DORA lässt sich im Cloud-Chaos nicht umsetzen!

Getrieben vom Bestreben, immer schneller Innovationen umzusetzen, ist in den vergangenen Jahren in einigen Unternehmen ein „Cloud-Chaos“ entstanden, bei dem es schwer fällt, die Kontrolle zu behalten. Mit der Umsetzung der bis Anfang 2025 notwendigen DORA-Maßnahmen bleibt den Finanzinstituten noch ein Jahr Zeit, dem Chaos Herr und „Cloud smart“ zu werden!

von Sabine Loest, VMware Deutschland

In einer Multi-Cloud-Umgebung kann die Umsetzung von DORA-Maßnahmen eine große Herausforderung darstellen, da Unternehmen mit mehreren Cloud-Anbietern zusammenarbeiten müssen, um eine kohärente und widerstandsfähige IT-Infrastruktur zu schaffen.

Eine Möglichkeit, die Komplexität bei der Umsetzung von DORA-Maßnahmen in einer Multi-Cloud-Umgebung zu reduzieren, besteht darin, auf eine einheitliche software-definierte Plattform für die Verwaltung von Workloads und Anwendungen in verschiedenen Cloud-Umgebungen, einschließlich Public-, Private- und Hybrid-Clouds zu setzen.”

Damit können Finanzinstitute ihre IT-Infrastruktur vereinfachen, konsistente Sicherheitsrichtlinien anwenden und einheitliche Disaster-Recovery-Lösungen implementieren, was zu einer Harmonisierung und erhöhter Zuverlässigkeit des cloud-übergreifenden Infrastrukturbetriebs führt.

IT-Teams sind immer noch sehr traditionell unterwegs

Blickt man auf die aktuelle Security-Performance der Finanzorganisationen in Deutschland, lässt sich feststellen, dass diese sehr unterschiedlich in ihrem Reifegrad hinsichtlich der regulatorischen Anforderungen sind.

Immer noch reagieren nicht wenige IT-Teams mit klassischen Sicherheitskonzepten. So zum Beispiel durch die Verwendung ausschließlich von Perimeter-Firewalls, die nur statisch gegen das Eindringen der Angreifer schützt.”

Moderne Mechanismen folgen einer sogenannten Zero-Trust Architektur, der zugrundeliegt, dass man niemandem vertraut. Diese Architektur umfasst fünf Säulen: Identität, Geräte, Netzwerk, Anwendungen/Workloads und Daten. Schaut man sich diesen Ansatz zum Beispiel in Bezug auf die Firewalls an, so sind die Rechner hinter der Firewall nicht gegeneinander geschützt. In einer Zero-Trust-Architektur wäre jeder Workload gegen jeden geschützt und nur die notwendigen Verbindungen wären zulässig.

Verantwortung für Sicherheit liegt ganz oben

Dabei rückt Cybersecurity immer mehr vom reinen IT-Thema ganz vorne auf die Prioritätenliste von Vorständen und Managern. Dies ist in DORA verankert: Verantwortlich für die Einhaltung von DORA ist der Management Body des Unternehmens. Ihre Strategie muss nicht nur Notfallpläne bei einem Cyberangriff enthalten, sondern auch definieren, wie ihre jeweilige Organisation Risiken bewertet und mögliche Auswirkungen minimiert.

Altbewährte Schutzmaßnahmen wie oben genannte Perimeter-Firewalls sollten in diesem Zuge überdacht und erweitert werden.”

Im Austausch mit der IT ist das C-Level dazu angehalten, die Marschrichtung für die kommenden Jahre festzulegen. Zwar ist die Branche seit jeher strikte Regulierungen gewohnt, DORA allerdings drängt auf eine besonders schnelle Umsetzung.

