39 DSD 3 | 2025 IT- UND CYBERSICHERHEIT ITK-Dienstleistern müssen fünf Punkte berücksichtigen, um die neue Richtlinie gewährleisten zu können: 1. Risikomanagement für IT und Kommunikation Niemand kann schützen, was er nicht kennt. Daher verlangt DORA von den IT- Sicherheitsverantwortlichen und -entscheidern, dass sie ihre IT-Infrastruktur und Systeme besser verstehen und erkennen, wie sie sich selbst und ihre Kunden gefährden: Welche digitalen Assets sind vorhanden? Wie wichtig sind sie für die operative Resilienz? Welche Folgen hätte eine kompromittierte oder ausgefallene Applikation? Wie sind Systeme miteinander verbunden? Über welche Kontrollen verfügt das Unternehmen, um sie zu schützen? Diese Fragen sind grundlegend, um zu schützende Assets zu identifizieren und das tatsächliche Risiko effektiv zu bewerten. Sich an Gefahren orientierende Penetrationstests spielen eine zentrale Rolle. Sie geben den IT-Sicherheitsteams Einblicke in den möglichen Verlauf eines Sicherheitsvorfalls und zu den Maßnahmen, um Gefahren abzuwehren und zu beheben. 2. Fokus auf Drittanbieter und deren Einfluss auf das Geschäftsrisiko Heutzutage funktionieren Geschäfte oder Prozesse selten ausschließlich mit unternehmensinternen Beteiligten. Auftragnehmer, Zulieferer und andere Dienstleister spielen eine wichtige Rolle im Geschäftsbetrieb. Ohne das zugehörige Risikomanagement ist jede externe Organisation oder Lösung ein Risiko für IT-Betrieb und IT-Sicherheit. Wird einer dieser Zugangspunkte kompromittiert, können sich Angreifer auf der Suche nach weiteren Zielen auf andere Systeme ausbreiten. DORA ist sich dieser Abhängigkeit von Dritten bewusst und verlangt daher von Unternehmen, dass sie die Effekte ihrer Dienstleister auf das Geschäftsrisiko besser verstehen. Hierzu zählen IT- und Telekommunikationsdienstleister, Managed-Service-Anbieter, Cloud-Service-Anbieter, Verkäufer, Software-as-a-Service-Plattformen (SaaS) und andere Unternehmen, die nicht verwaltete Applikationen, Dienste und Geräte nutzen. DORA verlangt, dass Finanzorganisationen die Effekte von Drittanbietern dokumentieren und sicherstellen, dass geeignete Sicherheitsmaßnahmen getroffen wurden, um miteinander verzahnte Prozesse von Anfang bis Ende zu schützen. Die Basisdokumentation sollte in einem Informationsregister (Register of Information) abgelegt und leicht zugänglich sein: In dem Register finden sich dann Identifikationsdaten der Drittanbieter, wie etwa Standort, Kontaktdaten, Vertragsinformationen, Leistungsumfang, Risikokategorien, Regeln zum Monitoring sowie Angaben zu internen Zuständigkeitsverhältnissen. 3. Incident Management DORA verlangt von Finanzinstituten außerdem fest strukturierte Prozesse, um IT-Sicherheitsvorfälle zu erkennen, zu bearbeiten und zu melden. Klare Klassifikationskriterien, zeitnahe Eskalationsprozesse und ein einheitliches Reporting- Framework mit strengen Zeitvorgaben sind dafür notwendig. Tabletop-Simulationen zur operativen Resilienz unterstützen diese Abläufe. Solche Manöver stellen sicher, dass alle Beteiligten die Richtlinien zur Disaster Recovery und zur Kontinuität von Geschäftsprozessen kennen und im Ernstfall sofort Maßnahmen ergreifen können. 4. Change Management Unternehmen und ihre digitalen Umgebungen unterliegen einem ständigen Wandel. Daher ist es wichtig, dass Sicherheitsteams Einblick in IT-Modifikationen und deren Folgen für das Betriebsrisiko haben. Dies alles müssen sie erkennen, neu bewerten und die sich ergebenden Konsequenzen umsetzen sowie überwachen. Ebenso wichtig ist es, bestehende Richtlinien zu autorisieren und durchzusetzen. Derart gesichert können Angreifer diese nicht unbefugt modifizieren. Als eine logische Konsequenz bewerten Lösungen und IT- Sicherheitsverantwortliche Software-Updates, Modifikationen der Infrastruktur und die Integration von Dritten. Sicherheitsteams sollten vor und nach dem Implementieren neuer Assets deren Integration testen. Letztendlich stellt DORA sicher, dass Change-Management-Prozesse streng moderiert sind und strukturierte Genehmigungsabläufe in Kraft sind. 5. Compliance dokumentieren Einen weiteren Schwerpunkt legt DORA auf die Rechenschaftspflicht. Wer in der Pflicht für seine sämtlichen Systeme steht, muss insbesondere für seine kritischen Systeme kontinuierliche Schwachstellentests durchführen, Risiken bewerten und – vor allem – darüber berichten. Unternehmen sollten einheitliche Vorlagen verwenden, in denen Vorgaben und Zeitpläne festgelegt sind, und diese in das bereits erwähnte Informationsregister eingeben. Die dort gesammelten Informationen von Dritten, vertragliche Vereinbarungen, bewertete Risiken, Abhängigkeiten, Vorfälle und Notfallpläne übermitteln sie bei Bedarf an externe Prüfer. Dafür reicht es nicht aus, Informationen zu sammeln. Angesichts heute immer komplexerer IT-Infrastrukturen bedarf es der Analyse und verwertbaren Aufbereitung dieser Informationen. Erst in einer hinreichenden Form dient das Informationsregister bei Angriffen oder anderen Vorfällen als Leitfaden und liefert den Sicherheitsteams den nötigen Kontext, um schnell und einschlägig zu agieren. Die Dokumentation kann zum Beispiel auch Schritt für Schritt vorgeben, wie Wissen und Expertise im Unternehmen verbleiben, wenn Mitarbeiter dieses verlassen. DORA als Chance für eine gestärkte Resilienz Bei so vielen Vorgaben bleibt zu betonen: DORA ist nicht nur eine gesetzliche Pflicht. Sie bietet Finanzorganisationen und Dienstleistern eine hervorragende Möglichkeit, ihre Cyber- und operative Resilienz zu stärken sowie ihre Sicherheitsstrategien zu optimieren. Die Kriterien der neuen Vorschrift sind speziell auf die dynamischen Notwendigkeiten der Finanzbranche in der heutigen, vernetzten Geschäftswelt zugeschnitten und können mit anderen Standards oder Geschäftszielen harmonisieren.
RkJQdWJsaXNoZXIy Mjc4MQ==