DORA: Was hat die nun aktive EU-Verordnung mit Systemhärtung zu tun? [Update]

Wenn Sie im Finanzsektor tätig sind, müssen Sie DORA kennen. Hier erfahren Sie, was die neue EU-Verordnung für Ihr Unternehmen oder Ihre Organisation bedeutet und welche wichtige Rolle die Systemhärtung dabei spielt.

Bedeutung: Was ist DORA?

Das Akronym “DORA” steht für “Digital Operational Resilience Act”. Diese Verordnung der Europäischen Union zielt darauf ab, die digitale operative Widerstandsfähigkeit im gesamten Finanzsektor zu stärken. Sie soll sicherstellen, dass Finanzunternehmen wie Banken und Versicherungen in der Lage sind, ihre IT-Systeme und digitalen Prozesse vor Cyber-Bedrohungen zu schützen, sich von Sicherheitsvorfällen schnell zu erholen.

Ab wann ist DORA “gültig”?

Die Verordnung (konkret: Regulation (EU) 2022/2554) wurde am 14. Dezember 2022 vom Europäischen Parlament und dem Rat der Europäischen Union verabschiedet. Seit dem 17. Januar 2025 ist DORA anwendbar. Das bedeutet, dass ab diesem Zeitpunkt die betroffenen Institutionen und Unternehmen die Vorgaben in der Praxis umsetzen müssen.

Doch es gibt Ausnahmen: “Für einige Institute gilt eine Übergangsfrist. Sie müssen DORA erst ab dem 1. Januar 2027 vollständig anwenden. Das regelt das KWG, das Kreditwesengesetz”, erklärt  Jens Obermöller in einem Interview.

Der Referatsleiter, Gruppe IT-Aufsicht der BaFin (Bundesanstalt für
Finanzdienstleistungsaufsicht), weiter: “Nach der Übergangsfrist heben wir die BAIT [Bankenaufsichtliche Anforderungen an die IT] dann auch vollständig auf. Wer genau betroffen ist und welche DORA-Anforderungen wann erfüllt werden müssen, ist im Finanzmarktdigitalisierungsgesetz festgelegt worden.”

Ziele: Warum gibt es DORA?

Mit der zunehmenden Digitalisierung und Vernetzung im Finanzsektor steigt das Risiko von Cyberangriffen und IT-Ausfällen. Diese können nicht nur einzelne Institutionen, sondern auch die Stabilität des gesamten Finanzsystems gefährden.

Der Digital Operational Resilience Act wurde somit eingeführt, um einen einheitlichen Rahmen für die digitale Resilienz im Finanzsektor zu schaffen, der die Prävention, Erkennung, Reaktion und Wiederherstellung im Falle von Störungen und Bedrohungen verbessern soll.

Daher müssen alle von DORA betroffenen Organisationen und Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen, um die Risiken eines Cybersecurity-Vorfalls zu minimieren. Darüber hinaus müssen mögliche Kompromittierungen unverzüglich gemeldet und beseitigt werden.

Malware Developer (Bild: Freepik Pikasa)

Für welche Unternehmen gilt DORA?

Die europäische Verordnung zur digitalen Resilienz im Finanzsektor gilt für eine breite Palette von Firmen und Organisationen, zum Beispiel für:

    • Kreditinstitute
    • Zahlungsdienstleister
    • Wertpapierfirmen
    • Anbieter von Krypto-Dienstleistungen
    • Handelsplätze
    • Transaktionsregister
    • Versicherungs- und Rückversicherungsunternehmen
    • Crowdfunding-Plattformen
    • IT-Dienstleister, die für die gerade genannten Unternehmen tätig sind (“Kritische IKT-Drittdienstleister” genannt)

Ausgenommen vom Digital Operational Resilience Act sind beispielsweise:

    • Postgiroämter gemäß der Richtlinie 2013/36/EU
    • Kleinstunternehmen oder KMU im Bereich der Versicherungsvermittlung
    • Einrichtungen der betrieblichen Altersversorgung mit weniger als 15 Versorgungsanwärtern

Was müssen IT-Verantwortliche wegen DORA beachten?

