[datensicherheit.de, 31.10.2024] Ab Januar 2025 wird in der EU eine neue Verordnung gelten, welche dazu beitragen soll, die digitale Widerstandsfähigkeit von Finanzinstituten zu schützen: Der „Digital Operational Resilience Act“ (DORA) verlangt dann von Unternehmen aus dem Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen. „Sie müssen dafür sorgen, dass ihr Betrieb auch bei einem IT-Vorfall weiterläuft und die wichtigsten Systeme schnellstmöglich wieder instandgesetzt werden“, kommentiert Birol Yildiz, Gründer und CEO des Kölner SaaS-Unternehmens ilert, und warnt: „Bei Nichteinhaltung drohen hohe Strafen!“ Es sei daher wichtig, dass Unternehmen und ihre Drittanbieter Störungen geschwind und effektiv identifizierten, managten und aus ihnen lernten. Ein gut funktionierendes „Incident Management“ werde hierfür zur Grundvoraussetzung.

Foto: ilert

Birol Yildiz rät von DORA betroffenen Unternehmen zum strukturierten, umfassenden „Incident Management“

DORA verpflichtet Finanzunternehmen und Dienstleister zum effektiven „Incident Management“

„Finanzdienstleister sollten daher heute damit beginnen, mithilfe von Plänen die Weichen zu stellen, um Kritische Strukturen nach einem Störfall rasch wiederherstellen zu können“, empfiehlt Yildiz. Zudem sollte das eigene „Incident Management“ mithilfe von „drei strategischen Hacks“ auf den neuesten Stand gebracht werden und sich so auf das DORA-Inkrafttreten vorbereitet werden. DORA verpflichte nämlich ab Januar 2025 Finanzunternehmen und ihre Dienstleister zu einem effektiven „Incident Management“.

1. strategischer Hack zur DORA-Einführung: Ein Plan für den Ernstfall

Yildiz führt aus: „Eine der wichtigsten Anforderungen der neuen DORA-Verordnung ist die Klassifizierung von Vorfällen nach Schweregrad, Auswirkung und Dauer. Um einzuschätzen, ob eine Störung als ,signifikant’, ,bedeutsam’ oder ,geringfügig’ einzustufen ist und entsprechend reagieren zu können, bedarf es einer vorausschauenden Planung und passender Lösung.“ Für die Analyse und Bewertung von Störfällen helfe es, im Voraus bereits „Incident Response“-Pläne zu erstellen. Diese sollten den gesamten Incident-Lifecycle behandeln und dabei jede Phase eines Zwischenfalls berücksichtigen – von der Identifikation des Problems über die Eindämmung der Auswirkungen und die Beseitigung der Ursache bis hin zur vollständigen Reparatur der betroffenen Infrastrukturen.

„Denn besonders drastische Ereignisse unterliegen strengen Meldepflichten und müssen unverzüglich an die zuständigen Behörden berichtet werden!“ Die Klassifizierung stelle sicher, dass im Falle eines Vorfalls die vorhandenen Ressourcen effizient eingesetzt und zuerst die wichtigsten Systeme schnell wieder zum Laufen gebracht werden könnten, um größere und langfristige Schäden zu vermeiden. So ließen sich beispielsweise Kritische Datenbanken oder Kundensysteme schneller schützen und könnten bei der Lösung des Problems bevorzugt behandelt werden.

„Darüber hinaus helfen ,Incident Response’-Pläne auch bei der Dokumentation von Zwischenfällen. Das bedeutet, dass alle Schritte und Maßnahmen schriftlich festgehalten sind.“ Da sich Bedrohungsszenarien und Ereignismuster ständig änderten, gelte es, die Konzepte außerdem regelmäßig zu überprüfen und zu aktualisieren. Ein „Incident Management“-Tool könne dabei helfen, diese Prozesse effizient und nachvollziehbar für alle zu gestalten.

