Strategische Transformation: IT-Sicherheit und Compliance im Einklang mit DORA
Anstatt auf Standard-Softwarelösungen zurückzugreifen, entscheiden sich viele Unternehmen für die Entwicklung eigener Anwendungen – denn diese sind optimal auf die unternehmenseigenen Anforderungen zugeschnitten und bieten meist langfristig Kostenvorteile. Warum Eigenentwicklungen auch zu Problemen – insbesondere in Sachen Compliance – führen können und was die neue EU-Verordnung DORA (Digital Operational Resilience Act) damit zu tun hat, verdeutlicht das nachfolgende Kundenbeispiel.
DORA: Was ist der Digital Operational Resilience Act?
Der Digital Operational Resilience Act, kurz DORA, ist eine EU-Verordnung über die digitale operationale Resilienz im Finanzsektor. Diese reguliert die Bereiche Cybersicherheit, IKT-Risiken und digitale operationale Resilienz und dient der Stärkung des europäischen Finanzmarktes gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT).
Ziel ist es, einen widerstandsfähigen Betrieb auch bei einer schwerwiegenden Betriebsunterbrechung, die die Sicherheit der Netz- und Informationssysteme bedrohen könnten, zu gewährleisten. Die Verordnung ist am 17. Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 von den Aufsichtsbehörden durchgesetzt. In Deutschland wird die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bei der Umsetzung von DORA eine wichtige Rolle spielen.
Anforderungen an Unternehmen
DORA stellt spezifische Anforderungen an die Netz-Informationssysteme von Unternehmen, die im Finanzsektor tätig sind – darunter Kreditinstitute, Versicherungsunternehmen, Investmentfirmen und Zahlungsdienstleister.
Im Wesentlichen soll die digitale operationale Resilienz des EU-Finanzsektors in den folgenden Bereichen gestärkt werden:
IKT-Risikomanagement
Unternehmen müssen ein robustes Management für digitale Risiken etablieren. Dies umfasst die Entwicklung von Strategien und Prozessen zur Identifizierung, Bewertung und Bewältigung von Cyberrisiken, die den betrieblichen Ablauf beeinträchtigen könnten.
Meldung IKT-bezogener Vorfälle
Vorfälle, die die digitalen Systeme eines Unternehmens betreffen, müssen innerhalb einer festgelegten Frist gemeldet werden. Dies hilft bei der schnellen Reaktion auf Sicherheitsvorfälle und dient der Sammlung von Daten, die zur Verbesserung der branchenweiten Resilienz beitragen können.
Testen der digitalen operationalen Resilienz
Eine regelmäßige Prüfung der digitalen Resilienz – inklusive Threat-Led Penetration Testing (TLPT) – ist ebenfalls vorgeschrieben. Mit diesen Tests lässt sich die Effektivität der Sicherheitsmaßnahmen sowie deren Beständigkeit gegenüber neuesten Bedrohungen prüfen.
Management des IKT-Drittparteirisikos
Da viele Finanzdienstleistungen von externen Anbietern abhängen, ist ein sorgfältiges Risikomanagement für diese Drittanbieter nötig. Dies beinhaltet die Überprüfung und Bewertung der Sicherheitsmaßnahmen von ITK-Drittanbietern sowie regelmäßige Audits.
Informationsaustausch
Um die branchenweite Resilienz zu fördern, sind Unternehmen dazu angehalten, Informationen über Cyberbedrohungen und Best Practices in der Cybersicherheit mit anderen Marktteilnehmern und Behörden zu teilen.
Was bedeutet DORA für IKT-Drittdienstleister?
Die EU-weite DORA-Regulierung adressiert auch das IKT-Drittparteirisiko. Da Finanzdienstleister häufig IT-Systeme nutzen, die durch externe Technologieanbieter bereitgestellt werden, gilt die Verordnung für eine Vielzahl von Drittdienstleistern. Dazu zählen neben Softwareanbietern unter anderem auch Cloud-Service-Provider, Datenanalysedienste und Rechenzentren.
Besonders streng werden von DORA als „kritisch“ eingestufte IKT-Drittdienstleister überwacht. Dazu zählen alle Lieferanten, bei denen eine betriebliche Störung systemische Auswirkungen für das Finanzunternehmen verursacht.
