Daniel Lattimer | Area Vice President - EMEA West

Unternehmen im Finanzdienstleistungssektor in der Europäischen Union (EU) haben weniger als ein Jahr Zeit, um die Einhaltung des Digital Operational Resilience Act (DORA) nachzuweisen.

Was ist DORA, trifft es auf Ihr Unternehmen zu und wie überschneidet sich die Einhaltung von DORA mit einem der größten Probleme der heutigen Cybersicherheit: Identitätsbedrohungserkennung und Reaktion (ITDR)? Die Experten für digitale Widerstandsfähigkeit von Semperis beantworten diese Fragen und mehr in diesem umfassenden Überblick über die Einhaltung von DORA.

Erfahren Sie mehr über ITDR

Was ist DORA?

DORA ist eine EU-Verordnung, die Anfang 2025 in Kraft tritt. Sie vereinheitlicht und ersetzt Leitlinien wie den Operational Resilience Act. DORA ist weitreichender und präskriptiver und durchsetzbarer als frühere Richtlinien.

Dieses neue Regelwerk verlangt von Finanzinstituten, Dienstleistern und allen anderen Finanzunternehmen, dass sie ihre Fähigkeit nachweisen, kritische Dienste im Falle von Betriebsstörungen zu schützen und wiederherzustellen. Die Einhaltung der DORA-Vorschriften konzentriert sich verstärkt auf Cybersicherheitsvorfälle und IT-Probleme und verlangt von den Unternehmen, dass sie ihre Fähigkeiten zur Reaktion auf Cybervorfälle durch verbesserte Transparenz, Planung und strenge Tests nachweisen.

Gelten die DORA-Anforderungen auch für Sie?

Sind Sie ein Finanzunternehmen oder sind Sie im Bereich Finanzdienstleistungen in oder mit der EU tätig? Oder sind Sie ein Anbieter von Informations- und Kommunikationstechnologie (IKT), der eine solche Organisation unterstützt? Wenn ja, dann müssen Sie sich darauf vorbereiten, die DORA-Anforderungen einzuhalten.

DORA gilt für mehr als 22.000 Finanzunternehmen und IKT-Dienstleister, die innerhalb der EU tätig sind. Die Verordnung gilt auch für die IKT-Infrastruktur, die diese Organisationen von außerhalb der EU unterstützt1.

Wenn Ihr Unternehmen diese Bedingungen erfüllt und unter eine der folgenden Kategorien fällt, gelten die DORA-Anforderungen für Sie:

  • Kreditinstitute
  • Zahlungsinstitute
  • E-Geld-Institute
  • Wertpapierfirmen
  • Krypto-Asset-Dienstleister, Emittenten von Krypto-Assets, Emittenten von Asset-referenzierten Token und Emittenten von signifikanten Asset-referenzierten Token
  • Zentrale Wertpapierverwahrstellen
  • Zentrale Gegenparteien
  • Handelsplätze
  • Trade Repositories
  • Verwalter von alternativen Investmentfonds
  • Verwaltungsgesellschaften
  • Dienstleister für die Datenberichterstattung
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler mit Zusatzleistungen
  • Einrichtungen zur betrieblichen Altersversorgung
  • Rating-Agenturen
  • Abschlussprüfer und Prüfungsgesellschaften
  • Verwalter von kritischen Benchmarks
  • Crowdfunding-Dienstleister
  • Verwahrstellen für Verbriefungen
  • IKT-Drittdienstleister2

Auch wenn Sie ein Finanzinstitut sind, das außerhalb der EU tätig ist, können die DORA-Anforderungen für Sie gelten. Viele Nicht-EU-Länder erlassen derzeit Gesetze, die den DORA-Vorschriften ähneln. Es ist jetzt an der Zeit, die Einhaltung der DORA-Vorschriften zu prüfen - unabhängig davon, wo Ihr Unternehmen ansässig ist.

Warum DORA? Warum jetzt?

Der technologische Fortschritt und die Zusammenarbeit mit dritten und vierten Technologiepartnern machen die Risikominderung, die Präventivmaßnahmen und die Transparenz für Finanzunternehmen sowohl komplex als auch schwierig.

Technologie ist ein zweischneidiges Schwert: Bedrohung und Lösung zugleich. Organisationen im Finanzdienstleistungssektor müssen sich nicht nur mit neuen Technologien in ihrer eigenen Umgebung auseinandersetzen, sondern auch mit der Entwicklung bösartiger Technologien.

