DORA: Was hat die EU-Verordnung mit Systemhärtung zu tun? [Update]

Wenn Sie im Finanzsektor tätig sind, haben Sie wahrscheinlich schon von DORA gehört. Was es damit auf sich hat, was die EU-Verordnung für Ihr Unternehmen bzw. Ihre Organisation bedeutet und welche wichtige Rolle die Systemhärtung dabei spielt, erklären wir Ihnen hier kurz und knapp.

Hinweis: Die DORA-Regulatoriken sind aktuell im Status “Entwurf”. Dieser Artikel wird daher ständig mit neuen Informationen aktualisiert.

Was ist eigentlich DORA?

Das Akronym “DORA” steht für “Digital Operational Resilience Act”. Diese Verordnung der Europäischen Union zielt darauf ab, die digitale operative Widerstandsfähigkeit im gesamten Finanzsektor zu stärken. Sie soll sicherstellen, dass Finanzunternehmen wie Banken und Versicherungen in der Lage sind, ihre IT-Systeme und digitalen Prozesse vor Cyber-Bedrohungen zu schützen, sich von Sicherheitsvorfällen schnell zu erholen und so die Stabilität des Finanzmarkts zu gewährleisten.

Warum gibt es DORA?

Mit der zunehmenden Digitalisierung und Vernetzung im Finanzsektor steigt das Risiko von Cyberangriffen und IT-Ausfällen. Diese können nicht nur einzelne Institutionen, sondern auch die Stabilität des gesamten Finanzsystems gefährden.

Der Digital Operational Resilience Act wurde somit eingeführt, um einen einheitlichen Rahmen für die digitale Resilienz im Finanzsektor zu schaffen, der die Prävention, Erkennung, Reaktion und Wiederherstellung im Falle von Störungen und Bedrohungen verbessern soll.

Daher müssen alle von DORA betroffenen Organisationen und Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen, um die Risiken eines Cybersecurity-Vorfalls zu minimieren. Darüber hinaus müssen mögliche Kompromittierungen unverzüglich gemeldet und beseitigt werden.

Für welche Unternehmen gilt DORA?

Die europäische Verordnung zur digitalen Resilienz im Finanzsektor gilt für eine breite Palette von Firmen und Organisationen, zum Beispiel für

    • Kreditinstitute
    • Zahlungsdienstleister
    • Wertpapierfirmen
    • Anbieter von Krypto-Dienstleistungen
    • Handelsplätze
    • Transaktionsregister
    • Versicherungs- und Rückversicherungsunternehmen
    • Crowdfunding-Plattformen
    • IT-Dienstleister, die für die gerade genannten Unternehmen tätig sind (“Kritische IKT-Drittdienstleister” genannt)

Ausgenommen vom Digital Operational Resilience Act sind beispielsweise

    • Postgiroämter gemäß der Richtlinie 2013/36/EU
    • Kleinstunternehmen oder KMU im Bereich der Versicherungsvermittlung
    • Einrichtungen der betrieblichen Altersversorgung mit weniger als 15 Versorgungsanwärtern

Ab wann ist DORA in Deutschland gültig?

Die Verordnung (konkret: Regulation (EU) 2022/2554) wurde am 14. Dezember 2022 vom Europäischen Parlament und dem Rat der Europäischen Union verabschiedet. Laut BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) soll DORA ab dem 17. Januar 2025 angewendet werden.

Bis zu diesem Datum wird sich noch einiges tun. Die Behörde sagt auf ihrer Website unter anderem dazu:

“Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets Authority – ESMA), die EU-Bankenaufsichtsbehörde (European Banking Authority – EBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA), erarbeiten gemeinsam dazu technische Regulierungsstandards, Implementierungsstandards und Leitlinien, die die Anwendung von DORA in allen Sektoren weiter konkretisieren.”

Was müssen IT-Verantwortliche wegen DORA beachten?

Wenn Sie für die IT-Systeme eines Unternehmens verantwortlich sind, das den Digital Operational Resilience Act einhalten muss, haben Sie unter anderem die folgenden Maßnahmen umzusetzen, zu optimieren und ständig im Blick zu behalten:

Erweitertes IT-Risikomanagement

DORA verlangt von Ihnen, ein umfassendes Risikomanagement-Framework zu implementieren, das vorhandene Risiken bewertet sowie präventive und reaktive Maßnahmen umfasst. Sie müssen damit sicherstellen, dass Risiken kontinuierlich identifiziert, bewertet, überwacht und gemindert werden.

Zudem haben Sie Richtlinien und Verfahren zu entwickeln, welche die Resilienz Ihrer Systeme gegenüber einer Vielzahl von Cyberbedrohungen erhöht.

Erhöhung der Widerstandsfähigkeit

Bei der Umsetzung von DORA müssen Sie Maßnahmen ergreifen, die Ihre IT-Systemlandschaft robuster gegen Cyberangriffe macht. Dazu gehören die Reduzierung der Angriffsfläche durch Deaktivierung unnötiger Dienste, die Implementierung strenger Zugriffskontrollen, ein professionelles Patch-Management sowie die Verschlüsselung sensibler Daten.

Das heißt: Sorgen Sie dafür, dass Ihre Systeme besser geschützt sind – zum Beispiel durch eine Systemhärtung.

Testen der digitalen Betriebsresilienz

DORA fordert, dass Sie regelmäßig die Robustheit Ihrer IT-Systeme belegen. Dazu müssen Sie Ihre Systeme und Prozesse durch eine Reihe von Tests, einschließlich Anomalieerkennung und Penetrationstests, überprüfen. Diese Tests sollen Schwachstellen aufdecken und die Effektivität Ihrer Reaktions- und Wiederherstellungspläne verifizieren.

Als IT-Verantwortliche sind Sie dafür verantwortlich, dass diese Tests in angemessenen Abständen durchgeführt und die Ergebnisse zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen genutzt werden.

Berichterstattung und Transparenz

Die europäische Cybersecurity-Verordnung für den Finanzsektor betont zudem die Bedeutung der Berichterstattung. Sie müssen laut DORA in der Lage sein, bedeutende Cybersecurity-Vorfälle umgehend zu melden, um eine schnelle Reaktion und Minderung zu ermöglichen.

Dies erfordert die Etablierung effizienter Kommunikationskanäle und Berichtsmechanismen innerhalb Ihrer Organisation und gegenüber den Aufsichtsbehörden.

Management von Drittanbieter-Risiken

Viele Unternehmen und Organisationen arbeiten eng mit IT-Dienstleistern zusammen, um die zahlreichen Herausforderungen bewältigen zu können. Diese Kooperation kann allerdings ein Risiko darstellen. Sie müssen deshalb sicherstellen, dass die Verträge mit Drittanbietern angemessene Sicherheitsanforderungen enthalten.

Zudem benötigen Sie Zugriffs-, Inspektions- und Audit-Rechte, um die Einhaltung dieser Anforderungen zu überprüfen. Nur so können Sie herausfinden, wie gut Ihr Service Provider arbeitet.

Browser Hardening (Image: OpenAI/DALL-E)

Förderung der Cybersicherheit

Der Digital Operational Resilience Act soll möchte den internen Informationsaustausch und den Aufbau von Cybersecurity-Wissen fördern. Sie haben deshalb bei den Mitarbeitern ein Bewusstsein und Verständnis für Sicherheitsrisiken zu schaffen. Schulungen und regelmäßige Informationskampagnen sind entscheidend, damit Sicherheitsrichtlinien befolgt werden.

Was bedeutet DORA für die Systemhärtung?

Die neue EU-Verordnung schafft einen rechtlichen Rahmen, der darauf abzielt, die digitale Resilienz Ihres Finanzunternehmens zu stärken. In diesem Rahmen spielt die Systemhärtung eine zentrale Rolle, da sie direkt zu einer erhöhten Widerstandsfähigkeit gegenüber zahlreichen Cybersecurity-Bedrohungen beiträgt.

Konkret setzt DORA an verschiedenen Stellen an, von denen wir hier einige exemplarisch vorstellen:

DORA-Beispiel 1: SectionVI – Network Security (Art. 13 RTS RMF)

In Punkt 71 im Bereich “Network Security” steht:

“Secure configuration baselines, network hardening, and session termination after inactivity limit potential attack vectors.”

Frei übersetzt bedeutet das: “Mit Systemhärtung wird die möglich (…) Angriffsfläche verkleinert.”

DORA-Beispiel 2: Article 11 RTS RMF – Data and System Security

Dieser Bereich ist besonders spannend, da hier nicht nur auf die einmalige Anwendung, sondern auch auf die regelmäßige Kontrolle von führenden Standards hingewiesen wird. Im Wortlaut heißt es:

“The data and ICT system security procedure referred to in paragraph 1 shall include all of the following elements related to data and ICT system security, in accordance with the classification performed pursuant to Article 8(1) of Regulation (EU) 2022/2554:

(a) the access restrictions, in line with Article 21, supporting the protection requirements for each level of classification;
(b) identification of secure configuration baseline for ICT assets that will minimise their exposure to cyber threats and measures to verify regularly that these baselines are those that are effectively deployed. The secure configuration baseline shall take into account leading practices and appropriate techniques referred to in standards (..)”

Update: Umsetzungshinweise der BaFin

Am 08.07.2024 hat die Bundesanstalt für Finanzdienstleistungsaufsicht die Umsetzungshinweise zu DORA hier veröffentlicht.

