Es gibt nur wenige Branchen, die so stark reguliert sind wie der Finanzsektor. In regelmäßigen Abständen erscheinen neue Gesetzesrahmen und das aus gutem Grund: Finanzdienstleister gehören zum Rückgrat nationaler Infrastruktur und sind deshalb ein Hauptziel von Cyber-Angriffen und Betrugsmaschen. Jede neue Regulierung muss daher wasserdicht sein.
Von Andre Troskie, EMEA Field Chief Information Security Officer bei Veeam.
Der Digital Operational Resilience Act (DORA) der EU ist hier die jüngste in einer langen Liste von Maßnahmen. Sie alle haben zum Ziel, die Messlatte anzuheben, wie sich Finanzinstitute und ihre Drittanbieter auf Bedrohungen vorbereiten, ihnen widerstehen und sich von ihnen erholen können müssen.
Das im Januar eingeführte Gesetz auf der Grundlage von DORA konzentriert sich auf die Meldung von Vorfällen, die Überwachung von Drittanbietern und die Prüfung der Widerstandsfähigkeit. Sechs Monate später räumen in einer Umfrage jedoch fast alle befragten Finanzdienstleister (96 %) ein, dass sie ihre Widerstandsfähigkeit noch verbessern müssen, um die Anforderungen der Verordnung zu erfüllen.
Wie kommt es zu diesen Verzögerungen? Was also bringt die Datenresilienz von Unternehmen tatsächlich voran?
Entlastung von Sicherheits-Teams in Zeiten des Burnouts
Eine der stärksten Nebenwirkungen von DORA ist die zusätzliche Belastung der IT- und Sicherheitsfachleute. 41 % der Befragten Unternehmen nannten diesen Punkt als große Herausforderung bei der Erfüllung der Anforderungen.
Die allgemeine Sicherheitslage ist heikel und daher ist der Cyber-Sicherheitssektor eine Branche, die unter hohem Druck steht.Es ist also keine Überraschung, dass Burnout unter IT-Sicherheitsfachkräften ein grassierendes Phänomen ist. Die Erfüllung der DORA-Anforderungen sollte dieses Problem jedoch nicht noch weiter befeuern.
Die Antwort liegt also nicht darin, DORA als ein weiteres Projekt auf einer bereits überbordenden Liste abzuarbeiten. Stattdessen müssen Unternehmen das Thema Ausfallsicherheit umfassend betrachten. Die Verwendung von Data Resilience Maturity Models (DRMMs) kann ein Ausweg sein.
Das ermöglicht Unternehmen, die Einhaltung von DORA als Teil eines größeren Resilienzplans zu betrachten, nicht als isolierte Übung. Dieser Ansatz entlastet nicht nur die Teams, sondern verbessert auch die Datenresilienz von Unternehmen als Ganzes.
Nur wer testet, erzielt Fortschritte
Ein weiterer Knackpunkt bei der Erfüllung der Compliance-Anforderungen sind die Herausforderungen beim Testen. Circa ein Viertel der befragten Unternehmen verfügt noch immer nicht über Wiederherstellungs- und Kontinuitätstests. Fast ebenso viele haben noch gar nicht mit Tests zur Ausfallsicherheit begonnen. Das ist riskant, um nicht zu sagen: fahrlässig.
Ohne regelmäßige Tests lässt sich nicht feststellen, ob die neuen Kontrollen tatsächlich funktionieren, wenn sie gebraucht werden. Der erste Test ist oft ernüchternd und kann entmutigend wirken. Probleme aufzudecken, deren Behebung mühsam wird, kann für Frust sorgen.
Doch in Wirklichkeit ist das Testen eine der besten Möglichkeiten, um Fortschritte in der Sicherheitsarchitektur zu erzielen. Zudem sind Tests ohnehin eine klare DORA-Anforderung. Aber was noch wichtiger ist: Härtetests schaffen Vertrauen, dass die Systeme einem echten Cyber-Vorfall standhalten werden.
Der Sicherheitsfaktor Drittanbieter
Die letzte große Hürde auf dem Weg zur DORA-Konformität ist die Überwachung Dritter, sprich von Partnern und externen Anbietern in der Lieferkette. Mehr als ein Drittel der Unternehmen bezeichnet diese als „größte Herausforderung bei der Umsetzung“, und ein Fünftel hat sich überhaupt nicht damit befasst.
Das Hauptproblem: Die meisten Unternehmen unterschätzen, auf wie viele externe Anbieter sie angewiesen sind. Ein durchschnittliches Unternehmen hat 88 externe Partner. Das ist weit mehr als in den meisten Resilienzstrategien berücksichtigt wird.
Damit einher geht eine enorme Anzahl von Verbindungen, die es zu verwalten gilt. In der Vergangenheit sind Finanzunternehmen oft davon ausgegangen, dass diese Anbieter über eine eingebaute Ausfallsicherheit verfügen. DORA verlangt aber mehr als das: klare Verantwortungsmodelle und transparente SLAs, die genau festlegen, wer wofür verantwortlich ist.
Die Konsequenz lautet, dass Verträge neu verhandelt werden müssen. Zudem müssen Teams für Sicherheit, Risiko, Recht und Management zusammengebracht werden, um dies zu erreichen. Das ist keine kleine Aufgabe, aber sie ist notwendig, wenn Unternehmen echtes Vertrauen in ihre Widerstandsfähigkeit schaffen wollen.
Ein Blick in die Zukunft
Die Compliance-Probleme im Zusammenhang mit DORA können nicht über Nacht gelöst werden. Schließlich braucht der Aufbau von Widerstandsfähigkeit seine Zeit. Dabei wird es unweigerlich Unebenheiten auf dem Weg geben. Doch Unternehmen, die DORA als Teil eines umfassenderen Resilienzkonzepts, stattals eigenständiges Compliance-Projekt angehen, werden gestärkt daraus hervorgehen.
Am besten beginnt man damit, sich folgende folgenden Fragen zu stellen und diese ehrlich zu beantworten: Wo sind die Schwachstellen des Unternehmens? Weiß man wirklich, wie widerstandsfähig die Zulieferer sind? Testet man ausreichend, um den Schutzmaßnahmen zu vertrauen?
Die Antworten mögen kurzfristig unangenehm sein. Aber sie sind die Grundlage für DORA-Compliance und langfristiges Vertrauen in die eigene Datensicherheit und die Zementierung der Geschäftsfähigkeit.