Eine immer ausgefeiltere Technologie ermöglicht KI-gestützte Deepfakes und groß angelegte Angriffe. Auf dem Weltwirtschaftsforum 2024 in Davos sagte Mary Erdoes (Leiterin der Abteilung Asset and Wealth Management bei JP Morgan), dass die Bank jeden Tag 45 Milliarden Hacking-Versuche erleidet3. Kein Wunder, dass Cyber- und IKT-Überlegungen für DORA im Mittelpunkt stehen.

"Die Verbreitung neuer Technologien öffnet die Banken für Risiken, mit denen sie sich vielleicht noch nie auseinandersetzen mussten", stellt Deloitte fest. "Open Banking und die Zunahme von Partnerschaften mit Technologiepartnern können die Infrastruktur der Banken neuen Schwachstellen und Cyberangriffen aussetzen. Auch Risiken von Drittanbietern werden immer mehr zu einer Bedrohung, da Banken mehr Partnerschaften mit Dienstleistern eingehen, die ihre eigenen Anbieter haben. "4

Die Herausforderungen der DORA-Einhaltung

Mittlerweile hat jedes technische Team - egal ob es sich um IT-Betrieb, Infrastruktur, Sicherheit oder Identität handelt - irgendeine Form von Disaster Recovery Plan: Prozesse, die im Falle eines Angriffs oder eines Cybervorfalls zu befolgen sind. Dies gilt insbesondere für die Finanzdienstleister. Die Komplexität des neuen Aufgabenbereichs von DORA, insbesondere in Bezug auf Cyber-Resilienz und IKT, ist jedoch gewaltig.

Diese Verordnung wird zweifellos Lücken aufdecken und Risiken in bestehenden Plänen und Prozessen aufdecken. DORA wird die Bereitschaft selbst der fortschrittlichsten Finanzdienstleistungsunternehmen in Frage stellen. Darüber hinaus müssen Finanzunternehmen die DORA-Konformität nicht nur für die eigenen Technologiesysteme berücksichtigen, sondern auch für alle Systeme und Dienstleistungen, die sie von Drittanbietern beziehen.

Die Folgen einer Nichteinhaltung der DORA-Anforderungen

Unternehmen, die gegen die DORA-Vorschriften verstoßen, müssen mit erheblichen und dauerhaften Geldbußen rechnen. Ähnlich wie bei der Nichteinhaltung der GDPR gibt es keine feste Strafe. Stattdessen werden die Bußgelder verhältnismäßig sein.

  • Ein Unternehmen, das von der zuständigen Aufsichtsbehörde für nicht konform befunden wird, kann mit einem Zwangsgeld in Höhe von 1% des durchschnittlichen täglichen Gesamtumsatzes des Vorjahres belegt werden, und zwar für bis zu 6 Monate, bis die Konformität erreicht ist.
  • Die Aufsichtsbehörde kann auch Unterlassungsanordnungen, Kündigungen, zusätzliche finanzielle Maßnahmen und öffentliche Bekanntmachungen erlassen.5

Es sind aber nicht nur die Geldstrafen, die Unternehmen unbedingt vermeiden sollten. Die Nichteinhaltung von Vorschriften birgt auch ein beträchtliches Reputationsrisiko, insbesondere wenn es sich um eine schlecht behandelte Störung oder einen Vorfall handelt. Ein Vertrauensverlust und ein schlechter Ruf in der Branche können sogar noch teurer sein als Geldstrafen. Für kleine bis mittelgroße Unternehmen können solche Probleme einen nicht wiedergutzumachenden Schaden für das Unternehmen bedeuten.

Wo soll ich anfangen? DORA-Einhaltung und ITDR

Wie überschneidet sich die Einhaltung von DORA mit ITDR - eine wachsende Notwendigkeit, da Cyberangreifer zunehmend auf Identitätssysteme abzielen, um Zugang zu und Kontrolle über Ressourcen in den Zielunternehmen zu erlangen?

Beachten Sie die folgenden drei Absätze aus DORA Artikel 5, in denen der Rahmen für das IKT-Risikomanagement erörtert wird.

  1. Finanzunternehmen müssen über einen soliden, umfassenden und gut dokumentierten Rahmen für das IKT-Risikomanagement verfügen, der es ihnen ermöglicht, IKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu gewährleisten, das ihren geschäftlichen Anforderungen, ihrer Größe und Komplexität entspricht.
  2. Der in Absatz 1 genannte Rahmen für das IKT-Risikomanagement umfasst Strategien, Strategien, Verfahren, IKT-Protokolle und Instrumente, die erforderlich sind, um alle relevanten physischen Komponenten und Infrastrukturen, einschließlich Computer-Hardware und Server, sowie alle relevanten Räumlichkeiten, Datenzentren und als sensibel eingestuften Bereiche ordnungsgemäß und wirksam zu schützen, um sicherzustellen, dass alle diese physischen Elemente angemessen vor Risiken, einschließlich Schäden und unbefugtem Zugang oder unbefugter Nutzung, geschützt sind.
  3. Finanzunternehmen minimieren die Auswirkungen von IKT-Risiken durch den Einsatz geeigneter Strategien, Strategien, Verfahren, Protokolle und Instrumente, die im Rahmen des IKT-Risikomanagements festgelegt sind. Sie stellen vollständige und aktualisierte Informationen über IKT-Risiken zur Verfügung, wie von den zuständigen Behörden verlangt.6

Die Identität ist weithin als die neue Sicherheitsgrenze anerkannt. Sie ist auch der Schlüssel zur betrieblichen Ausfallsicherheit. Im Falle von Active Directory beispielsweise ist die Cyber-Resilienz (die Fähigkeit, AD am Laufen zu halten und bei Bedarf schnell wiederherzustellen) die Grundlage für die betriebliche Resilienz. Wenn AD ausfällt, ist auch der Betrieb gestört.

Wenn wir über Risiken und Risikomanagement im Rahmen von DORA sprechen, müssen wir auch die Risiken für die Identitätsinfrastruktur berücksichtigen. Also, wo fangen Sie an?

1. Identifizieren Sie Ihre kritischen IT-Systeme und -Dienste

Untersuchen Sie zunächst Ihre Umgebung und ermitteln Sie, welche Dienste weiterhin verfügbar sein müssen, um negative Auswirkungen auf Ihre Kunden zu vermeiden. Eine Bank muss zum Beispiel die Zugänglichkeit und Funktionalität von Bankanwendungen aufrechterhalten, einschließlich der Einzahlung eines Schecks, eines internationalen Geldwechsels oder eines Systems oder Dienstes, der mit einer Clearingstelle verbunden ist.

Bestimmen Sie dann, welche Systeme, Dienste und Technologien in Ihrem Unternehmen diese kritischen Dienste unterstützen. Stellen Sie alle damit verbundenen Abhängigkeiten dar.

2. Plan zum Schutz und zur Wiederherstellung

Wenn Sie die Abhängigkeiten für jeden Dienst und jedes Szenario umfassend abgebildet haben, besteht der nächste Schritt zur Einhaltung der DORA-Vorschriften darin, sicherzustellen, dass Sie diese Dienste und Abhängigkeiten effektiv überwachen können. Sie benötigen einen testbaren Wiederherstellungsprozess.

Nachdem ich viel Zeit damit verbracht habe, mit Unternehmen zu sprechen, die den DORA-Konformitätsprozess für Active Directory durchlaufen, ist eine der wichtigsten Erkenntnisse, dass die Verordnung regelmäßige "Live-Übungen" für Ihre Wiederherstellungstests erfordert. Obwohl viele Teams einige ihrer kritischen Systeme halb regelmäßig testen, sind die Testbedingungen möglicherweise nicht ganz realistisch. Manchmal handelt es sich um einen partiellen Test, oder es werden Dienste unabhängig von abhängigen Systemen getestet.

DORA erfordert ein Maß an Live-Drill-Tests, an das die meisten Teams nicht gewöhnt sind.

3. Machen Sie sich einen Kopf über DORA - dann machen Sie sich an die AD-Sicherheit

Active Directory ist ein wichtiges System in fast jedem Unternehmen. AD wird verwendet für:

  • Benutzerinformationen speichern
  • Verwalten Sie Benutzerzugriff und -autorisierung
  • Zuteilung von Ressourcen für Dienste, Assets und Daten

Active Directory fungiert auch als Authentifizierungssystem für Benutzer. Das bedeutet nicht nur, dass es in fast 100 % aller Unternehmen von DORA betroffen ist, sondern auch, dass AD ein wichtiges Ziel für Infiltrationen und ein perfekter Einstiegspunkt für böswillige Akteure ist, da es als Einfallstor für Ihre Benutzer, Daten und Ihr Unternehmen dient.

DORA-Konformität und Zero Trust

Zero Trust bezieht sich auf einen Sicherheitsrahmen, der jeden potenziellen Benutzer bis zum Beweis des Gegenteils als nicht vertrauenswürdig behandelt. Das bedeutet, dass alle Benutzer überprüft werden müssen, bevor sie Zugang zu privilegierten Bereichen Ihres Netzwerks erhalten.

