Blog

DORA: Ein teurer Aufwand oder eine notwendige Anpassung?

5 mins - German

Ein Wort hat die Finanzwelt Europas seit dem Inkrafttreten am 17. Januar 2023 beschäftigt: DORA. Der Digital Operational Resilience Act oder kurz DORA ist eine neue EU Richtlinie, die Finanzunternehmen europaweit an Maßnahmen zur Verbesserung der Robustheit der Informations- und Kommunikationstechnischen Infrastruktur bindet. 

Entgegen weitläufiger Meinung geht es dabei weniger um konkrete Abwehrmassnahmen etwa gegen DDoS- oder Insiderangriffe, sondern mehr um generelle Vorschriften zur Handhabung von Themen wie Risiken oder Zwischenfälle und um die korrekte Definition und Implementierung von Mechanismen zur Erkennung von Anomalien (technische und sicherheitsbedingte) oder Erstellung von Backups. Es geht auch um Prozesse zum Testen der Implementierungen, zur Kommunikation von Problemen, zu Audits und zur Handhabung von Lieferanten von IKT-Diensten. 

Die Richtlinie arbeitet dabei nicht nur sicherheitsbedingte Themen ab, sondern eben auch technisch bedingte Resilienzthemen und administrative Themen wie Vertragsbindung mit Lieferanten. Ein Fokus liegt dabei zum Beispiel auch auf dem technischen und organisatorischen Schutz von Daten und deren korrekter Verfügbarkeit und Handhabung. Relevant werden für die meisten Unternehmen dabei die Kapitel zwei bis fünf sein, da die Richtlinie ansonsten auch Vorschriften für Behörden enthält.

Was ist neu?

Unternehmen, die bereits Zertifizierungen wie ISO27001, SOCII Type 2 hinter sich haben, oder ihre Infrastruktur nach relevanten Aspekten der NIST SP 800-Serie aufgebaut haben (z.B.: 61 R2, 53 R5, 171 R3… etc.), wird viel bekannt vorkommen. Das ist kein Zufall, schließlich bedient sich DORA aus gutem Grund vieler international angesehener und bewährter Methoden. 

Abgesehen von ein paar potenziellen Ausbesserungen in Verträgen und Ergänzungen einiger Policies und Prozesse sticht besonders Artikel 26 als vermutlich unangenehmste Neuerung heraus. Artikel 26 bespricht die Notwendigkeit von sogenannten “Thread Led Penetration Tests” (TLPT). Konkret sind dies größer angelegte Red Teaming Aktionen, die nicht nur die bestehende Infrastruktur des Finanzunternehmens alle drei Jahre auf Herz und Nieren testen soll, sondern ggf. auch Drittanbieter einbeziehen kann. Ob ein Unternehmen dies durchführen muss oder nicht, obliegt dem Ermessen der zuständigen Behörde, die nach Abwägung der wirkungsbezogenen Faktoren, der finanziellen Stabilität und des Risikoprofils eine entsprechende Entscheidung trifft. Kurz gesagt, Betroffen sind Unternehmen, bei denen ein Ausfall oder ein erfolgreicher Angriff schwerwiegende Folgen auf das Finanzwesen des jeweiligen Landes hätte. 

Ansonsten fällt auch auf, dass DORA ein gewisses Angleichen von Richtlinien europaweit darstellt, die in anderen Ländern bereits existieren. Dies fällt insbesondere im Bereich der Lieferantenaudits auf, die nun von administrativer Seite sehr konkretisiert werden. Finanzunternehmen sind nun angehalten, ihre IKT-Dienstleister zu überprüfen. Die Komplexität der Prüfung hängt dabei nun auch von der Kritikalität des jeweiligen Dienstleisters ab. Exakte Details der Audits obliegen den Prüfern, aber einige Abläufe werden in DORA festgelegt.

Worauf sollten Finanzunternehmen besonders achten?

Finanzunternehmen sollten sich gute Partner im Bereich Security heranholen. Allein aufgrund von Artikel 26 wird es unumgänglich sein, vertrauenswürdige und gut geschulte Experten an der Hand zu haben. Besonders für kleinere Unternehmen bedeutet dies einen großen organisatorischen Aufwand verbunden mit hohen Kosten. Da ohnehin einiges an sicherheitsbezogenen Infrastrukturthemen aufkommen wird, könnte es sich durchaus lohnen, ein Sicherheitsteam einzustellen oder ein vorhandenes aufzustocken. Man darf hierbei auch nicht außer Acht lassen, dass unter Umständen und mit Genehmigung nur jedes dritte TLPT durch einen externen Anbieter durchgeführt werden muss. Eine konstante interne Überwachung der Sicherheit, sowie die Möglichkeit Kosten zu sparen durch die Nutzung interner Ressourcen kann die dann folgenden externen Tests deutlich leichter und noch einmal kostengünstiger ausfallen lassen.

Es ist auch darauf zu achten, dass man von der entsprechenden Behörde explizit ausgewählt werden muss. Es empfiehlt sich daher, die entsprechenden Schritte erst einzuleiten, wenn diese Entscheidung gefallen ist.

Abgesehen vom Aufwand, der durch Artikel 26 für viele Finanzunternehmen entstehen könnte, ist der Umgang mit Risiken in Bezug auf Drittanbieter auch sehr relevant. IKT-Dienstleister, die bereits ISO27001 oder SOCII Type 2 zertifiziert sind, werden viele notwendige Häkchen bereits natürlich setzen können. Die neuen Richtlinien zu Audits erhöhen die Relevanz auf Seiten der potenziellen Drittanbieter gut vorbereitet zu sein. Zertifizierungen bilden daher einen guten und sehr konkreten Orientierungspunkt für Finanzunternehmen, die nach geeigneten Partnern oder Dienstleistern suchen. Auch sollten Dienstleister gewählt werden, die es gewohnt sind, sich überprüfen zu lassen und dafür bereits feste Prozesse haben. Das vereinfacht die Kommunikation mit den Dienstleistern und gestaltet den Prozess erheblich viel kosteneffizienter.

Auch die Unterlieferanten der Dienstleister sind laut DORA zu berücksichtigen. Die Verwendung von bekannten Größen der Industrie wie Amazon Web Services wird auch hier Prozesse vereinfachen, da verwendbares Material, wie Reports diverser Zertifikate bereits vorliegt und leicht abgefragt und mit den relevanten Paragraphen von DORA überdeckt werden kann.

Fazit

DORA ist eine neue Richtlinie basierend auf vielen bekannten Grundlagen. Gut vorbereitete Unternehmen werden mit wenig Aufwand die Vorbereitung für 2025 abschließen können. Die größte Änderung dabei ist die Einführung von TLPT - die jedoch nicht für alle notwendig werden wird und die Änderungen in Bezug auf Überprüfungen von IKT-Dienstleistern. Letzteres ist ernst zu nehmen und sollte zu Überlegungen führen, ob und inwiefern ein Dienstleister für ein Audit bereit ist. Zertifikate sind hierbei gute Indikatoren, die leicht einzuordnen sind. 

Alles in Allem ist DORA eine notwendige Anpassung mit ein paar schmerzhaften Kostenfaktoren. Diese werden jedoch mit guter Vorbereitung durchaus bewältigbar.

Image Credits:Image by herbinisaac from Pixabay

Holger Sontag is Chief Security Officer at Privé Technologies