserem Readiness Workshops

Ist Ihr Unternehmen durch die neue DORA-Verordnung verpflichtet, regelmäßige Sicherheitsüberprüfungen durchzuführen? Was bedeutet dies für Ihre Systeme und Prozesse? Worauf müssen Sie sich vorbereiten? Gern unterstützen wir Sie bei diesen und weiteren Fragestellungen. Gemeinsam mit Ihnen ermitteln wir Maßnahmen, damit Sie bestens auf den Ernstfall vorbereitet sind:

Angriffssimulation im Rahmen eines Pre-TLPT: Wir bieten Ihnen die Möglichkeit, die Resilienz Ihrer technischen und organisatorischen Maßnahmen bereits vor In-Kraft-Treten der DORA-Verordnung zu prüfen. Somit können Sie sich bestens auf die vorgeschriebenen TLPTs vorbereiten.
Gezielte Überprüfung bestimmter Systeme im Rahmen eines Penetrationstests: Sie haben ein neues System eingeführt und möchten dessen Sicherheitsmechanismen überprüfen? Gern führen wir für Sie gezielte Analysen einzelner Systeme durch und helfen Ihnen somit, ein homogenes Sicherheitsniveau zu erreichen und aufrechtzuerhalten.
Risiko- und Bedrohungsanalyse: Im Rahmen der Risiko- und Bedrohungsanalyse helfen wir Ihnen, frühzeitig potenzielle Gefährdungen zu identifizieren.
Beratung und Begleitung: Zusammen mit Ihnen analysieren wir Gaps bzgl. der Konformität Ihres Unternehmens im Bereich Resilience- und TLPT Testing. Im Anschluss definieren wir eine Roadmap und helfen Ihnen dabei, konform für das Testen der digitalen operationalen Resilienz zu werden.

Unternehmen müssen umfangreichere Prozesse zur Überwachung und Steuerung der Risiken entwickeln, die durch IKT-Dienstleister entstehen. Neben erweiterten Mindestvertragsstandards ist bei der Dienstleisterauswahl eine Due Diligence durchzuführen und sind alle mit dem Leistungsbezug zusammenhängenden IKT-Risken zu erheben und bewerten. Basierend auf den IKT-Risken ist auch festzulegen, ob es sich um einen IKT-Drittdienstleister zur Unterstützung kritischer oder wichtiger Funktionen handelt, für welche erweiterte Vorgaben (bspw. ausreichende Resilienz und abgestimmte Notfallpläne) bestehen.

Herausforderungen

Herausfordernd ist die Aktualisierung der Bestandsverträge basierend auf den neuen Vertragsstandards. Ein weiteres zentrales Element ist das IKT-Informationsregister. Der Aufbau dieses Registers und die Etablierung der Meldestrecke und von Meldeprozessen müssen in Abhängigkeit zum derzeit genutzten Auslagerungs-Management-Tool erfolgen. Eine sorgfältige Planung und Implementierung sind unerlässlich, um sicherzustellen, dass alle relevanten Informationen erfasst und gemeldet werden können.

Lösungen

Unser bewährtes Vorgehensmodell zur Risikobewertung und zum Risikomanagement ist die ideale Lösung für Unternehmen, die die Anforderungen effizient erfüllen wollen. Dieses Modell basiert auf Best Practices und Erfahrungen aus der Branche.

Unsere Erfahrung mit Gap-Assessments zeigt: So lassen sich bestehende Lücken in der Compliance zuverlässig identifizieren und gezielt schließen. So können Prozesse und Systeme gezielt angepasst werden.
Die systematische Klassifikation der IKT-Drittdienstleister nach ihrem Risiko und ihrer Bedeutung für das Unternehmen ist ein unverzichtbarer Schritt im Risikomanagement. Dies hilft, die richtigen Prioritäten zu setzen und gezielte Maßnahmen zu ergreifen.
Tools für Vertragsanalyse (KI) und Datenerhebung (z. B. MS Forms): Der Einsatz von KI-gestützten Tools zur Vertragsanalyse und von MS Forms zur Datenerhebung ist die effizienteste und präziseste Methode zur Erfassung und Auswertung relevanter Informationen.
Erzeugen von Templates für die Aufsicht: Standardisierte Templates für die Berichterstattung an die Aufsichtsbehörden sind ein Muss. Sie sorgen für einen reibungslosen Prozess und stellen sicher, dass alle erforderlichen Informationen korrekt und vollständig übermittelt werden.