2. strategischer Hack zur DORA-Einführung: Offene Kommunikation in der Krise

Um die Anforderungen von DORA erfolgreich umzusetzen, sei im zweiten Schritt ein klarer Informationsaustausch von großer Bedeutung. „Aus dem Grund sollten innerhalb des Unternehmens eindeutige Abläufe definiert werden, damit im Notfall jeder Mitarbeitende genau weiß, was zu tun und jede Abteilung informiert ist.“

Yildiz betont: „Nur wenn alle Beteiligten wissen, wer welche Aufgaben übernimmt, sie ihre Rollen in einer Krisensituation kennen und entsprechend handeln, geht keine wertvolle Zeit verloren. Außerhalb der eigenen Organisation sei es ebenso relevant, „dass es gut organisierte Meldeprozesse gibt“. Schließlich müssten Unternehmen Informationen schnell und präzise an die zuständigen Stellen und externe Partner, wie z.B. Dienstleister, weitergeben.

Darüber hinaus sei auch Transparenz in der Zusammenarbeit entscheidend. Es gehe darum, mit allen mitwirkenden Akteuren – ob Mitarbeitern, Kunden, Partnerunternehmen oder Behörden – offen und klar zu kommunizieren, „damit alle auf dem gleichen Stand sind“. Nur so ließen sich Probleme im Ernstfall bei allen Beteiligten zügig lösen.

3. strategischer Hack zur DORA-Einführung: Simulation statt Spekulation

„Da Störfälle im besten Fall nicht an der Tagesordnung sind, lohnt es sich, regelmäßig Testläufe und Simulationen durchzuführen. Denn so wird sichergestellt, dass die ,Incident Response’-Pläne noch immer greifen.“ Sollten Lücken oder Probleme in der Strategie auftauchen, könnten diese frühzeitig erkannt und behoben werden – „bevor der Ernstfall eintritt!“.

Bei einem Simulationslauf werde ein „Incident“ in einer kontrollierten Umgebung nachgestellt. Diese Tests ließen sich sowohl für IT-Systeme als auch für Prozesse durchführen. Dabei könne das zuständige Team die Reaktionen und Notfallpläne in Echtzeit üben. „Die Netzwerke stehen währenddessen unter ständiger Überwachung, um sicherzustellen, dass sie wie geplant in Stand gesetzt werden können.“ Ziel dieser Übungen und Pläne sei es, Ausfallzeiten auf ein Minimum zu reduzieren und eine schnelle Reaktivierung des Betriebs zu gewährleisten.

Dieser Aspekt sei auch für die neuen Bestimmungen relevant, „denn mit DORA sind Finanzinstitute dazu verpflichtet, Kontinuitäts- und Wiederherstellungspläne zu entwickeln“. Denn es müsse garantiert sein, dass Kritische Anlagen nach einer Störung schnell wieder zum Laufen gebracht werden könnten. Diese Vorgehensweisen seien regelmäßig zu untersuchen und anhand der neuesten Erkenntnisse aus realen Vorfällen oder Überprüfungen anzupassen, um den gesetzlichen Anforderungen zu entsprechen.

„Incident Management“: Nach DORA-Einführung unverzichtbar

„Damit Finanzdienstleistungsunternehmen also nicht an der zukünftigen Regulierung scheitern oder mit hohen Strafzahlungen konfrontiert werden, lohnt sich ein gut strukturiertes ,Incident Management’, das den gesamten ,Incident’-Lifecycle abdeckt“, so Yildiz’ Fazit. Nur so würden Störungen systematisch bewertet, die schnelle Kommunikation und Fehlerbehebung im Team gewährleistet und alle Schritte lückenlos dokumentiert.

„Mit entsprechenden Tools, die alle Prozesse aus einer Hand abdecken, können zudem Wiederherstellungspläne fortlaufend getestet und an aktuelle Bedrohungsszenarien angepasst werden, um die Geschäftskontinuität stets zu gewährleisten.“ Auf diese Weise werde der Reaktionsprozess optimiert und die Kommunikation und Zusammenarbeit mit Behörden und externen Partnern gefördert. Der Erfüllung der neuen DORA-Bestimmungen stehe dann nichts mehr im Weg und Finanzdienstleister könnten sich darauf verlassen, für den Ernstfall gewappnet zu sein.