Aus unserer Sicht macht die BaFin mit dieser Veröffentlichung noch einmal sehr deutlich, dass die tatsächliche, technische Sachlage deutlich stärker als bisher mit der Papier-/Dokumentenlage in Einklang gebracht werden muss.

Konkret wird zum Beispiel formuliert:

“(..) für den Bereich der operativen Informationssicherheit in DORA ist insgesamt festzustellen, dass der Detaillierungsgrad der Anforderungen deutlich höher ausfällt als bisher in Kapitel 5 BAIT/VAIT beschrieben. Der Grad der Detaillierung entspricht eher den Erläuterungen der BAIT/VAIT als Mindestanforderungen (..)”

Für Systemhärtung wird ganz klar festgelegt, dass “(..) Härtungsmaßnahmen ergriffen und diese regelmäßig kontrolliert werden (..)

Conclusio

❗ Ohne Systemhärtung (O-Ton: “Secure Configuration“) geht im Finanzsektor nichts mehr.

❗ Dabei sind nicht nur die Konfiguration eminent wichtig, sondern auch Maßnahmen, welche die tatsächliche Umsetzung der Konfiguration kontrollieren (“verify baselines are those effectively deployed”).

❗ Selbst erdachte Sicherheitskonfigurationen gehören der Vergangenheit an. Etablierte Standards sind zu nutzen (“leading practices”)!

❗ Das bedeutet: Eine professionelle Umsetzung erfolgt sicher und transparent auf Basis eines geeigneten Hardening-Tools. Warum dies nicht per GPO erfolgen darf, erklären wir in unseren Beitrag “Gruppenrichtlinien vs. Systemhärtung“.

“Protection” als oberstes Ziel – das gilt für alle!

Sie müssen präventive Maßnahmen zur Minderung von IT-Risiken implementieren – dies fordert nicht nur DORA, sondern empfiehlt auch das NIST Cybersecurity Framework.

Mit einer Systemhärtung können Sie die Angriffsfläche verringern, indem Sie zum Beispiel unsichere oder unnötige Dienste, Funktionen und Anwendungen entfernen oder deaktivieren. Derart sorgen Sie dafür, dass viele Angriffe – zum Beispiel durch Mimikatz – gar keinen oder sehr geringen Schäden anrichten.

Umsetzung robuster Zugriffskontrollen

Die Zugriffskontrolle ist ein wesentlicher Bestandteil bei der Härtung von Systemen. DORA erwartet von Ihnen, dass Sie strenge Kontrollmechanismen implementieren, um sicherzustellen, dass nur autorisierte Personen den Zugang zu sensiblen Systemen und Daten haben.

Wichtig ist dabei, dass Sie (konfigurative) Veränderungen – ob gewollt oder nicht gewollt – schnellstmöglich erkennen. Für die Überwachung der Zugriffskontrollen und Systemkonfigurationen eignet sich ein Programm wie der Enforce Administrator.

🛠 Enforce Administrator: Mehr Informationen

Auch aus Sicht des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist die Manipulation von Systemkonfigurationen eine klare Gefährdung. Mehr dazu in unserem Beitrag über den “BSI Grundschutzkatalog”.

Regelmäßige Sicherheitsbewertung

Sie müssen kontinuierlich Audits durchführen, um Schwachstellen in Ihren Systemen zu identifizieren und zu beheben. Dies schließt die Überprüfung, wie sicher Ihre Systeme konfiguriert sind, mit ein.

Mit einem Programm wie dem Enforce Administrator können Sie innerhalb weniger Minuten die benötigten Checks durchführen und Nachweise für einzelne Systeme erstellen.

Mit den Hardening-Berichten (“Security Configuration Assessment”) sehen Sie ganz transparent und nachvollziehbar, inwieweit Ihre Betriebssysteme und Applikationen gemäß den Vorgaben von CIS, DISA, ACSC, BSI und Microsoft gehärtet sind.

Fazit

Es mag auf den ersten Blick störend wirken, dass die Europäische Union eine weitere Verordnung erlassen hat, die wieder mehr Aufwand für Unternehmen und ihre IT-Abteilungen bedeutet. Doch DORA macht, wie schon andere Regularien, Gesetze und Normen (zum Beispiel DS-GVO, NIS2 und ISO27001) absolut Sinn!

Alle Akteure im Finanzsektor sind eminent wichtig für die Stabilität der Grundordnung von staatlichen Entitäten und Einrichtungen, dementsprechend müssen deren IT-Systeme bestmöglich geschützt werden – und das nicht nur einmalig, sondern dauerhaft. Diese Resilienz gegen Cyberattacken und deren Folgen bekommen Sie unter anderem durch die Implementierung einer Systemhärtung.

Können wir Ihnen helfen?

Möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten für Systemhärtung sind gerne für Sie da!

Melden Sie sich bei uns!

 

Bild: Freepik

Schreibe einen Kommentar