DORA: Was hat die EU-Verordnung mit Systemhärtung zu tun?

Wenn Sie im Finanzsektor tätig sind, haben Sie wahrscheinlich schon von DORA gehört. Was es damit auf sich hat, was die EU-Verordnung für Ihr Unternehmen bzw. Ihre Organisation bedeutet und welche Rolle die Systemhärtung dabei spielt, erklären wir Ihnen hier kurz und knapp.

Was ist eigentlich DORA?

Das Akronym “DORA” steht für “Digital Operational Resilience Act”. Diese Verordnung der Europäischen Union zielt darauf ab, die digitale operative Widerstandsfähigkeit im gesamten Finanzsektor zu stärken. Sie soll sicherstellen, dass Finanzunternehmen wie Banken und Versicherungen in der Lage sind, ihre IT-Systeme und digitalen Prozesse vor Cyber-Bedrohungen zu schützen, sich von Sicherheitsvorfällen schnell zu erholen und so die Stabilität des Finanzmarkts zu gewährleisten.

Warum gibt es DORA?

Mit der zunehmenden Digitalisierung und Vernetzung im Finanzsektor steigt das Risiko von Cyberangriffen und IT-Ausfällen. Diese können nicht nur einzelne Institutionen, sondern auch die Stabilität des gesamten Finanzsystems gefährden. Der Digital Operational Resilience Act wurde somit eingeführt, um einen einheitlichen Rahmen für die digitale Resilienz im Finanzsektor zu schaffen, der die Prävention, Erkennung, Reaktion und Wiederherstellung im Falle von Störungen und Bedrohungen verbessern soll.

Daher müssen alle von DORA betroffenen Organisationen und Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen, um die Risiken eines Cybersecurity-Vorfalls zu minimieren. Darüber hinaus müssen mögliche Kompromittierungen unverzüglich gemeldet und beseitigt werden.

Für welche Unternehmen gilt DORA?

Die europäische Verordnung zur digitalen Resilienz im Finanzsektor gilt für eine breite Palette von Firmen und Organisationen, zum Beispiel für Kreditinstitute, Zahlungsdienstleister, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Handelsplätze,  Transaktionsregister, Versicherungs- und Rückversicherungsunternehmen sowie für Crowdfunding-Plattformen. IT-Dienstleister, die für die gerade genannten Unternehmen tätig sind (“Kritische IKT-Drittdienstleister” genannt), fallen ebenfalls unter die Anforderungen von DORA.

Ausgenommen vom Digital Operational Resilience Act sind beispielsweise Postgiroämter gemäß der Richtlinie 2013/36/EU, Kleinstunternehmen oder KMU im Bereich der Versicherungsvermittlung und Einrichtungen der betrieblichen Altersversorgung mit weniger als 15 Versorgungsanwärtern.

Ab wann ist DORA in Deutschland gültig?

Die Verordnung (konkret: Regulation (EU) 2022/2554) wurde am 14. Dezember 2022 vom Europäischen Parlament und dem Rat der Europäischen Union verabschiedet. Laut BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) soll DORA ab dem 17. Januar 2025 angewendet werden. Bis dahin wird sich noch einiges tun. Die Behörde sagt auf ihrer Website unter anderem dazu:

“Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets Authority – ESMA), die EU-Bankenaufsichtsbehörde (European Banking Authority – EBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA), erarbeiten gemeinsam dazu technische Regulierungsstandards, Implementierungsstandards und Leitlinien, die die Anwendung von DORA in allen Sektoren weiter konkretisieren.”

Was müssen IT-Verantwortliche wegen DORA beachten?

Wenn Sie für die IT-Systeme eines Unternehmens verantwortlich sind, das den Digital Operational Resilience Act einhalten muss, haben Sie unter anderem die folgenden Maßnahmen umzusetzen, zu optimieren und ständig im Blick zu behalten:

Erweitertes IT-Risikomanagement

DORA verlangt von Ihnen, ein umfassendes Risikomanagement-Framework zu implementieren, das vorhandene Risiken bewertet sowie präventive und reaktive Maßnahmen umfasst. Sie müssen damit sicherstellen, dass Risiken kontinuierlich identifiziert, bewertet, überwacht und gemindert werden.

Zudem haben Sie Richtlinien und Verfahren zu entwickeln, welche die Resilienz Ihrer Systeme gegenüber einer Vielzahl von Cyberbedrohungen erhöht.

Erhöhung der Widerstandsfähigkeit

Bei der Umsetzung von DORA müssen Sie Maßnahmen ergreifen, die Ihre IT-Systemlandschaft robuster gegen Cyberangriffe macht. Dazu gehören die Reduzierung der Angriffsfläche durch Deaktivierung unnötiger Dienste, die Implementierung strenger Zugriffskontrollen, ein professionelles Patch-Management sowie die Verschlüsselung sensibler Daten.

Das heißt: Sorgen Sie dafür, dass Ihre Systeme besser geschützt sind – zum Beispiel durch eine Systemhärtung,

Testen der digitalen Betriebsresilienz

DORA fordert, dass Sie regelmäßig die Robustheit Ihrer IT-Systeme belegen. Dazu müssen Sie Ihre Systeme und Prozesse durch eine Reihe von Tests, einschließlich Anomalieerkennung und Penetrationstests, überprüfen. Diese Tests sollen Schwachstellen aufdecken und die Effektivität Ihrer Reaktions- und Wiederherstellungspläne verifizieren.

Als IT-Verantwortliche sind Sie dafür verantwortlich, dass diese Tests in angemessenen Abständen durchgeführt und die Ergebnisse zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen genutzt werden.

Browser Hardening (Image: OpenAI/DALL-E)

Berichterstattung und Transparenz

Die europäische Cybersecurity-Verordnung für den Finanzsektor betont zudem die Bedeutung der Berichterstattung. Sie müssen laut DORA in der Lage sein, bedeutende Cybersecurity-Vorfälle umgehend zu melden, um eine schnelle Reaktion und Minderung zu ermöglichen.

Dies erfordert die Etablierung effizienter Kommunikationskanäle und Berichtsmechanismen innerhalb Ihrer Organisation und gegenüber den Aufsichtsbehörden.

Management von Drittanbieter-Risiken

Viele Unternehmen und Organisationen arbeiten eng mit IT-Dienstleistern zusammen, um die zahlreichen Herausforderungen bewältigen zu können. Diese Kooperation kann allerdings ein Risiko darstellen. Sie müssen deshalb sicherstellen, dass die Verträge mit Drittanbietern angemessene Sicherheitsanforderungen enthalten.

Zudem benötigen Sie Zugriffs-, Inspektions- und Audit-Rechte, um die Einhaltung dieser Anforderungen zu überprüfen. Nur so können Sie herausfinden, wie gut Ihr Service Provider arbeitet.

Förderung der Cybersicherheit

Der Digital Operational Resilience Act soll möchte den internen Informationsaustausch und den Aufbau von Cybersecurity-Wissen fördern. Sie haben deshalb bei den Mitarbeitern ein Bewusstsein und Verständnis für Sicherheitsrisiken zu schaffen. Schulungen und regelmäßige Informationskampagnen sind entscheidend, damit Sicherheitsrichtlinien befolgt werden.

Was bedeutet DORA für die Systemhärtung?

Die neue EU-Verordnung schafft einen rechtlichen Rahmen, der darauf abzielt, die digitale Resilienz Ihres Finanzunternehmens zu stärken. Innerhalb dieses Rahmens spielt die Systemhärtung eine zentrale Rolle, da sie direkt zu einer erhöhten Widerstandsfähigkeit gegenüber zahlreicher Cyberbedrohungen beiträgt.

Folgend ein paar Beispiele, wie Sie mit einer sicheren Konfiguration Ihrer Systeme – also eine “Härtung” – und den damit verbundenen Maßnahmen die strengen Vorgaben von DORA erfüllen können:

“Protection” als oberstes Ziel

Sie müssen präventive Maßnahmen zur Minderung von IT-Risiken implementieren – dies fordert nicht nur DORA, sondern empfiehlt auch das NIST Cybersecurity Framework.

Mit einer Systemhärtung können Sie die Angriffsfläche verringern, indem Sie zum Beispiel unsichere oder unnötige Dienste, Funktionen und Anwendungen entfernen oder deaktivieren. Derart sorgen Sie dafür, dass viele Angriffe – zum Beispiel durch Mimikatz – gar keinen oder sehr geringen Schäden anrichten.

Umsetzung robuster Zugriffskontrollen

Die Zugriffskontrolle ist ein wesentlicher Bestandteil bei der Härtung von Systemen. DORA erwartet von Ihnen, dass Sie strenge Kontrollmechanismen implementieren, um sicherzustellen, dass nur autorisierte Personen den Zugang zu sensiblen Systemen und Daten haben

. Wichtig ist dabei, dass Sie (konfigurative) Veränderungen – ob gewollt oder nicht gewollt – schnellstmöglich erkennen. Für die Überwachung der Zugriffskontrollen und Systemkonfigurationen eignet sich ein Programm wie der Enforce Administrator.

Enforce Administrator: Mehr Infos

Auch aus Sicht des BSI (Bundesamt für Sicherheit in der Informationstechn) ist die Manipulation von Systemkonfigurationen eine klare Gefährdung. Mehr dazu in unserem Beitrag über den “BSI Grundschutzkatalog”.

Regelmäßige Sicherheitsbewertung

Sie müssen kontinuierlich Audits durchführen, um Schwachstellen in Ihren Systemen zu identifizieren und zu beheben. Dies schließt die Überprüfung, wie sicher Ihre Systeme konfiguriert sind, mit ein.

Mit einem Programm wie dem AuditTAP können Sie innerhalb weniger Minuten die benötigten Checks durchführen und Nachweise für einzelne Systeme erstellen. Mit den Hardening-Berichten (“Security Configuration Assessment”) sehen Sie ganz transparent und nachvollziehbar, inwieweit Ihre Betriebssysteme und Applikationen gemäß den Vorgaben von CIS, DISA, ACSC, BSI und Microsoft gehärtet sind.

Fazit

Es mag auf den ersten Blick störend wirken, dass die Europäische Union eine weitere Verordnung erlassen hat, die wieder mehr Aufwand für Unternehmen und ihre IT-Abteilungen bedeutet. Doch DORA macht, wie schon andere Regularien, Gesetze und Normen (zum Beispiel DS-GVO, NIS2 und ISO27001) absolut Sinn!

Alle Akteure im Finanzsektor sind eminent wichtig für die Stabilität der Grundordnung von staatlichen Entitäten und Einrichtungen, dementsprechend müssen deren IT-Systeme bestmöglich geschützt werden – und das nicht nur einmalig, sondern dauerhaft. Diese Resilienz gegen Cyberattacken und deren Folgen bekommen Sie unter anderem durch die Implementierung einer Systemhärtung.

Können wir Ihnen helfen?

Möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten für Systemhärtung sind gerne für Sie da!

Melden Sie sich bei uns!

 

Bild: Freepik

Schreibe einen Kommentar