Weitere Informationen zum Thema:

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 11.07.2024] Die NIS-2-Regelung der EU verlangt von deutschen Unternehmen ab Oktober 2024 Reaktionszeiten von sogar nur 24 Stunden bei IT-Schadensvorfällen. Um das gewährleisten zu können, müssen Firmen offensichtlich erst einmal erkennen, wo überhaupt Systemausfälle und Sicherheitslücken auftreten. „Ein intaktes Incident-Management ist dabei ausschlaggebend“, so Birol Yildiz, Gründer und „CEO“ von ilert, einem Kölner SaaS-Unternehmen für komplettes Incident-Response-Management, in seiner aktuellen Stellungnahme. Er erläuert, was Unternehmen jetzt beachten müssen und wie sie dieser Pflicht nachkommen können:

Foto: ilert

Birol Yildiz empfiehlt Unternehmen, die Umsetzung eines Störfallmanagementkonzeptes als nachhaltigen Lernprozess, statt als eine weitere rechtliche Vorgabe zu verstehen

Betriebe sollten unverzüglich für funktionierende Alarmierungsketten sorgen, um NIS-2-Regelung gerecht zu werden

„Störungen, Bugs und Vorfälle gehören zum Alltag jeder IT-Abteilung. Einige sind schnell behoben, andere strapazieren die Nerven der Mitarbeitenden. Manche können zu einer echten Gefahr werden.“ Das Europäische Parlament habe dies erkannt und verpflichte mit der NIS-2-Verordnung Unternehmen ab Oktober 2024 zu einem sorgfältigen Störungsmanagement.

„Auch der Anfang Mai veröffentlichte deutsche Gesetzentwurf zur Umsetzung der EU-Regeln verlangt Maßnahmen zur Vermeidung von IT-Störungen“, unterstreicht Yildiz. Zudem sollten Vorkehrungen zur Minimierung der Auswirkungen von Sicherheitsvorfällen ergriffen werden, um die Einhaltung der neuen EU-Vorschrift sicherzustellen.

Betriebe sollten daher unverzüglich für funktionierende Alarmierungsketten sorgen, um den strikten Anforderungen der NIS-2-Regelung gerecht zu werden. Yildiz warnt: „Die Annahme, dass hierfür genug Zeit bleibt, ist ein Trugschluss!“ Sein dringender Rat: „Nur wer jetzt vorausschauend plant und die anstehenden Vorgaben umsetzt, wird langfristig auf der sicheren Seite stehen.“

Neue NIS-2-Meldepflicht fordert Unternehmen heraus

Ein kritischer Aspekt, der ab Oktober 2024 Unternehmen gefährlich werden könne, sei die neue Meldepflicht für IT-Vorfälle. Als „wichtig“ und „besonders wichtig“ deklarierte Einrichtungen seien angewiesen, Sicherheitsvorfälle unverzüglich an die Behörden mitzuteilen.

Die NIS-2-Richtlinien legten fest, dass Störungen meist innerhalb von 24 Stunden nach Feststellung angezeigt werden müssten. Yildiz erläutert: „Hierbei müssen sowohl die Art und Schwere des Vorfalls als auch die betroffenen Systeme und Daten sowie die möglichen Auswirkungen auf die Aufrechterhaltung der Dienste gemeldet werden.“

Zusätzlich seien die ergriffenen oder geplanten Maßnahmen zur Bewältigung der Störung anzugeben. „Um das zu gewährleisten, sind Firmen auf ein 24-7-Monitoring ihrer IT-Leistungen angewiesen.“ Effektive Warnsysteme böten eine lückenlose Überwachung und ermöglichten die Speicherung detaillierter Vorfalldaten für schnelle Analysen und bessere Entscheidungsfindung.

Zur NIS-2-Einhaltung Überwachungstools und Bereitschaftsplanung zusammenführen

„Ist ein Vorfall erst einmal identifiziert, muss zügig gehandelt werden. Automatisierte Prozesse für Diagnosen, Tickets und Alarmierungsketten helfen, zeitfressende Aufgaben auszulagern und die Verantwortlichen schnell und verlässlich zu benachrichtigen.“ Effektives Incident-Management könne die Reparaturzeit (MTTR) um bis zu 60 Prozent reduzieren. „Alarme werden hier nach Schweregrad kategorisiert, von niedrigschwelligen Vorfällen bis hin zu kritischen Problemen.“ Dies könne DevOps-Teams bei der Priorisierung von Maßnahmen unterstützen.

