Wer Digitalisierung sagt, muss auch Cyber Security sagen. Nach diesem Motto treibt die Europäische Kommission den Digital Operational Resilience Act (DORA) voran. Wie Finanzunternehmen durch die heiße Phase kommen und sich nachhaltig gegen Cyberangriffe wappnen.
Kontaktlose Zahlungen, Echtzeit-Überweisungen in der mobilen App oder automatisierte Kontowechselservices: Privatkunden nutzen die digitalen Möglichkeiten des Finanzsystems längst jeden Tag. Zur Transformation im Bankensektor zählen aber auch Lösungen wie KI-basierte Risikobewertung, Robotic Process Automation (RPA) und automatisierte Anlagenberatung. Das erleichtert den Alltag der Mitarbeiter, erhöht aber auch das Risiko für Cyberangriffe.
Finanzunternehmen sind aufgrund ihrer besonderen Marktposition und den von ihnen verwalteten, sensiblen Daten ohnehin beliebte Angriffsziele. Doch je weiter sie sich digitalisieren, desto besser müssen sie sich langfristig absichern. Um den Rückstand bei den entsprechenden Melde- und Dokumentationsregularien nun aufzuholen, setzt die Europäische Kommission auf die DORA-Verordnung. Diese priorisiert die Resilienz der IT-Systeme im Sektor.
Interne und externe Schwachstellen rechtzeitig erkennen
Stichtag ist der 17. Januar 2025: Bis dahin müssen die knapp 22.000 betroffenen Finanzunternehmen in Europa ein effektives und umfassendes Management von Cybersicherheitsrisiken und solchen der Informations- und Kommunikationstechnik (IKT) vorlegen. Eine besondere Gewichtung innerhalb der fünf Kernthemen erhalten das IKT-Risikomanagement und die Risikoanalyse von IKT-Drittanbietern. Denn insbesondere hier müssen Finanzunternehmen konsequent handeln, um Datenlecks, Insider-Bedrohungen oder DDoS-Angriffen vorzubeugen.
Wie gelingt die Umstellung? Zuerst müssen die Unternehmen die kritischsten Funktionen und Prozesse innerhalb des eigenen Unternehmens genau analysieren. Auf dieser Basis können sie relevante IKT-Systeme und Werkzeuge identifizieren, um diese kritischen Stellen besonders abzusichern. Ebenso essentiell ist es, potenzielle Schwachstellen kontinuierlich zu überwachen und daraus Schutz- und Präventionsmaßnahmen abzuleiten. Damit die Verantwortlichen im Ernstfall schnell handeln können, sind Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungspläne unerlässlich – inklusive regelmäßiger Tests.
Nicht zu unterschätzen ist auch das Risiko, das die Zusammenarbeit mit Drittparteien birgt. Denn die Schnittstellen bedeuten zusätzliche Angriffsflächen, die es zu überwachen gilt. Hier macht DORA künftig ein Verzeichnis zur Pflicht, das alle von Dritten bezogenen IKT-Leistungen sowie gruppeninterne Dienstleistungen aufführt und Statusänderungen meldet. Nicht minder wichtig, aber ebenfalls schnell übersehen: Verträge mit IKT-Drittanbietern müssen alle notwendigen Details zur Überwachung und Erreichbarkeit enthalten. Prüfung? Dringend empfohlen.
Schnelles Handeln wird belohnt
Aktuell läuft noch die erste Konsultationsphase zur inhaltlichen Verbesserung. Von Juni bis September 2023 und November 2023 bis Januar 2024 kommt es dann zum öffentlichen Austausch zu den noch ausstehenden Regulierungs- und Implementierungsstandards (RTS/ITS).
Ab Anfang 2025 werden dann die nationalen und internationalen Behörden prüfen, ob die Unternehmen die Vorgaben einhalten. Dass die Richtlinien aus DORA noch nicht vollständig feststehen, bedeutet aber nicht, dass sich Banken, Versicherungsvermittler oder IKT-Drittdienstleister bis dahin ausruhen sollten. Zum einen, weil RTS/ITS nur rund 40 Prozent von DORA ausmachen, zum anderen, weil die Betroffenen genügend Zeit für die bisher bekannten Anforderungen einplanen sollten.
Cybersicherheit nachhaltig etablieren
Zwei bis drei Monate – diese Zeit sollten Unternehmen kalkulieren, um zunächst den eigenen Status quo abzuklären. Dazu zählt, den Projektumfang zu definieren, relevante Stakeholder einzubeziehen und Interviews und Workshops durchzuführen. Die Erkenntnisse aus dem internen und externen Austausch dienen dann als Basis, um Schwächen zu identifizieren und Gegenmaßnahmen festzulegen. Um im nächsten Schritt entscheidend voranzukommen, müssen die Verantwortlichen dann Raum für die Umsetzung schaffen und entsprechend kritische Kernfunktionen gewichten. Und letztlich in konkrete Lösungen wie ein transparentes Third-Party-Management oder eine stabile Netzwerkarchitektur investieren.
Um die Cybersicherheit langfristig zu etablieren, sollten Unternehmen spätestens mit dem endgültigen Inkrafttreten von DORA im Januar 2025 auf regelmäßige, bedrohungsbasierte Penetrationstests setzen – bei Bedarf durch Externe – und so die Wirksamkeit ihrer Maßnahmen prüfen.
Danach geht es darum, die etablierten Lösungen weiter kritisch zu beobachten, strategisch zu optimieren und Prozesse weiter zu automatisieren.
Der Anfang eines stetigen Wandels
Wer all dies umsetzen möchte und bisher einen geringen Reifegrad in Sachen Cybersicherheit hat, steht zunächst vor einer Menge organisatorischer und technischer Herausforderungen. Denn gegen die wachsenden Bedrohungen durch Cyberkriminelle braucht es einige Investitionen und insbesondere menschliche Arbeitszeit, um passende Prozesse, Software und Schutzmechanismen zu implementieren. Gleichzeitig wird die Menge an Attacken und das Tempo, mit dem wechselnde kriminelle Methoden auftauchen, nicht abnehmen – im Gegenteil. Umso wichtiger, sich auch unabhängig von der Katalysatorfunktion von DORA mit Sicherheitsmaßnahmen breit aufzustellen. Die Vorteile beschränken sich nicht nur auf einen länderübergreifenden Austausch oder ein besseres Sicherheitsgefühl. Vielmehr können Unternehmen durch die notwendigen Analysen ihr Verständnis für Zusammenhänge sowie interne Synergien stärken.
Mit den europaweit einheitlichen Vorgaben von DORA stehen Finanzunternehmen vor der großen Chance, ihre Cybersicherheit und operative Resilienz endlich aktiv anzugehen und ein stabiles Fundament zu schaffen. Das erleichtert nicht nur die Zusammenarbeit mit anderen Organisationen, sondern stärkt auch die eigene Unternehmensbasis und sorgt durch die Kollaboration mit Dienstleistern für ein ganzheitliches Verständnis sensibler Prozesse. Höchste Zeit also, die Cybersecurity in die Hand zu nehmen und die Resilienz klar zu priorisieren.
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.