Wenn Sie für die IT-Systeme eines Unternehmens verantwortlich sind, das den Digital Operational Resilience Act einhalten muss, haben Sie unter anderem die folgenden Maßnahmen umzusetzen, zu optimieren und ständig im Blick zu behalten:

Erweitertes IT-Risikomanagement

DORA verlangt von Ihnen, ein umfassendes Risikomanagement-Framework zu implementieren, das vorhandene Risiken bewertet sowie präventive und reaktive Maßnahmen umfasst. Sie müssen damit sicherstellen, dass Risiken kontinuierlich identifiziert, bewertet, überwacht und gemindert werden.

Zudem haben Sie Richtlinien und Verfahren zu entwickeln, welche die Resilienz Ihrer Systeme gegenüber einer Vielzahl von Cyberbedrohungen erhöht.

Verbesserung der Widerstandsfähigkeit

Bei der Umsetzung von DORA müssen Sie Maßnahmen ergreifen, die Ihre IT-Systemlandschaft robuster gegen Cyberangriffe macht. Dazu gehören unter anderem:

    • Die Reduzierung der Angriffsfläche durch Deaktivierung unnötiger Dienste
    • Die Implementierung strenger Zugriffskontrollen
    • Ein professionelles Patch-Management
    • Die Verschlüsselung sensibler Daten

Das heißt: Sorgen Sie dafür, dass Ihre Systeme besser geschützt sind – zum Beispiel durch eine Systemhärtung bzw. Secure Configuration.

Testen der digitalen Betriebsresilienz

DORA fordert, dass Sie regelmäßig die Robustheit Ihrer IT-Systeme belegen. Dazu müssen Sie Ihre Systeme und Prozesse durch eine Reihe von Tests, einschließlich Anomalieerkennung und Penetrationstests, überprüfen. Diese Tests sollen Schwachstellen aufdecken und die Effektivität Ihrer Reaktions- und Wiederherstellungspläne verifizieren.

Als IT-Verantwortliche sind Sie dafür verantwortlich, dass …

    • diese Tests in angemessenen Abständen durchgeführt
    • und die Ergebnisse zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen genutzt werden.

Berichterstattung und Transparenz

Die europäische Cybersecurity-Verordnung für den Finanzsektor betont zudem die Bedeutung der Berichterstattung. Sie müssen laut DORA in der Lage sein, bedeutende Cybersecurity-Vorfälle umgehend zu melden, um eine schnelle Reaktion und Minderung zu ermöglichen.

Dies erfordert die Etablierung effizienter Kommunikationskanäle und Berichtsmechanismen innerhalb Ihrer Organisation und gegenüber den Aufsichtsbehörden.

Management von Drittanbieter-Risiken

Viele Unternehmen und Organisationen arbeiten eng mit IT-Dienstleistern zusammen, um die zahlreichen Herausforderungen bewältigen zu können. Diese Kooperation kann allerdings ein Risiko darstellen. Sie müssen deshalb sicherstellen, dass die Verträge mit Drittanbietern angemessene Sicherheitsanforderungen enthalten.

Zudem benötigen Sie Zugriffs-, Inspektions- und Audit-Rechte, um die Einhaltung dieser Anforderungen zu überprüfen. Nur so können Sie herausfinden, wie gut Ihr Service Provider arbeitet.

Browser Hardening (Image: OpenAI/DALL-E)

Förderung der Cybersicherheit

Der Digital Operational Resilience Act soll den internen Informationsaustausch und den Aufbau von Cybersecurity-Wissen fördern. Sie haben daher bei Ihren Mitarbeitern bzw. Kollegen ein Bewusstsein und Verständnis für Sicherheitsrisiken zu schaffen. Schulungen und regelmäßige Informationskampagnen sind entscheidend, damit Sicherheitsrichtlinien befolgt werden.

Welchen Stellenwert hat Systemhärtung bei der DORA-Regulierung?

Die recht neue EU-Verordnung schafft einen rechtlichen Rahmen, der darauf abzielt, die digitale Resilienz Ihres Finanzunternehmens zu stärken. In diesem Rahmen spielt die Systemhärtung (engl. System Hardening) eine zentrale Rolle, da sie direkt zu einer erhöhten Widerstandsfähigkeit gegenüber zahlreichen Cybersecurity-Bedrohungen beiträgt.

Konkret setzt DORA an verschiedenen Stellen an, von denen wir hier einige exemplarisch vorstellen:

DORA-Beispiel 1: SectionVI – Network Security (Art. 13 RTS RMF)

In Punkt 71 im Bereich “Network Security” steht:

“Secure configuration baselines, network hardening, and session termination after inactivity limit potential attack vectors.”

Frei übersetzt bedeutet das: “Mit Systemhärtung wird die möglich (…) Angriffsfläche verkleinert.”

DORA-Beispiel 2: Article 11 RTS RMF – Data and System Security

Dieser Bereich ist besonders spannend, da hier nicht nur auf die einmalige Anwendung, sondern auch auf die regelmäßige Kontrolle von führenden Standards hingewiesen wird. Im Wortlaut heißt es:

“The data and ICT system security procedure referred to in paragraph 1 shall include all of the following elements related to data and ICT system security, in accordance with the classification performed pursuant to Article 8(1) of Regulation (EU) 2022/2554:

(a) the access restrictions, in line with Article 21, supporting the protection requirements for each level of classification;
(b) identification of secure configuration baseline for ICT assets that will minimise their exposure to cyber threats and measures to verify regularly that these baselines are those that are effectively deployed. The secure configuration baseline shall take into account leading practices and appropriate techniques referred to in standards (..)”

Update: Umsetzungshinweise der BaFin

Am 08.07.2024 hat die Bundesanstalt für Finanzdienstleistungsaufsicht die Umsetzungshinweise zu DORA hier veröffentlicht.

Aus unserer Sicht macht die BaFin mit dieser Veröffentlichung noch einmal sehr deutlich, dass die tatsächliche, technische Sachlage deutlich stärker als bisher mit der Papier-/Dokumentenlage in Einklang gebracht werden muss.

Konkret wird zum Beispiel formuliert:

“(..) für den Bereich der operativen Informationssicherheit in DORA ist insgesamt festzustellen, dass der Detaillierungsgrad der Anforderungen deutlich höher ausfällt als bisher in Kapitel 5 BAIT/VAIT beschrieben. Der Grad der Detaillierung entspricht eher den Erläuterungen der BAIT/VAIT als Mindestanforderungen (..)”

Für Systemhärtung wird ganz klar festgelegt, dass “(..) Härtungsmaßnahmen ergriffen und diese regelmäßig kontrolliert werden (..)

“Protection” als oberstes Ziel – das gilt für alle!

Sie müssen präventive Maßnahmen zur Minderung von IT-Risiken implementieren – dies fordert nicht nur DORA, sondern empfiehlt auch das NIST Cybersecurity Framework.

Mit einer Systemhärtung können Sie die Angriffsfläche verringern, indem Sie zum Beispiel unsichere oder unnötige Dienste, Funktionen und Anwendungen entfernen oder deaktivieren. Derart sorgen Sie dafür, dass viele Angriffe – zum Beispiel durch Mimikatz – gar keinen oder sehr geringen Schäden anrichten.

Umsetzung robuster Zugriffskontrollen

Die Zugriffskontrolle ist ein wesentlicher Bestandteil bei der Härtung von Systemen. DORA erwartet von Ihnen, dass Sie strenge Kontrollmechanismen implementieren, um sicherzustellen, dass nur autorisierte Personen den Zugang zu sensiblen Systemen und Daten haben.

Wichtig ist dabei, dass Sie (konfigurative) Veränderungen – ob gewollt oder nicht gewollt – schnellstmöglich erkennen. Für die Überwachung der Zugriffskontrollen und Systemkonfigurationen eignet sich ein Programm wie der Enforce Administrator.

🛠 Enforce Administrator: Mehr Informationen

Auch aus Sicht des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist die Manipulation von Systemkonfigurationen eine klare Gefährdung. Mehr dazu in unserem Beitrag über den “BSI Grundschutzkatalog”.