Die Kommunikation mit Mitarbeitern könne über verschiedene Kanäle stattfinden, „so dass Verantwortliche keine Anomalien verpassen oder übersehen“. Dies funktioniere jedoch nur, „wenn Zuständigkeiten und Einsatzpläne im Voraus geregelt sind“. Ein geschultes Response-Team sei essenziell für eine schnelle Reaktion auf Vorfälle, wodurch die Reaktionszeit erheblich verkürzt und Eskalationen schneller verhindert würden.

„Integrierte Incident-Management-Systeme verbinden Überwachungstools mit dem On-Call-Management und informieren automatisch die entsprechenden Angestellten in einer Reaktionskette.“ Es sei hilfreich, neben primären Ansprechpartnern auch immer eine „Nummer 2“ in der Dienstkette zu bestimmen, um auf Ausfälle zu reagieren. Besonders bei internationalen Teams könnten Incident-Management-Plattformen komplexe Bereitschaftspläne Zeitzonen übergreifend erstellen und die Kommunikation automatisieren. „Solche Tools entlasten Abteilungen bei der Bewältigung immer anspruchsvollerer Systemanfragen und Koordinationsprozesse, wie sie durch die Verordnung der EU entsteht.“

Zur NIS-2-Konformität Lernkultur etablieren – aus Fehlern lernen

Yildiz betont: „Um die Auswirkungen von IT-Vorfällen möglichst gering zu halten, müssen Unternehmen aus ihren Fehlern lernen.“ Der Gesetzentwurf fordere Organisationen auf, „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik“ zu entwickeln.

Daher sei die Auswertung von Vorfällen besonders wichtig. Response-Teams sollten nach relevanten Betriebsstörungen sogenannte Postmortem-Analysen durchführen, um die angewandten Maßnahmen, Reaktionszeiten und Folgen zu dokumentieren und daraus ihre Erkenntnisse zu ziehen.

„Je näher man der Ursache eines Vorfalls kommt, desto besser kann man ihn in Zukunft vermeiden.“ Strategien könnten so überprüft und angepasst werden. Der Einsatz von KI bei der Dokumentation und Analyse – etwa durch das Zusammentragen von Statusmeldungen, Benachrichtigungen und Zeitleisten – könne das Response-Team zusätzlich unterstützen und die Arbeit erleichtern.

Die Integration von Incident-Management-Plattformen Im NIS-2-Kontext

Mit der zunehmenden Komplexität der Anforderungen an das Vorfallsmanagement steige auch die Anzahl der zu bewältigenden Aufgaben in IT-Abteilungen. „Plattformen, die alle Schritte des Incident-Managements verbinden, können hierbei eine große Hilfe sein.“

Yildiz gibt zu bedenken: „Wer weiterhin die einzelene Elemente des Störungsmanagements voneinander isoliert umsetzt und dennoch versucht, sein Response-Team in kürzester Zeit zur Lösung eines Vorfalls zu bringen, riskiert, den Vorgaben der NIS-2-Regelung nicht gerecht zu werden.“

Eine reibungslose Zusammenarbeit zwischen Überwachung, Alarmierung, Kommunikation und Auswertung im Vorfallsmanagement sei unerlässlich, um kritische Situationen ab Oktober 2024 erfolgreich zu meistern. Yildiz Fazit: „Einen Vorsprung werden dabei die Unternehmen haben, welche die Umsetzung eines Störfallmanagementkonzeptes als nachhaltigen Lernprozess, statt als eine weitere rechtliche Vorgabe verstehen.“

Weitere Informationen zum Thema:

Bundesministerium des Innern und für Heimat, 07.05.2024
Referentenentwurf des Bundesministeriums des Innern und für Heimat / Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)

datensicherheit.de, 03.07.2024
EU-Richtlinie NIS-2: Dirk Wockes Empfehlungen zur Zusammenstellung der eigenen Task Force / Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden, ist es entscheidend, rechtzeitig ein Kernteam für Sicherheitsbelange zu bestimmen

datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen