STRATEGIE13. Juni 2023

DORA – eine Regulierung, die als Werkzeug Allianzen gegen Cyberverbrecher schmiedet

Thomas Walkner, Managing Principal bei Capco zur DORA-Regulierung
Thomas Walkner, Managing Principal bei CapcoCapco

DORA – der Digital Operational Resilience Act soll auch helfen, Cyber­bedrohungen besser zu begegnen – so meinen es die Europäische Kommission, Rat der EU und das Europäische Parlament. DORA ist ein Mammutprojekt. Was bedeutet DORA für Banken, Versicherer und deren Drittanbieter?

von Thomas Walkner, Managing Principal bei Capco

Europas Unternehmen sehen sich seit Jahren einer komplexen Cyberbedrohungslage ausgesetzt. Verschiedene Trends – wie die Arbeit im Homeoffice – haben neue Einfallstore ermöglicht, gleichzeitig nehmen auch geopolitische Spannungen zu. Staatlich organisierte Gruppen, technologische Entwicklungen, aber auch neue Strategien der Cyberkriminellen stellen das Risikomanagement wie auch die IT-Fachleute vor wachsende Herausforderungen. Der im Oktober des vergangenen Jahres veröffentlichte Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit belegt eine Zuspitzung der Risikolage und bewertet entsprechend die „Gefährdungslage im Cyber-Raum“ als so hoch, wie noch nie zuvor.

DORA – gegen IT-Störungen und Cybercrime

Die Verordnung wird eine große Zahl der Finanzunternehmen in der Europäischen Union wie auch die heimische IKT-Branche zu definierten Vorkehrungen und Prozessen im Kampf gegen IT-Störungen und Cyberattacken verpflichten. Geschätzt wird die Anzahl der betroffenen Unternehmen auf rund 22.000! Einheitliche Standards sollen zur Resilienz des Betriebs innerhalb der Industrie beitragen und Ansteckungsgefahren eindämmen. Zudem werden einheitliche Regeln für das IT-Risikomanagement, das Management von IT-Drittdienstleistern wie auch für Cloud-Service-Anbieter festgelegt.

BaFin übernimmt zentrale Rolle in Deutschland

Das Schwert im Kampf gegen Cyberkriminelle soll auch durch die zentrale Rolle der BaFin geschärft werden. So erweitert die DORA zunächst den Kreis der Verpflichteten und vereinheitlicht die Meldepflichten bei IT-Vorfällen gegen betroffene Finanzdienstleister. Sämtliche Unternehmen, die unter die DORA-Verordnungen fallen, müssen zukünftig schwerwiegende IT-Pannen sowie Cyberangriffe melden. Bei diesem Prozess bestanden bis dato noch Dopplungen und Komplexitäten, welche gezielte Gegenmaßnahmen sehr erschwerten. So war die EZB die Erfassungsstelle für Cyberattacken auf besonders große und bedeutende Häuser, kleinere Häuser lagen im Verantwortungsbereich der BaFin. Ferner war auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Betreiber kritischer Infrastruktur relevant, da zahlreiche Dienstleister dorthin berichten mussten.

Autor Thomas Walkner, Capco
Thomas Walkner ist Managing Principal bei der auf Finanzinstitute spezialisierten Beratung Capco (Website). Er arbeitet seit mehr als 25 Jahren in verschiedenen Funktionen im Finanzdienstleistungsbereich in Deutschland, Österreich und der Schweiz. Seit 2015 ist er im Consulting mit Schwerpunkt Regulatorik tätig.
Mit der zentralen Rolle der BaFin ist die Branche nun deutlich besser vorbereitet, die eigene Resilienz im IT-Bereich zu stärken. Funktionierende Warnmechanismen und Abwehrprozesse werden es erlauben, ein besseres Verständnis über Taktiken und Technologien von Angreifern zu gewinnen. Teilt ein betroffenes Institut Erfahrungsberichte von Angriffen und berichtet dabei gleich über erfolgreiche Gegenmaßnahmen, kann dies zügig an andere Finanzunternehmen weitergegeben werden, um Angriffe bereits in frühen Stadien zu ersticken. Bei richtiger Umsetzung kann es den Behörden so gelingen, eine echte Phalanx gegen Cyberkriminelle zu schmieden, welche die Wehrhaftigkeit gegenüber Kriminellen erhöht und gleichzeitig dafür sorgt, dass sich die Reputation der Finanzindustrie – und einiger Geschäftsbereiche, etwa im Bereich Kryptos – gestärkt wird. Hier war es zuletzt ja bereits hier und da zu öffentlichkeitswirksamen Vorfällen gekommen. Ein besseres Verständnis zum Vorgehen von Angreifern und Informationen zu den Technologien lassen sich schnell zur Verfügung stellen und stärken so die Verteidigungsbereitschaft. Teilt ein betroffener Unternehmen im Detail mit, wie die Abwehr gelungen ist, wird dies dazu beitragen, im „Katz-und-Maus-Spiel“ mit Cyberkriminellen die Oberhand zu behalten.

Banken sehen sich gewappnet – Drittanbieter in der Pflicht

DORA bringt für betroffene Unternehmen eine Reihe neuer Vorgaben. Ein Großteil der Banken, FinTechs, Versicherungen und Co. werde Prozesse im Risikomanagement überarbeiten und anpassen müssen. Allerdings ist der regulierte Umgang mit der Thematik bereits seit Jahren eingespielt und wird sich in der Regel entsprechend gezielt umstellen lassen. Die weitreichendsten Änderungen bestehen für die bis dato nicht näher erfassten Drittanbieter, deren Prozesse bisher keiner strengen Regulatorik unterlagen. Die Bedeutung von IKT-Drittanbietern ist aufgrund verschiedener Branchenentwicklungen (Outsourcing, BaaS, etc.) jedoch deutlich gestiegen. Um hier eine kritische Konzentration von Risiken zu vermeiden, werden viele Institute ihre Bestandsanbieter näher überprüfen und ein noch größeres Augenmerk auf deren Cyberresilienz legen. Unvorhergesehene Risiken sollten dabei stärker in Betracht gezogen werden, was gleichzeitig nahelegt, das kritische IKT-Drittanbieter herauszufiltern sind. Wettbewerber, welche die neuen Anforderungen nicht erfüllen, werden es deutlich schwerer haben, da Partner in den kommenden Monaten einen Anbieterwechsel forcieren dürften.Thomas Walkner, Capco

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/153828

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert