Der Digital Operational Resilience Act (DORA) der EU-Kommission ist seit 16.Januar 2023 in Kraft. Ziel ist es, die Cyber-Resilienz in der Finanzindustrie zu stärken. Finanzunternehmen haben nun bis Ende 2024 Zeit, die Anforderungen umzusetzen. Hier gilt es für die betroffenen Unternehmen aber bereits jetzt Maßnahmen und Tools zu implementieren um die Regularen einzuhalten, so Exeon Analytics, der Cybersicherheits-Spezialist. Die Regelungen betreffen alle regulierten Finanzunternehmen in der EU, neben Banken und Versicherungen auch Wertpapierfirmen, Verwaltungsgesellschaften, Rating-Agenturen, Krypto-Asset-Anbieter, Handelsplattformen u.a.
Bedrohungsanalyse und operationelle Resilienz
DORA möchte die Stärkung der Sicherheit und Widerstandsfähigkeit des digitalen Betriebs im Finanzsektor mit einem einheitlichen Aufsichtsrahmen realisieren. Die Ziele der DORA-Verordnungen lassen sich in fünf Schritten zusammenfassen:
Management von Cyber-Risiken: Unternehmen sollen Strategien und Maßnahmen rund um ihre IT-Systeme und -Tools ergreifen, um die Auswirkungen von IT-Risiken zu minimieren. Dazu gehören proaktive Maßnahmen wie die Identifizierung, Klassifizierung und Dokumentation von cyberkritischen Anwendungen und Assets, die kontinuierliche Überwachung aller Quellen von IT-Risiken, um Schutz- und Präventions-Maßnahmen einzurichten, sowie die zeitnahe Erkennung von auffälligen Aktivitäten.
Widerstandsfähigkeit und Business Continuity: Belastbare IT-Systeme und -Werkzeuge sollen die Auswirkungen von IT-Risiken minimieren, und es sind Schutzmaßnahmen für Systeme, Netzwerke und kritische Vermögenswerte zu ergreifen, um unbefugten Zugriff, Diebstahl, Naturkatastrophen oder Umweltgefahren zu verhindern. Eine umfassende Business Continuity Policy mit Notfall- und Wiederherstellungsplänen als integraler Bestandteil eines umfassenden IT-Risikomanagements muss daher etabliert werden.
Klassifizierung und sofortige Meldung gravierender Vorfälle: Ein IT-bezogenes Incident Management verpflichtet die Unternehmen, zeitnah auf IT-Vorfälle und Angriffe zu reagieren und sich schnell von ihnen zu erholen. Dies erfordert geeignete Mechanismen zur ständigen Erkennung anomaler Aktivitäten sowie eine vorab festgelegte Klassifizierung sensibler und gefährdeter Daten.
Kontinuierliche Tests: Mit umfassenden Tests, die auf TLPT (Threat-Led Penetration Testing) basieren, können Organisationen die tatsächliche digitale Widerstandsfähigkeit des Unternehmens überprüfen, die kontinuierlich durch Audits und Teste bewertet werden sollte. Kritische IT-Systeme und -Anwendungen müssen mindestens einmal im Jahr von unabhängigen internen oder externen Prüfern mit Simulationsübungen, bedrohungsorientierten Penetrationstests usw. getestet werden.
Sicherheitsmanagement für Third-Party Zulieferer: Das potenzielle Risiko, das von Dienstleistern ausgeht, wird durch die Verpflichtung zur Kontrolle und Gewährleistung der Sicherheit und Haftung erweitert (Drittparteirisiko). Dies betrifft besonders Cloud-Dienste, Platform-as-a-Service oder Infrastructure-as-a-Service.
NDR hilft bei der Umsetzung von DORA
„DORA stellt hohe Anforderungen an die Resilienz der IT-Umgebung und die schnelle Reaktion auf Sicherheitsvorfälle“, so Michael Tullius, Sales Director Germany von Exeon Analytics. „Doch all diese Anforderungen in der Praxis umzusetzen, ist angesichts der Knappheit von Sicherheitsexperten in den Unternehmen für viele eine immense Herausforderung. Wer heute noch nicht intensiv daran arbeitet, droht die Deadline zu verpassen. Mit Tools für Network Detection and Response gibt es jedoch Möglichkeiten, diese Umsetzung deutlich zu vereinfachen.“
Auch wenn bereits ein SIEM vorhanden ist, um Sicherheitsereignisse aus verschiedenen Quellen zu sammeln, hilft eine NDR-Lösung, um die unübersichtliche Menge an Ereignissen und Alarmen in klare Risikomuster und sinnvolle Alarme zu unterteilen: Auch durch eine unmittelbare und Echtzeit-Reaktion auf Cyber-Vorfälle erleichtert NDR die Umsetzung von DORA, insbesondere im Hinblick auf Reaktion und Prävention.
Insgesamt ermöglicht ML-basiertes NDR, eine ganz zentrale Forderung von DORA zu erfüllen, nämlich „ausreichende Ressourcen und Kapazitäten für die Überwachung der Benutzeraktivitäten, des Auftretens von IT-Anomalien und IT-bezogener Vorfälle, insbesondere von Cyberangriffen“ bereitzustellen. NDR-Lösungen ermöglichen es Unternehmen, ihre Ausgaben durch geringeren Datenverbrauch, geringeren Personalbedarf, sofortige Bedrohungserkennung, verbesserte betriebliche Effizienz und skalierbare Anpassungsfähigkeit bei der Verwaltung der Cybersicherheit zu senken.
Jürgen Haekel, freier Fachjournalist, München
