Risikokontrolle: Wie zentrale Datenbanken unter DORA Wunder wirken

Der Digital Operational Resilience Act (DORA) stellt Unternehmen vor Herausforderungen, weil diese Regulierung viele Ressourcen für die Vorbereitung und Durchführung bindet. DORA kann dennoch schnell und effizient umgesetzt werden.

von Steffen Lorenz, Direktor, Global Industry Leader Banking und Insurance bei der Software AG

Die Zeit drängt: Wenn DORA am 17. Januar 2025 in Kraft tritt, müssen alle in der EU tätigen Finanzdienstleister nachweisen, dass sie die geforderten Standards für das Management von Cyber-Risiken in Bezug auf Drittparteien und den Umgang mit IKT-Zwischenfällen einhalten. Für Organisationen geht es in erster Instanz darum zu erkennen, auf welche Prozesse und Systeme (die mit Drittparteien verbunden sind oder dort ausgeführt werden) Bedrohungen wirken und welche Auswirkungen diese haben. Banken und Versicherungen sind zwar grundsätzlich schon gut auf Cyber-Risikomanagement vorbereitet. Es gilt jedoch, die erforderlichen Aufwände für die Umsetzung und Einhaltung immer neuer regulatorischer Anforderungen zu minimieren. Unternehmen müssen also effizient ihre Resilienz erhöhen.

Weltweit müssen Finanzdienstleister die Voraussetzung schaffen, damit es im Fall eines direkten Angriffs oder eines Ausfalls bei einem Partner/Dienstleister zu möglichst wenigen Auswirkungen auf Kunden und die eigenen Mitarbeiter kommt.”

Zudem gilt es, möglichst schnell wieder handlungsfähig zu sein. Finanzdienstleister müssen sich also folgende Fähigkeiten aneignen: Erkennen von Risiken, Analyse der Auswirkungen dieser Risiken auf den Geschäftsbetrieb, Entwicklung von Strategien für den Fall des Eintritts von Störungen, Information der Mitarbeiter und regelmäßige Tests zur Gewährleistung, dass richtig mit den Risiken umgegangen wird.

Lückenlose Dokumentation

Die Geschäftsprozesse sind das zentrale Element jeder Organisation und bieten sich als Startpunkt für DORA an. Im Rahmen der Schriftlich Fixierten Ordnung (SFO) sind ohnehin bereits weite Teile des Geschäftsbetriebs in Prozessmodellen dokumentiert. Hier sollten auch die Abhängigkeiten und Risiken bezüglich DORA dokumentiert werden.
Die zentralen Fragen sind:

• Wo im Prozess werden Dienstleister genutzt?
• Welche Risiken bestehen bzw. welche Auswirkungen können sie haben?
• Welche Kontrollen gibt es, um Risiken zu vermindern?

Das IT-Portfolio der Organisation muss ebenfalls lückenlos, d.h. inklusive der Systeme bei/von Drittanbietern, dokumentiert sein.
Die zentralen Fragen sind hier:

• Welche Systeme gibt es und wo laufen sie?
• Wie kommunizieren sie miteinander? Welche Abhängigkeiten gibt es?
• Was passiert, wenn ein System nicht zur Verfügung steht?

Dabei gilt es, 3 wesentliche Voraussetzungen zu erfüllen:

1.Die Dokumentation der Prozesse und Systeme muss auf aktuellen Daten von hoher Qualität beruhen, um für Analysen, Tests und Reporting genutzt werden zu können.
2.Die Mitarbeiter müssen Zugriff auf diese Dokumentation haben, um zumindest für ihren Zuständigkeitsbereich Transparenz über Risiken und deren Mitigation zu haben.
3.Die Dokumentation sollte in die Cloud ausgelagert sein, damit sie auch bei einer Störung bzw. einem Systemausfall erreichbar ist.

DORA effizient aufsetzen

Die schlechte Nachricht zuerst: Die Umsetzung von DORA ist kein trivialer Prozess und die Deadline kommt schnell.

Viele Projekte reagieren darauf mit der Nutzung von „Office-Werkzeugen“, weil diese vermeintlich einfach nutzbar sind und eine schnelle Lösung versprechen.”

Dann werden Prozessmodelle mit Visio oder PowerPoint gemalt, Arbeitsanweisungen in Word geschrieben und die Dokumentation des IT-Portfolios in Excel erstellt. Auf diese Weise sind die Informationen aber alle in einem spezifischen Kontext gebunden. Sie lassen sich nur schwer kombinieren. Und die Daten sind redundant und veralten leicht, weil sich niemand um die Pflege kümmert, sobald das Projekt abgeschlossen ist. Auswertungen sind häufig (semi-)manuell und mit hohen Aufwänden verbunden. Und die effektive und strukturierte Publikation der Informationen an die betroffenen Mitarbeiter ist nahezu unmöglich.

Die gute Nachricht:

Die meisten Organisationen fangen bzgl. Dokumentation nicht bei null an.”

Und es gibt professionelle Werkzeuge für das Geschäftsprozess- und IT-Portfolio-Management. Diese Werkzeuge nutzen eine zentrale Datenbank (Repository) zum Speichern aller Informationen. Und wesentliche Informationen bezüglich der Prozesse und des IT-Portfolios sind – zumindest teilweise – bereits vorhanden. Auf diese Datenbank können dann umfangreiche Analyse-Funktionen zugreifen, die für ein effizientes Risiko-Management, regelmäßige Kontrollen und das Reporting benötigt werden. Die Entwicklung eigener Analysen und Dashboards kann weitgehend entfallen. Zudem können Informationen rollenspezifisch an Mitarbeiter kommuniziert werden, damit sie sich gezielt mit möglichen Störungen auseinandersetzen können. Die Verfügbarkeit dieser Systeme in der Cloud ermöglicht, dass auch bei Störungen auf die Daten zugegriffen werden kann.

Fazit

Es wäre also falsch, sich jetzt einzig auf das Erreichen der DORA-Deadline zu konzentrieren. Resilienz ist kein Sprint, sondern ein Marathon, der viele Ressourcen in der Organisation bindet.”

Mit der Wahl der richtigen Werkzeuge können Finanzinstitute die notwendigen Aufwände nachhaltig reduzieren. DORA sollte als Anlass genutzt werden, um die Dokumentation der Prozess- und IT-Landschaft in ein zentrales Repository zu überführen, um sich gegen alle Arten von Störungen zu wappnen. Gleichzeitig können die Prozesse effizienter gestaltet und zukünftige Regulierungen vorbereitet werden.Steffen Lorenz, Software AG