Cyber-Sicherheit in Finanzunternehmen Herkulesaufgabe Dora – wen die Verordnung trifft und was zu tun ist

Skulptur „Säulen des Herkules“ in der spanischen Enklave Ceuta: Die Dora-Verordnung fordert Finanzdienstleister heraus.

Skulptur „Säulen des Herkules“ in der spanischen Enklave Ceuta: Die Dora-Verordnung fordert Finanzdienstleister heraus.

Es ist eine unangenehme Vorstellung: Das E-Mail-Postfach ist nicht mehr zu erreichen, wichtige Digitalfunktionen fallen aus, die eigene Internetseite bricht zusammen. Die Daten sind auf einmal verschlüsselt – oder geklaut. Wenn die IT gestört ist oder Hacker sich digital in ein Unternehmen eingeschlichen haben, ist das eine bedrohliche Situation. Diverse Berichte über Cyber-Attacken zeigen, dass das Thema dringlich ist. Auch Finanzunternehmen sind von Systemausfällen und digitalen Angriffen bedroht. Da sie mit Geld hantieren, haben sie in den Volkswirtschaften eine Schlüsselfunktion. Das macht sie aus Sicht potenzieller Angreifer zu einem besonders interessanten Ziel.

2025 wird die europäische Verordnung Dora wirksam. Sie soll dafür sorgen, dass Finanzunternehmen sensibler mit IT-Risiken umgehen. Dazu gehört im ersten Schritt, dass sie sich überhaupt erst einmal dieser Risiken bewusst werden.

Dora steht für Digital Operational Resilience Act und ist bereits am 17. Januar 2023 in Kraft getreten. Die Verordnung ist in allen EU-Ländern unmittelbar gültig. Ab Inkrafttreten hatten Finanzunternehmen zwei Jahre Zeit, um alle Regeln umzusetzen. Mehr als die Hälfte davon ist jetzt verstrichen. Bei vielen Unternehmen läuft die Umsetzung bereits auf Hochtouren. Bei anderen wird erst nach und nach klar, welch umfassende Anforderungen Dora an sie stellt. Insgesamt fallen in Deutschland rund 3.600 Unternehmen direkt unter die Dora-Regulierung, schätzt die Bafin. Europaweit sollen es rund 20.000 sein.

Dora fokussiert sich auf Banken, Versicherungen, Zahlungsdienstleister, Fondsgesellschaften, Vermögensverwalter, Verwahrstellen – Finanzunternehmen, die innerhalb der Europäischen Union beaufsichtigt sind. Für Deutschland heißt das, grob gesagt: Unternehmen, die eine Bafin-Lizenz besitzen. Haftungsdächer etwa sind erfasst – die gebundenen Vermittler nicht. Dora erfasst auch Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, allerdings mit einer großzügigen Ausnahme: Sie gilt nur für Betriebe mit mehr als 250 Mitarbeitern und mehr als 50 Millionen Euro Jahresumsatz oder einer Jahresbilanzsumme von mehr als 43 Millionen Euro. Vermittler nach Paragraf 34c, f, h, und i Gewerbeordnung sind in der Verordnung nicht aufgeführt.

Die Verordnung fußt auf fünf Themen (Grafik unten): Es geht um das Managen von IKT-Risiken (IKT = Informations- und Kommunikationstechnologie), Störungsmeldungen, Stresstests, den Umgang mit IKT-Drittdienstleistern – externen IT-Anbietern – und Informationsaustausch bei Cyber-Bedrohungen.

„Für viele Finanzunternehmen steht die IT nicht so im Fokus. Da möchte Dora den Finger in die Wunde legen“, sagt Lucas Schmidt. Der IT-Spezialist ist Chef von IT4Funds, Dienstleistungstochter der Luxemburger Service-KVG Axxion. In dieser Position befasst sich Schmidt schon seit einigen Monaten mit Dora. Mittlerweile fühlt er sich darin so firm, dass er seit Anfang März wöchentlich einen Blog-Beitrag nur über Dora-Themen schreibt und diesen Takt bis zum Dora-Start im kommenden Januar durchhalten will. „Der Content wird uns nicht ausgehen“, ist sich Schmidt sicher.

Wenn man sich nur ein wenig in das Thema vertieft, wird klar, dass Dora in der Tat für die erfassten Unternehmen eine Art Herkulesaufgabe ist.

Fünf Kernthemen

Die kommende Verordnung will Finanzunternehmen verpflichten, sich einen Überblick über die eigenen Strukturen zu verschaffen: Welche Geschäftsprozesse sind IT-gestützt? Ob es dabei um die grundlegende Infrastruktur, eine Software-Anwendung oder das Buchhaltungssystem in der Cloud geht: Was passiert, wenn etwas ausfällt, Daten weg sind oder ein Cyber-Angriff stattfindet? Welche Geschäftsprozesse genau kann das betreffen? Und wie lässt sich das Unternehmen widerstandsfähiger machen? In dem Zusammenhang soll auch nach „kritischen und wichtigen“ Funktionen gefiltert werden, das heißt nach solchen Funktionen, deren Ausfall die Geschäftstätigkeit, die finanzielle Leistungsfähigkeit oder die regulatorisch konforme Arbeit eines Unternehmens erheblich beeinträchtigen kann.

Kommt es zu einem IKT-Vorfall, müssen Unternehmen zunächst dessen Schwere bewerten. Ab einem gewissen Grad muss die Bafin informiert werden, und das gründlich: Erstmeldung, Zwischenmeldung, Abschlussbericht. Die Bafin meldet den Vorfall weiter an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die zuständige europäische Behörde, entweder Eba, Esma oder Eiopa. Bei schwerwiegenden Vorfällen, die den gesamten Markt betreffen, können die Behörden öffentliche Warnungen aussprechen. Erkennt ein Unternehmen eine erhebliche Bedrohung, kann es diese auch aus eigenem Antrieb an die Aufsicht melden.

Ein anderes Kernthema von Dora sind Tests. „Die Unternehmen müssen ein Testprogramm einrichten. Sie können das intern machen oder einen externen Dienstleister beauftragen“, erläutert Peggy Steffen. Als Risikomanagerin kümmert sie sich beim Fondsverband BVI federführend um Dora. „Die Tests sollen mindestens einmal jährlich erfolgen, um zu ermitteln, wie sicher Unternehmen vor digitalen Störfällen sind.“

Einige Finanzunternehmen, die die Aufsicht auswählt, müssen zudem sogenannte Penetrationstests, beauftragte Hacker-Angriffe, über sich ergehen lassen. Im Ergebnis sollen alle Unternehmen Pläne für IT-Back-ups und das Wiederherstellen von Daten festlegen.