Mit zunehmender Digitalisierung im Finanzsektor steigt die Gefahr für Cyberangriffe. Das beschäftigt auch die Europäische Kommission, die mit dem Digital Operational Resilience Act (DORA) ein klares Zeichen setzt. Das Signal an Unternehmen: Cybersicherheit jetzt priorisieren.

Finanzunternehmen haben in den letzten Jahren viel in die Digitalisierung ihrer Services investiert, die wachsenden Gefahren für Angriffe aber selten ausreichend mitgedacht. Beratungsgespräche online führen, Konten digital eröffnen und Sofort-Überweisungen problemlos über die mobile App ausführen – schon lange Alltag für Bankkunden, aber eben auch immer häufiger Ziel von Cyberkriminellen.

Das gilt auch für interne Prozesse, die sich durch den Einsatz von Lösungen wie automatisierter Anlagenberatung, Robotic Process Automation (RPA) oder KI-basierter Risikobewertung stark verändert haben. Diese erleichtern nicht nur Mitarbeitenden den Alltag, sondern machen den Sektor – als Schnittstelle für sensible Daten ohnehin schon ein beliebtes Ziel – für Kriminelle noch attraktiver. 

Um die regulative Landkarte auf europäischer Ebene zu harmonisieren, treibt die Europäische Kommission DORA voran. Die Verordnung soll Unternehmen dazu bringen, die Resilienz ihrer IT-Systeme zu stärken. Eine der Hauptpflichten: Bis zum 17. Januar 2025 müssen sie ein effektives und umfassendes Management ihrer Cybersicherheits- und IKT-Risiken umsetzen.

Seit dem 16. Januar 2023 tickt für die rund 22.000 betroffenen Finanzunternehmen in Europa die Uhr, um die Sicherheitsmaßnahmen entsprechend bis zum 17. Januar 2025 umzusetzen. Versicherer, Banken und Krypto-Anbieter sind ebenso wie IKT-Drittdienstleister oder Versicherungsvermittler dazu verpflichtet, aktiv mögliche Sicherheitslücken aufzudecken und zu schließen. Das Ziel: Keinen Raum für Vorfälle wie DDoS-Angriffe, Datenlecks oder Insider-Bedrohungen lassen. Dazu hat der Gesetzgeber fünf Kernthemen definiert, wobei ein besonderer Fokus auf dem IKT-Risikomanagement und der Risikoanalyse von IKT-Drittanbietern liegt.

Für ein erfolgreiches und umfassendes IKT-Risikomanagement müssen die Verantwortlichen innerhalb des eigenen Unternehmens die kritischen Funktionen und Prozesse identifizieren und anschließend die relevanten IKT-Systeme und -Werkzeuge definieren. Ebenso wichtig: alle potenziellen IKT-Gefahrenquellen durchgehend zu überwachen, um im zweiten Schritt Schutz- und Präventionsmaßnahmen zu implementieren. Im Ernstfall muss es schließlich schnell gehen.

Um keine wertvolle Zeit zu verlieren, sollten Unternehmen auf eindeutige Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungspläne setzen – inklusive regelmäßiger Tests. Ist die Gefahr überstanden, heißt es, aus Vorfällen zu lernen und die vorhandenen Schutzmaßnahmen weiterzuentwickeln.

Die Zusammenarbeit mit Drittparteien ist in diesem Zusammenhang ein oft unterschätztes Risiko. Um Einflüsse von außen einzudämmen, gilt es zu analysieren, welche Risiken mit dem Einsatz von IKT-Drittanbietern verbunden sind.

Um das IT-Konzentrationsrisiko oder die Risiken, die sich aus Sub-Outsourcing-Aktivitäten ableiten, zu verhindern und den Überblick zu behalten, sollten Unternehmen ein Verzeichnis anlegen. In diesem sind alle von Dritten bezogenen IKT-Leistungen inklusive gruppeninterner Dienstleistungen aufzulisten und Änderungen zu melden. Um die Verantwortlichkeiten zu klären, müssen Firmen zudem sicherstellen, dass in den Verträgen mit IKT-Drittanbietern Details zur Überwachung und Erreichbarkeit vermerkt sind. Auch hierbei handelt es sich um eine Variante, mögliche Sicherheitslücken frühzeitig zu erkennen und zu schließen.

Um die verbleibende Zeit bis zum vollständigen Inkrafttreten von DORA effektiv zu nutzen, sollten Unternehmen konkrete nächste Schritte planen und sich nicht darauf ausruhen, dass einige wenige Standards noch ausstehen.

Konkret: Von Juni bis September 2023 sowie November 2023 bis Januar 2024 tauschen sich die zuständigen Akteur:innen zu den Regulierungs- und Implementierungsstandards (RTS/ITS) öffentlich aus. Danach stehen noch zwei Konkretisierungsphasen an, bevor DORA ab dem 17. Januar 2025 gültig ist. Von da an werden die nationalen wie internationalen Behörden überwachen, dass die Vorgaben eingehalten werden.

Weil die bereits veröffentlichten Anforderungen für die meisten Betroffenen schon jetzt genügend Handlungsbedarf mit sich bringen, ist es dennoch höchste Zeit, den eigenen Status quo zu prüfen. Innerhalb von zwei bis drei Monaten gilt es, den Projektumfang zu definieren, relevante Stakeholder einzubeziehen sowie Interviews und Workshops durchzuführen – und daraus wiederum weitere Aktionen abzuleiten.

Konkrete Maßnahmen implementieren, kritische Kernfunktionen priorisieren, den Resilienz-Reifegrad erhöhen: Für tiefgreifende Cybersicherheit braucht es wirksame Maßnahmen. Dazu zählen eine starke Netzwerkarchitektur und ein transparentes Third-Party-Management ebenso wie regelmäßig durchgeführte, bedrohungsorientierte Penetrationstests. Ab 2025 gilt es, die bis dahin umgesetzten und etablierten Lösungen regelmäßig zu prüfen, strategisch zu optimieren und Prozesse weiter zu automatisieren.

Bei all den regulatorischen Pflichten sowie organisatorischen und technischen Herausforderungen sollten Unternehmen eines nicht aus den Augen verlieren: Es geht um ihre eigene Sicherheit. Diese sollte es immer wert sein, Zeit und Ressourcen zu investieren. Der Digital Operational Resilience Act ist also vielmehr der überfällige Impuls für einen langfristigen Wandel im Finanzsektor.

Die europaweit einheitlichen Vorgaben bieten die einmalige Chance, für Cybersicherheit und operative Widerstandsfähigkeit eine übergreifende Basis zu schaffen. Diese erleichtert nicht nur den Austausch untereinander, sondern motiviert im Idealfall dazu, in die eigene Absicherung zu investieren und sich so proaktiv gegen mögliche Ausfälle zu schützen.

Die Beziehungen und Abhängigkeiten zu Dienstleistern sowie interne Prozesse zu prüfen ist ohnehin sinnvoll. Denn im Alltagsgeschäft bleiben Lücken in IT-Systemen häufig unentdeckt. Firmen, die sich aktiv mit den eigenen Strukturen und IKT-Drittanbietern auseinandersetzen, profitieren also mehrfach: Nicht nur, weil sie sich die Zusammenarbeit erleichtern und die Unternehmensbasis stärken.

Ein ganzheitlicher Überblick über Verantwortlichkeiten und individuelle Stärken hilft dabei, bei Gefahr schnell zu handeln und so größere Schäden abzuwehren. DORA ist nur der Anfang der Resilienzreise.