Regelmäßige Sicherheitsbewertung

Sie müssen kontinuierlich Audits durchführen, um Schwachstellen in Ihren Systemen zu identifizieren und zu beheben. Dies schließt die Überprüfung, wie sicher Ihre Systeme konfiguriert sind, mit ein.

Mit einem Programm wie dem Enforce Administrator können Sie innerhalb weniger Minuten die benötigten Checks durchführen und Nachweise für einzelne Systeme erstellen.

Mit den Hardening-Berichten (“Security Configuration Assessment”) sehen Sie ganz transparent und nachvollziehbar, inwieweit Ihre Betriebssysteme und Applikationen gemäß den Vorgaben von CIS, DISA, ACSC, BSI und Microsoft gehärtet sind.

Wie der Enforce Administrator die DORA-Vorgaben erfüllt

Diese Übersicht zeigt Ihnen, welche Anforderungen der Digital Operational Resilience Act im Bereich “Sichere Konfiguration” bzw. “Systemhärtung” stellt und wie der Enforce Administrator diese Anforderungen löst:

DORA-Erkenntnisse

Enforce Administrator-Lösungen

Ohne Secure Configuration bzw. Systemhärtung geht im Finanzsektor nichts mehr.

Der Enforce Administrator sorgt für eine kontinuierliche, automatisierte Härtung Ihrer IT-Systeme.

Selbst erdachte Sicherheitskonfigurationen gehören der Vergangenheit an. Etablierte Standards sind zu nutzen.

Mit dem Enforce Administrator werden Ihre Systeme nach den neuesten Standards gehärtet – zum Beispiel nach den Empfehlungen von BSI, CIS, DISA, ACSC und Microsoft.

Maßnahmen, welche die tatsächliche Umsetzung der Konfiguration kontrollieren, sind eminent wichtig.

Eine Kernfunktion des Enforce Administrators ist die selbstständige Überwachung der Systeme und ein zentrales Reporting.

DORA fordert eine klar nachvollziehbare Dokumentation der durchgeführten Maßnahmen.

Ein anerkanntes Reporting, zum Beispiel für Audits, kann mit dem Enforce Administrator auf Knopfdruck erstellt werden.

All diese Maßnahmen sind extrem schwer und sehr zeitaufwändig mit Windows-Gruppenrichtlinien umsetzbar.

Der Enforce Administrator arbeitet nicht auf Basis von GPOs, sondern mit PowerShell-Skripten. Da es sich um ein NoCode-Tool handelt, müssen Sie selbst keine Zeile Code schreiben.

➡ Der Enforce Administrator ist bei zahlreichen Unternehmen und Organisationen im Einsatz – unter anderem bei der Aachener Grundvermögen Kapitalverwaltungsgesellschaft mbH. Lesen Sie in dieser Success Story, wie eine nachhaltige Härtung der Systeme dazu beiträgt, die IT-Sicherheitsmaßnahmen der der Kapitalverwaltungsgesellschaft entscheidend zu verbessern und gleichzeitig zentrale regulatorische Anforderungen wie DORA zu erfüllen.

Fazit

Es mag auf den ersten Blick störend wirken, dass die Europäische Union eine weitere Verordnung erlassen hat, die wieder mehr Aufwand für Unternehmen und ihre IT-Abteilungen bedeutet. Doch DORA macht, wie schon andere Regularien, Gesetze und Normen (zum Beispiel DS-GVO, NIS2 und ISO27001) absolut Sinn!

Alle Akteure im Finanzsektor sind eminent wichtig für die Stabilität der Grundordnung von staatlichen Entitäten und Einrichtungen, dementsprechend müssen deren IT-Systeme bestmöglich geschützt werden – und das nicht nur einmalig, sondern dauerhaft. Diese Resilienz gegen Cyberattacken und deren Folgen bekommen Sie unter anderem durch die Implementierung einer Systemhärtung.

Wie können wir Ihnen helfen?

Möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten für Systemhärtung sind gerne für Sie da!

💬 Melden Sie sich bei uns!

 

Bild: Freepik

Schreibe einen Kommentar