Mikrosegmentierung – eine regulatorische Anforderung

Eine weitere zentrale Anforderung ist die Mikrosegmentierung. Sie kann ein sicheres und dynamisches Kommunikationsgeflecht in Rechenzentren und Cloud-Umgebungen ermöglichen, die jeden einzelnen Kommunikationsweg isoliert und separat schützt sowie die Applikation bei einem Angriff automatisch in Quarantäne setzen kann. Wir erleben häufig, dass Kunden bereits erste Bausteine zur Segmentierung implementiert haben. In der Praxis führen diese Lösungen zwar zu einer Absicherung des Netzwerkverkehrs, bieten aber keinerlei Mehrwerte aus Sicht der benötigten Automatisierung, welche durch moderne Plattformen wie Kubernetes und die cloudnativen Architekturen gefordert werden. Deshalb beobachten wir immer wieder, dass Kunden mit Mikrosegmentierung im klassischen Sinne weiterhin mit Bereitstellungszeiten von Wochen und Monaten umgehen müssen.

Den Ost-West-Verkehr im Blick haben

Als dritte technische Anforderung sollte ein Intrusion Detection/Prevention System (IDS/IPS) mitgedacht werden. Sicherheitsteams schaffen mit einer verteilten softwarebasierten IDS/IPS-Lösung virtuelle Zonen zur Verteidigung und können Bedrohungen durch laterale Bewegungen im Ost-West-Verkehr frühzeitig erkennen. Moderne Lösungen überprüfen diesen nicht mehr nur auf einzelnen Appliances, sondern Workload-übergreifend. So gewährleisten sie eine umfangreiche Sicherheitsabdeckung trotz hoher operativer Komplexität.

Der Vorteil einer verteilten IDS/IPS-Lösung liegt darin, dass sie automatisch mit jedem Workload skaliert, wodurch es keine Hardware-Engpässe gibt.”

Darüber hinaus reduziert ein verteilter Ansatz die Netzwerküberlastung und der Datenverkehr muss nicht auf eine zentrale Appliance umgeleitet werden. Fehlalarme werden dank vorgefertigter Regelsätze vermieden, da Signaturen auf der Grundlage des genauen Anwendungskontextes mit höherer Präzision abgeglichen werden. Hierbei werden vorhandene, ungenutzte Rechenkapazitäten eingesetzt, indes sinkt der Bedarf an dedizierten Appliances.

Vom guten Plan zur erfolgreichen Verteidigung

Egal welche Technologie Finanzunternehmen zur Einhaltung der DORA-Richtlinien einführen, sie müssen zunächst die wichtigen und kritischen Daten, Prozesse und Workloads definieren.

Erst mit einem Bewusstsein darüber, was besonders schützenswert ist, können sie effiziente Sicherheitsmaßnahmen aufstellen.”

Dazu gehört, dass die IT versteht, welche Service-Abhängigkeiten bestehen. Sie sollte nachvollziehen können, welche Auswirkungen der Ausfall eines Dienstes für die Organisation haben kann. Auf diese Weise kann das IT-Team priorisieren und den Betrieb bei Angriffen möglichst aufrechterhalten. Ein Desaster Recovery as a Service (DRaaS) ermöglicht es zum Beispiel bei einem Ransomware-Angriff, in Minuten komplexe IT-Systeme in einem Remote-Rechenzentrum wieder zur Verfügung zu stellen.

Wie wichtig die richtige Unternehmenskultur und ein Umdenken in Richtung eines Cloud-Operating-Modells ist, schildert Matthias Wessner (VMware Advisory Services)

Ein kritischer Erfolgsfaktor ist die Unternehmenskultur, da die neuen Regulatorien auch eine Meldepflicht und damit hohe Transparenz voraussetzen. In einer Unternehmenskultur, die nicht generativ ist (siehe hierzu Westrum, „Unternehmenskulturen“), wird es schwierig sein, die kurzen Meldezeiten an eine noch zu definierende Behörde einzuhalten und aus dem erlittenen Schaden zu lernen. Das gelingt nur, wenn Organisationen eine Fehlerkultur adaptieren.

Es darf nicht sein, dass einzelne Mitarbeiter ein Schamgefühl für ausgenutzte Sicherheitslücken oder Angst vor Konsequenzen entwickeln – und Vorfälle dadurch verspätet oder gar nicht melden.”

