Unternehmen im Finanzsektor sehen sich mit einer wachsenden Zahl von Vorschriften konfrontiert. Eine davon heißt Digital Operational Resilience Act, kurz: DORA. Mit diesen Maßnahmen konnte die Aachener Grundvermögen einen essentiellen Teil der Vorgaben meistern.
Über die Aachener Grundvermögen
Die Aachener Grundvermögen Kapitalverwaltungsgesellschaft mbH ist seit über 50 Jahren auf eine konservative, langfristig orientierte Anlagestrategie spezialisiert. Und sie konzentriert sich auf erstklassige Einzelhandelsimmobilien in innerstädtischen Top-Lagen. Dabei legt die Kölner Investmentgesellschaft besonderen Wert auf Nachhaltigkeit und auf die Förderung von Innovationen.
Die Ausgangslage
Mit der fortschreitenden Digitalisierung und den gleichzeitig wachsenden Cyber-Gefahren stand die Aachener Grundvermögen vor der Herausforderung, ihre Informationssicherheit weiter zu stärken. Neben der intrinsischen Motivation, alle Daten bestmöglich zu schützen, rückten auch die gestiegenen Compliance-Anforderungen – insbesondere durch die neue EU-Verordnung DORA – in den Fokus.
Die Lösung
DORA fordert unter anderem die Maßnahme “Secure Configuration”. Die Lösung hierfür ist eine professionelle Systemhärtung. Denn mit dieser technischen Maßnahme können die regulatorischen Anforderungen erfüllt und gleichzeitig die Ausfallsicherheit der IT-Systeme deutlich erhöht werden.
Um die IT-Systemlandschaft der Kapitalverwaltungsgesellschaft nachhaltig “härten” zu können, musste zunächst eine Ist-Analyse durchgeführt werden. Darauf aufbauend sollte eine Hardening-Strategie entwickelt werden. Für all diese Schritte wurde die FB Pro beauftragt.
Die Umsetzung
Um festzustellen, inwieweit die IT-Systeme der Aachener Grundvermögen bereits “gehärtet” sind, wurde mit dem AuditTAP ein Hardening-Audit durchgeführt. Der Bericht des Tools zeigte, wo Optimierungspotenzial bestand. Das Team entwickelte daraufhin eine Strategie zur Umsetzung einer Systemhärtung nach aktuellen und industrieerprobten Standards – auch gemäß den DORA-Anforderungen.
Für die systemweite Umsetzung der Härtungskonfigurationen auf Servern und Clients wurde der Enforce Administrator eingesetzt. Mit dem Hardening-Tool war es einfach möglich, den internen Vorgaben sowie den DORA-Vorgaben gerecht zu werden.
Die Ergebnisse
Das gesamte Projekt wurde erfolgreich umgesetzt – “in time”, “in budget” und “in quality”. Dank der Beratung durch die Hardening-Experten von FB Pro ist das IT-Team der Aachener Grundvermögen nun bestens geschult.
Darüber hinaus hilft die Systemhärtung als präventive Maßnahme, Cyber-Angriffe bereits im Vorfeld zu verhindern und deutlich zu erschweren. Ergänzend sorgt der Enforce Administrator für eine kontinuierliche Überwachung der sicheren Konfiguration.
Im Bezug auf DORA wurden diese Fortschritte gemacht:
DORA-Anforderungen | Unsere Umsetzung |
Ohne Secure Configuration bzw. Systemhärtung geht im Finanzsektor nichts mehr. | Der Enforce Administrator sorgt bei der Aachener Grundvermögen für eine kontinuierliche, automatisierte Härtung der IT-Systeme. Dabei werden Configuration Drifts, also Konfigurationsabweichungen, permanent geprüft und verhindert. |
Selbst erdachte Sicherheitskonfigurationen gehören der Vergangenheit an. Etablierte Standards sind zu nutzen. | Die FB Pro hat mehrere Standards (sog. Benchmarks) über eine einfache Web-Oberfläche kombiniert. Mit dem Enforce Administrator wurden die Zielsysteme nach den neuesten Standards gehärtet – zum Beispiel nach den Empfehlungen von BSI, CIS, DISA, ACSC und Microsoft. |
Maßnahmen, welche die tatsächliche Umsetzung der Konfiguration kontrollieren, gelten als eminent wichtig. | Eine Kernfunktion des Enforce Administrators ist die selbstständige Überwachung der Systeme und ein zentrales Reporting. Abweichungen können so erkannt und in Prozesse wie ein Incident Management eingebunden werden. |
DORA fordert eine klar nachvollziehbare Dokumentation der durchgeführten Maßnahmen.
|
Ein anerkanntes Reporting, beispielsweise für Audits, lässt sich mit dem Enforce Administrator auf Knopfdruck erstellen. Damit wird die Nachweisführung in Audit-Verfahren erheblich vereinfacht. |
Dazu Martin Khoury, Chief Information Security Officer bei der Aachener Grundvermögen:
„Durch die gezielte Absicherung unserer Systeme und den Einsatz des Enforce Administrators haben wir unsere IT-Sicherheitsmaßnahmen entscheidend verbessert. Damit schaffen wir nicht nur die Grundlage für eine höhere Sicherheit, sondern erfüllen zugleich zentrale regulatorische Anforderungen“