Eine solche Verwaltung des privilegierten Zugriffs ist ein Grundpfeiler der DORA-Verordnung. Eine effektive Zero Trust-Strategie hängt jedoch von einer effektiven Delegationsverwaltung in Active Directory ab. Eine schleichende Konfiguration, eine laxe Zugriffskontrolle für verschiedene Benutzer und Gruppen und einfaches menschliches Versagen können Cyber-Bedrohungen die Möglichkeit geben, Privilegien in AD zu erlangen oder zu erweitern. Und eine erfolgreiche Kompromittierung von Identitäten macht selbst Ihre intensivsten Bemühungen um Zero Trust zunichte. Wie wir oft sagen: "Die meisten Angreifer hacken sich nicht ein ... sie loggen sich ein."

    DORA-Einhaltung: Kopfschmerzen oder Chance?

    Die Einhaltung neuer Vorschriften ist entmutigend und kann aufgrund der Komplexität und der Änderungen, die vorgenommen werden müssen, frustrierend sein. Viele Teams, die mit dieser Herausforderung konfrontiert sind, betrachten DORA als Kopfschmerzen. Aber die neue Verordnung bietet auch Chancen, insbesondere für die AD-Sicherheit und -Verwaltung.

    DORA arbeitet daran, die operative Widerstandsfähigkeit von Organisationen durch eine strengere Regulierung zu verbessern. Haben Sie Bedenken wegen:

    • Aufblähung von Active Directory oder 'Konfigurationsdrift'
    • Anhaltende Probleme bei der Wartung oder menschliches Versagen
    • Ein wackeliger AD-Wiederherstellungsprozess

    Wenn ja, ist es jetzt an der Zeit, diese Probleme anzugehen. Da DORA Teil des Gesetzes sein wird und die Risiken der Nichteinhaltung hohe, dauerhafte Geldstrafen (1 % des täglichen weltweiten Umsatzes, bis die Einhaltung der Vorschriften als erreicht gilt) sowie Reputationsschäden umfassen, muss die Einhaltung der Vorschriften eine strategische Priorität für das Unternehmen sein. Die Zuteilung von Ressourcen und Haushaltsmitteln zur Unterstützung dieses Projekts wird für die Genehmigung auf Vorstandsebene zwingender sein.

    Der Prozess kann manchmal mühsam sein. Aber das ist Ihre Chance, Ihr Haus in Ordnung zu bringen und das Maß an Überwachung, Tests und Kontrolle einzurichten, das erforderlich ist, um AD in Zukunft optimal zu verwalten.

    Wie Sie den Weg zur DORA-Konformität vereinfachen

    Semperis hilft Unternehmen, die Kontrolle über die Sicherheit von Active Directory zu gewinnen. Mit der Semperis-Plattform für die Ausfallsicherheit von Identitäten kann Ihr Unternehmen:

    • Bewerten Sie die AD-Angriffsfläche
    • Finden Sie hybride AD-Schwachstellen
    • Überwachen Sie Änderungen an Active Directory und Entra ID
    • Erkennen Sie fortschrittliche Bedrohungen, die darauf ausgelegt sind, sich herkömmlichen Überwachungsinstrumenten zu entziehen.
    • Automatisieren Sie das Rollback verdächtiger Änderungen
    • Erstellen Sie sichere, effiziente AD-Backups und Wiederherstellungspläne
    • Stellen Sie AD im Durchschnitt 90% schneller wieder her als bei einer manuellen Wiederherstellung

    Entdecken Sie ITDR-Lösungen

    DORA ist die Zukunft

    Viele beratende Gremien haben vorgeschlagen, dass Unternehmen, die nicht in den Zuständigkeitsbereich von DORA fallen, dennoch in Erwägung ziehen sollten, sich nach Möglichkeit an die Praktiken der Verordnung anzupassen. Ähnliche Vorschriften könnten auch für andere Branchen kommen, oder solche Unternehmen könnten zur Zielscheibe werden, sobald DORA die Raffinesse und die Cyberfähigkeiten von Finanzunternehmen verbessert hat. So oder so: Volle Transparenz, umfassende Kartierung, detaillierte Wiederherstellungsplanung und Testbereitschaft sind eindeutig die Zukunft der Cyber- und Betriebsresilienz für alle Unternehmen.

    Andere Artikel in unserer Serie über DORA-Compliance

    Ressourcen

    1. https://www.pwc.co.uk/industries/financial-services/insights/dora-and-its-impact-on-uk-financial-entities-and-ict-service-providers.html
    2. https://www.digital-operational-resilience-act.com/DORA_Article_2_(Proposal).html
    3. https://fintechmagazine.com/articles/capgemini-the-challenges-and-opportunities-dora-presents
    4. https://www2.deloitte.com/xe/en/insights/industry/financial-services/financial-services-industry-outlooks/banking-industry-outlook.html
    5. https://www.orrick.com/en/Insights/2023/01/5-Things-You-Need-to-Know-About-DORA
    6. https://www.digital-operational-resilience-act.com/DORA_Article_5_(Proposal).html