Digital Operational Resilience Act: Welche Maßnahme essentiell ist

Die IT-Systeme im EU-Finanzsektor sollen widerstandsfähiger und sicherer werden. Dafür sorgt der Digital Operational Resilience Act, kurz DORA. Systemhärtung spielt dabei eine wichtige Rolle. Das sind die Hintergründe.

Das digitale Schutzschild für Europas Finanzsektor

In einer zunehmend digitalisierten Welt, in der Cyberangriffe komplexer und häufiger werden, steht auch der Finanzsektor “unter Beschuss”. Hier gibt es viele kritische Infrastrukturen, die es zu schützen gilt. Denn die Stabilität unserer Wirtschaft hängt maßgeblich von der Widerstandsfähigkeit der digitalen IT-Systeme von Banken, Versicherungen und anderen Finanzdienstleistern ab.

Um die Resilienz zu erhöhen, wurde eine europäische Verordnung ins Leben gerufen: der Digital Operational Resilience Act (DORA), auch bekannt als Regulation (EU) 2022/2554. DORA ist nicht nur eine weitere Compliance-Hürde, sondern ein notwendiger Schutzschild. Es soll sicherstellen, dass der europäische Finanzsektor in der Lage ist, massiven Cyberbedrohungen standzuhalten und sich schnell von Vorfällen zu erholen.

DORA wurde am 14. Dezember 2022 verabschiedet und trat am 17. Januar 2025 in Kraft. Die Verordnung gilt für eine Vielzahl von Unternehmen und Organisationen des Finanzsektors. Dazu gehören unter anderem Kreditinstitute, Zahlungsdienstleister, Wertpapierfirmen, Anbieter von Krypto-Diensten, Handelsplätze, Transaktionsregister sowie Versicherungs- und Rückversicherungsunternehmen. Der Digital Operational Resilience Act greift in vielen Fällen auch bei IKT-Dienstleistern, die für diese Finanzunternehmen tätig sind, ebenso für Leasing- und Factoring-Unternehmen (beispielsweise im Medizinbereich).

DORA und IT-Security: Was ist zu tun?

Für IT-Verantwortliche in den betroffenen Unternehmen ergeben sich aus DORA eine Reihe zentraler Anforderungen, die sie umsetzen und kontinuierlich überwachen müssen.

Erweitertes IT-Risikomanagement

Es ist ein umfassendes Rahmenwerk zu implementiert, das die kontinuierliche Identifizierung, Bewertung, Überwachung und Minderung von IT-Risiken sicherstellt. Dazu gehört auch die Entwicklung von Richtlinien zur Erhöhung der Systemresilienz gegenüber einer Vielzahl von Cybergefahren.

Verbesserung der Widerstandsfähigkeit

Unternehmen müssen Maßnahmen ergreifen, um ihre IT-Systeme robuster gegen Cyberangriffe zu gestalten. Dies beinhaltet die Reduzierung der Angriffsfläche durch Deaktivierung unnötiger Dienste, die Implementierung strenger Zugriffskontrollen, professionelles Patch-Management und die Verschlüsselung sensibler Daten.

Testen der digitalen Betriebsresilienz

Die Robustheit der IT-Systeme und Prozesse muss regelmäßig überprüft werden, beispielsweise durch Anomalieerkennung und Penetrationstests. Die Ergebnisse dieser Tests sind zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen zu nutzen.

Berichterstattung und Transparenz

Bedeutende Cybersecurity-Vorfälle müssen unverzüglich gemeldet werden, sowohl intern als auch gegenüber den Aufsichtsbehörden, um eine schnelle Reaktion zu ermöglichen. Effiziente Kommunikations- und Berichtsmechanismen sind hierfür notwendig.

Management von Drittanbieter-Risiken

Da viele Finanzunternehmen auf externe IT-Dienstleister angewiesen sind, müssen die Verträge mit diesen Anbietern angemessene Sicherheitsanforderungen enthalten. Zugriffs-, Inspektions- und Audit-Rechte sind erforderlich, um die Einhaltung dieser Anforderungen überprüfen zu können.

Förderung der Cybersicherheit

DORA soll das interne Wissen und das Bewusstsein für Cybersicherheit stärken. Schulungen und Informationskampagnen sind entscheidend, um Mitarbeiter für Sicherheitsrisiken zu sensibilisieren und die Einhaltung von Richtlinien sicherzustellen.

Systemhärtung ist fest in DORA verankert

DORA fordert, wie erwähnt, zahlreiche präventive Maßnahmen zur Minderung von IT-Risiken! Innerhalb dieses Rahmens nimmt die Systemhärtung, auch System Hardening oder Secure Configuration genannt, eine zentrale und explizit genannte Rolle ein.

In den Anforderungen der Regulierung werden „Secure Configuration Baselines“ auf Basis Industrie-erprobter Standards zur Reduzierung potenzieller Angriffsvektoren genannt. Wichtig: Es wird nicht nur die einmalige Anwendung gefordert, sondern auch die regelmäßige Überprüfung der effektiven Anwendung dieser Vorgaben! Das bedeutet, es muss sichergestellt werden, dass die Härtungsmaßnahmen tatsächlich dokumentiert und implementiert sind sowie auf führenden Standards basieren.

Auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) betont in ihren DORA-Umsetzungshinweisen deutlich die Bedeutung der regelmäßigen Kontrolle von Härtungsmaßnahmen. Was ebenso auffällt: Der Detaillierungsgrad dieser Anforderungen ist deutlich höher als bisher in den Banken- (BAIT) oder versicherungsaufsichtsrechtlichen Anforderungen an die IT (VAIT).

Die Herausforderungen bei einer DORA-konformen Härtung

Klar ist: Eine professionelle Systemhärtung reduziert die Angriffsfläche, indem man unsichere oder unnötige Dienste und Funktionen deaktiviert – beispielsweise bei Betriebssystemen und Applikationen. Sie ist zudem essentiell für die Umsetzung robuster Zugriffskontrollen, damit nur autorisierte Personen Zugang zu kritischen Systemen erhalten.

Doch die Umsetzung der sicheren Konfigurationen fällt komplex und extrem zeitaufwändig aus. Insbesondere dann, wenn Administratoren versuchen, über Gruppenrichtlinien oder selbst entwickelte Skripte eigene, auf ihre Systeme zugeschnittene Härtungen zu realisieren. Dieses Vorgehen erfordert viel Fachwissen und ebenso viel Zeit. Vor allem letztere ist in den meisten IT-Abteilungen nicht vorhanden.

Darüber hinaus verlangt DORA, dass die Konfigurationen sowie deren Änderungen überwacht werden. Daher sind regelmäßige Audits und Nachweise erforderlich. Auch diese Prozesse erfordern viel Know-how und Zeit, wenn sie manuell durchgeführt werden. Daher ist es empfehlenswert, das systemweite Hardening, die Anpassungen, das Monitoring sowie das Reporting zu automatisieren. Dies ist mit speziellen Hardening-Tools möglich.

Fazit

Der Digital Operational Resilience Act mag wie eine weitere bürokratische Hürde erscheinen. Doch er hat einen notwendigen und extrem wichtigen Hintergrund: Die digitale Widerstandsfähigkeit des Finanzsektors muss nachhaltig gestärkt werden! Obwohl die Umsetzung zusätzlichen Aufwand bedeutet, ist die professionelle und kontinuierliche Systemhärtung eine grundlegende präventive Maßnahme. Eine, die maßgeblich dazu beiträgt, Cyberangriffe zu verhindern, die Widerstandsfähigkeit zu erhöhen und die zentralen DORA-Vorgaben zu erfüllen.

Über den Autor:

Florian Bröder ist Gründer und Geschäftsführer der FB Pro GmbH. Die FB Pro bietet Lösungen für die automatisierte Systemhärtung an. Selbst entwickelte Tools wie der Enforce Administrator sorgen dafür, dass große und komplexe IT-Landschaften dauerhaft sicher konfiguriert und damit „gehärtet“ werden.

---

Weitere Beiträge von FB Pro GmbH

Mythen vs. Praxis: Die größten Irrtümer über Systemhärtung

---

Bild/Quelle: https://depositphotos.com/de/home.html