Wie DORA den Wechsel zu Beta Systems veranlasste
Ein führender, international tätiger Softwareanbieter mit über 8.000 Mitarbeitenden entschied sich für einen proaktiven Wechsel zu Beta Systems, um Compliance-Risiken zu minimieren und potenziell hohe Kosten für eine etwaige Nachprüfung durch die BaFin zu vermeiden. Denn in den Anwendungsbereich der DORA-Richtlinien fallen schließlich auch Unternehmen, die IKT-Dienstleistungen für die Finanzindustrie bereitstellen.
Mit der Implementierung von Beta LogZ und Beta View gelang dem Unternehmen ein signifikanter Fortschritt in der Verwaltung und Sicherung kritischer IT-Prozesse.
Ausgangssituation und Herausforderung
Bisher nutzte das Unternehmen eine durch einen externen Dienstleister entwickelte Softwarelösung zur Archivierung von IBM IWS Job Logs. Im Zuge einer Wirtschaftsprüfung wurde das Unternehmen schließlich auf die unzureichende Dokumentation und Sicherheit hingewiesen. Es traten unter anderem folgende Probleme auf:
kein Schutz der Logdaten gegen Manipulationen
extern entwickelte Software ohne Dokumentation
fehlende Flexibilität bei der Weiterentwicklung aufgrund von Ressourcenknappheit
keine Gewährleistung der Stabilität bei neuen Software-Releases von IBM
Die genutzte Softwarelösung stellte somit ein erhebliches Risiko dar – insbesondere in Hinblick auf zukünftige Audits durch Wirtschaftsprüfer.
Die Entscheidung des Unternehmens, Softwarelösungen von Beta Systems zu verwenden, wurde zusätzlich aufgrund des zunehmenden Drucks durch DORA auf IT-Drittdienstleister beeinflusst. Der Wechsel war demnach ein entscheidender Schritt, um den hohen Sicherheits- und Compliance-Standards der DORA-Regularien gerecht zu werden sowie potenzielle finanzielle und regulatorische Risiken zu minimieren.
Warum fiel die Entscheidung auf Beta Systems?
Der Wechsel zu Beta Systems erfolgte nach einer eingehenden Prüfung der verfügbaren Lösungen auf dem Markt. Mit seinem spezialisierten Angebot für den Bankensektor, das auf die Bedürfnisse des Softwareanbieters zugeschnitten wurde, überzeugte Beta Systems den Kunden. Beta LogZ und Beta View ließen sich schnell implementieren und nahtlos in die bestehende IT-Architektur integrieren.
Vorteile der Implementierung von Beta LogZ und Beta View:
standardisiertes Verfahren zur Archivierung des Job-Outputs mit Anschluss des Jira-Ticketsystems
benutzerfreundliches und wartungsarmes Job-Output-Archiv
Gewährleistung der Ordnungsmäßigkeit und Sicherheit rechnungsrelevanter Daten
VTAM-Zugriff und/oder Web-Oberfläche für Non-Mainframe-Benutzer
strategische und innovative Weiterentwicklung des Archivs durch Beta Systems
Support neuester IBM z/OS Releases
Beta LogZ vereinfacht die IT-Prüfung und ist bei Prüfenden bereits anerkannt
sehr hohe Integrationskraft in bestehende Architekturen
langfristige Investitionssicherheit
einfach abrufbarer Betriebsservice über Kyndryl
Ein weiterer Vorteil: Das Development-Team des Unternehmens war bereits mit Beta LogZ (vormals Beta 92) vertraut, was eine schnelle Time-to-Production ermöglichte.
Fazit: Jetzt handeln, um DORA-konform zu sein
Die Implementierung fortschrittlicher Sicherheitstechnologien und die Aktualisierung bestehender Systeme sind entscheidend, um den Anforderungen der DORA-Verordnung gerecht zu werden. Unternehmen sollten auch in die Schulung ihrer Mitarbeitenden investieren, um das Bewusstsein und das Verständnis für Cybersicherheitsrisiken zu erhöhen.
Sind Sie bereits vorbereitet auf DORA oder haben Sie Bedenken, was die Sicherheit Ihrer IT-Systeme angeht? Unsere Experten beraten Sie gerne und helfen Ihnen, die richtigen Schritte einzuleiten, um die IT-Sicherheit in Vorbereitung auf DORA zu stärken.