Vielmehr sollte in einer vertrauensvollen Umgebung offen über Schwachstellen kommuniziert werden können. Aktuelle Studien zeigen, dass genau diese Kultur grundsätzlich auch zu besserer Softwareentwicklung und zu einem besseren Gesamtergebnis einer Firma beiträgt.

Lassen sich neue Technologien und regulatorische Anforderungen vereinen?

Raiko Mesterheide, Ambassdor of the Office of the CTO bei VMware sagt, dass viele Kunden zwar erste Gehversuche in der Public Cloud unternommen haben, aber weiterhin mit großen Herausforderungen bei der produktiven Umsetzung von Generative-AI-Use-Cases konfrontiert werden.

Als ChatGPT das Licht der Welt erblickt hat, haben neuronale Netze und Generative-AI-basierte Applikationen ihren “iPhone-Moment” erlebt. Seit dem 30. November 2022 geht der Hype Cycle steil nach oben und es scheint, als würde diese Technologie alle Bereiche branchenunabhängig revolutionieren können. Um dieses Potenzial bei Einhaltung der regulatorischen Anforderungen auszuschöpfen, sollten folgende Punkte zu Cross-Cloud Services & Private AI, Cloud-Exit sowie Planung und Dokumentation beachtet werden:

1. Durch den Einsatz agnostischer Multi-Cloud-Entwicklerplattformen können die Skaleneffekte der Cloud genutzt und Services gleichzeitig ortsunabhängig ausgeführt werden. Egal ob Vector Datenbanken für Generative-AI-basierte Workloads, MLOps-Lösungen für Data Science und Data Engineering Teams oder die Entwicklung von cloudnativen Applikationen auf Basis von Kubernetes, durch die Zusammenstellung der passenden Cloud Services haben User stets die Kontrolle & Wahlmöglichkeit, wo die eigenen Applikationen entwickelt und betrieben werden.

2. Viele unserer Kunden haben vor Jahren eine Cloud-First-Strategie ausgerufen und schmerzhaft festgestellt, dass die Migration von bestehenden Applikationen in die Hyper-Scaler Cloud nur bedingt möglich ist. Aus diesem Zweck haben wir bereits vor vielen Jahren eine strategische Partnerschaft mit allen gängigen Hyperscalern geschlossen. Diese ermöglicht es, den On-Premises gewohnten Software-Defined-Datacenter-Stack beim Cloud Provider mit einem Kick zu aktivieren, um eine Hybrid-Cloud aufzubauen. Bei dieser Architektur können bestehende Anwendungen zur Laufzeit und ohne Downtime aus dem eigenen Rechenzentrum in die Public-Cloud übertragen werden und jederzeit auch wieder aus der Cloud zurückgeschoben werden. Im Kontext von DORA, BaFin-Regularien und Anforderungen in Richtung Cloud-Exit-Strategien ist dies ein revolutionärer Ansatz.

3. Ein weiterer nicht zu unterschätzender Aspekt bezieht sich auf die Planungs- und Dokumentationspflichten. Viele Applikationsverantwortliche fragen sich zurecht, wie sie sicherstellen können, dass bei einer Migration in die Cloud alle Komponenten und Bestandteile innerhalb der bestehenden Infrastruktur berücksichtigt werden und am Zielort weiterhin zur Verfügung stehen. Das Partner-Ökosystem hilft zielgerichtet, mit den richtigen Werkzeugen diesen Anforderungen zu begegnen.

Eine Kombination aus der Erfüllung bereits bekannter technologischer Anforderungen, dem richtigen Mindset der Belegschaft und dem Bewusstsein des C-Levels für die Bedeutung der Integration von IT-Entscheidungen in ihre Strategie hilft Finanzunternehmen schon heute, sich für die kommenden Bestimmungen der DORA- Richtlinien vorzubereiten.”

Sabine Loest, VMware Deutschland