Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor

Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

[datensicherheit.de, 31.10.2024] Ab Januar 2025 wird in der EU eine neue Verordnung gelten, welche dazu beitragen soll, die digitale Widerstandsfähigkeit von Finanzinstituten zu schützen: Der „Digital Operational Resilience Act“ (DORA) verlangt dann von Unternehmen aus dem Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen. „Sie müssen dafür sorgen, dass ihr Betrieb auch bei einem IT-Vorfall weiterläuft und die wichtigsten Systeme schnellstmöglich wieder instandgesetzt werden“, kommentiert Birol Yildiz, Gründer und CEO des Kölner SaaS-Unternehmens ilert, und warnt: „Bei Nichteinhaltung drohen hohe Strafen!“ Es sei daher wichtig, dass Unternehmen und ihre Drittanbieter Störungen geschwind und effektiv identifizierten, managten und aus ihnen lernten. Ein gut funktionierendes „Incident Management“ werde hierfür zur Grundvoraussetzung.

Foto: ilert

Birol Yildiz rät von DORA betroffenen Unternehmen zum strukturierten, umfassenden „Incident Management“

DORA verpflichtet Finanzunternehmen und Dienstleister zum effektiven „Incident Management“

„Finanzdienstleister sollten daher heute damit beginnen, mithilfe von Plänen die Weichen zu stellen, um Kritische Strukturen nach einem Störfall rasch wiederherstellen zu können“, empfiehlt Yildiz. Zudem sollte das eigene „Incident Management“ mithilfe von „drei strategischen Hacks“ auf den neuesten Stand gebracht werden und sich so auf das DORA-Inkrafttreten vorbereitet werden. DORA verpflichte nämlich ab Januar 2025 Finanzunternehmen und ihre Dienstleister zu einem effektiven „Incident Management“.

1. strategischer Hack zur DORA-Einführung: Ein Plan für den Ernstfall

Yildiz führt aus: „Eine der wichtigsten Anforderungen der neuen DORA-Verordnung ist die Klassifizierung von Vorfällen nach Schweregrad, Auswirkung und Dauer. Um einzuschätzen, ob eine Störung als ,signifikant’, ,bedeutsam’ oder ,geringfügig’ einzustufen ist und entsprechend reagieren zu können, bedarf es einer vorausschauenden Planung und passender Lösung.“ Für die Analyse und Bewertung von Störfällen helfe es, im Voraus bereits „Incident Response“-Pläne zu erstellen. Diese sollten den gesamten Incident-Lifecycle behandeln und dabei jede Phase eines Zwischenfalls berücksichtigen – von der Identifikation des Problems über die Eindämmung der Auswirkungen und die Beseitigung der Ursache bis hin zur vollständigen Reparatur der betroffenen Infrastrukturen.

„Denn besonders drastische Ereignisse unterliegen strengen Meldepflichten und müssen unverzüglich an die zuständigen Behörden berichtet werden!“ Die Klassifizierung stelle sicher, dass im Falle eines Vorfalls die vorhandenen Ressourcen effizient eingesetzt und zuerst die wichtigsten Systeme schnell wieder zum Laufen gebracht werden könnten, um größere und langfristige Schäden zu vermeiden. So ließen sich beispielsweise Kritische Datenbanken oder Kundensysteme schneller schützen und könnten bei der Lösung des Problems bevorzugt behandelt werden.

„Darüber hinaus helfen ,Incident Response’-Pläne auch bei der Dokumentation von Zwischenfällen. Das bedeutet, dass alle Schritte und Maßnahmen schriftlich festgehalten sind.“ Da sich Bedrohungsszenarien und Ereignismuster ständig änderten, gelte es, die Konzepte außerdem regelmäßig zu überprüfen und zu aktualisieren. Ein „Incident Management“-Tool könne dabei helfen, diese Prozesse effizient und nachvollziehbar für alle zu gestalten.

2. strategischer Hack zur DORA-Einführung: Offene Kommunikation in der Krise

Um die Anforderungen von DORA erfolgreich umzusetzen, sei im zweiten Schritt ein klarer Informationsaustausch von großer Bedeutung. „Aus dem Grund sollten innerhalb des Unternehmens eindeutige Abläufe definiert werden, damit im Notfall jeder Mitarbeitende genau weiß, was zu tun und jede Abteilung informiert ist.“

Yildiz betont: „Nur wenn alle Beteiligten wissen, wer welche Aufgaben übernimmt, sie ihre Rollen in einer Krisensituation kennen und entsprechend handeln, geht keine wertvolle Zeit verloren. Außerhalb der eigenen Organisation sei es ebenso relevant, „dass es gut organisierte Meldeprozesse gibt“. Schließlich müssten Unternehmen Informationen schnell und präzise an die zuständigen Stellen und externe Partner, wie z.B. Dienstleister, weitergeben.

Darüber hinaus sei auch Transparenz in der Zusammenarbeit entscheidend. Es gehe darum, mit allen mitwirkenden Akteuren – ob Mitarbeitern, Kunden, Partnerunternehmen oder Behörden – offen und klar zu kommunizieren, „damit alle auf dem gleichen Stand sind“. Nur so ließen sich Probleme im Ernstfall bei allen Beteiligten zügig lösen.

3. strategischer Hack zur DORA-Einführung: Simulation statt Spekulation

„Da Störfälle im besten Fall nicht an der Tagesordnung sind, lohnt es sich, regelmäßig Testläufe und Simulationen durchzuführen. Denn so wird sichergestellt, dass die ,Incident Response’-Pläne noch immer greifen.“ Sollten Lücken oder Probleme in der Strategie auftauchen, könnten diese frühzeitig erkannt und behoben werden – „bevor der Ernstfall eintritt!“.

Bei einem Simulationslauf werde ein „Incident“ in einer kontrollierten Umgebung nachgestellt. Diese Tests ließen sich sowohl für IT-Systeme als auch für Prozesse durchführen. Dabei könne das zuständige Team die Reaktionen und Notfallpläne in Echtzeit üben. „Die Netzwerke stehen währenddessen unter ständiger Überwachung, um sicherzustellen, dass sie wie geplant in Stand gesetzt werden können.“ Ziel dieser Übungen und Pläne sei es, Ausfallzeiten auf ein Minimum zu reduzieren und eine schnelle Reaktivierung des Betriebs zu gewährleisten.

Dieser Aspekt sei auch für die neuen Bestimmungen relevant, „denn mit DORA sind Finanzinstitute dazu verpflichtet, Kontinuitäts- und Wiederherstellungspläne zu entwickeln“. Denn es müsse garantiert sein, dass Kritische Anlagen nach einer Störung schnell wieder zum Laufen gebracht werden könnten. Diese Vorgehensweisen seien regelmäßig zu untersuchen und anhand der neuesten Erkenntnisse aus realen Vorfällen oder Überprüfungen anzupassen, um den gesetzlichen Anforderungen zu entsprechen.

„Incident Management“: Nach DORA-Einführung unverzichtbar

„Damit Finanzdienstleistungsunternehmen also nicht an der zukünftigen Regulierung scheitern oder mit hohen Strafzahlungen konfrontiert werden, lohnt sich ein gut strukturiertes ,Incident Management’, das den gesamten ,Incident’-Lifecycle abdeckt“, so Yildiz’ Fazit. Nur so würden Störungen systematisch bewertet, die schnelle Kommunikation und Fehlerbehebung im Team gewährleistet und alle Schritte lückenlos dokumentiert.

„Mit entsprechenden Tools, die alle Prozesse aus einer Hand abdecken, können zudem Wiederherstellungspläne fortlaufend getestet und an aktuelle Bedrohungsszenarien angepasst werden, um die Geschäftskontinuität stets zu gewährleisten.“ Auf diese Weise werde der Reaktionsprozess optimiert und die Kommunikation und Zusammenarbeit mit Behörden und externen Partnern gefördert. Der Erfüllung der neuen DORA-Bestimmungen stehe dann nichts mehr im Weg und Finanzdienstleister könnten sich darauf verlassen, für den Ernstfall gewappnet zu sein.

Weitere Informationen zum Thema:

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen