Cybersicherheit wird zum Thema der Vorstände
Das Risikomanagement wird künftig ein größeres Projekt für die Führungsebene, weil die Geschäftsleitung noch stärker bei der Cyberabwehr und der Herstellung der betrieblichen Widerstandsfähigkeit in die Verantwortung genommen werden soll. Aber es gibt durchaus Unterstützung: So können etwa belastbare IKT-Systeme und -Tools helfen, Risiken zu minimieren, deren Quellen kontinuierlich und komplett zu identifizieren, Schutz- und Präventionsmaßnahmen zu etablieren und ungewöhnliche Aktivitäten aufzuspüren. Außerdem unterstützen sie dabei, Richtlinien und Vorgaben für die Geschäftsfortführung stärker mit etablierten Schnittstellenfunktion wie beispielsweise der Informationssicherheit zusammenzuführen.
Bei der digitalen operationellen Widerstandsfähigkeit geht es darum zu prüfen, ob die Integrität dieser Systeme gewahrt ist und diese auch einwandfrei funktionieren. Dafür schreibt die Verordnung neben nun konkret definierten allgemeinen Testanforderungen sogenannte bedrohungsbasierte Penetrationstests vor. Also Tests, die eine spezifische Bedrohungslage der Institute berücksichtigen, einen gezielten Cyber-Angriff simulieren und deren Abwehr so immer wieder auf die Probe stellen. Diese Tests müssen jeweils alle oder zumindest mehrere kritische Funktionen eines Finanzunternehmens beinhalten. Entsprechend müssen all diese Funktionen samt dazugehöriger Systeme und Technologien im Vorfeld ermittelt werden – inklusive jener Dienste von Drittanbietern.
Allerdings ermöglicht Dora die Umsetzung der Anforderungen an diese Tests in einem angemessenen Verhältnis, je nach Größe sowie Geschäfts- und Risikoprofil der Unternehmen. Die Simulationen reichen von Schwachstellenscans der IKT-Systeme für kleinere Häuser bis zu komplexeren Versuchen auf der Grundlage von Threat-Led Penetration Testing (TLPT) für Institute, die nach bestimmten Kriterien ausgewählt werden. Dazu gehören etwa das spezifische IKT-Risikoprofil oder, bei etwaigen Bedenken, auch die Finanzstabilität.
Im Bereich der Berichterstattung müssen Finanzunternehmen Prozesse aufsetzen, die IKT-Vorfälle erkennen, behandeln, überwachen und protokollieren. Dabei unterscheidet sich das Vorgehen je nach Tragweite des Angriffs. So sind besonders schwerwiegende Attacken in einer seitens der Regulatoren noch zu präzisierenden Vorlage aufzubereiten und an die zuständigen Behörden zu melden. Damit diese Meldungen konform erfolgen, ist eine Klassifizierung nach festgelegten Kriterien notwendig.
Sicherheit bei Drittanbietern
In Sachen IKT-Drittdienstleister soll Dora ein solides Management der damit einhergehenden Risiken sowie eine solide Überwachung sicherstellen. So definiert die Verordnung etwa prinzipienbasierte Regeln und vereinheitlicht Schlüsselelemente von Services und Beziehungen zu IKT-Drittdienstleistern. Dazu gehören Mindestaspekte für eine vollständige Überwachung des IKT-Drittparteienrisikos – entlang des gesamten Lebenszyklus der Auslagerung sowie sonstiger Dienstleisterservices. Dora setzt hier auf eine eigenständige oder integrierte Strategie für das IKT-Drittparteienrisiko inklusive Leitlinie sowie auf erweiterte Mindestinhalte für Vertragsdokumente. Außerdem gelten erweiterte Anforderungen an das Register zur vollständigen Dokumentation der IKT-Drittdienstleister, an die Bewertung des Risikos inklusive der Sub-Dienstleister sowie an etwaige Exit-Strategien für IKT-Dienstleistungen, die kritische oder wichtigen Funktionen unterstützen.
Es braucht also sowohl eine überarbeitete Strategie als auch angepasste Definitionen, Vorgaben und Prozesse. Hier wartet auf die Finanzunternehmen nun jede Menge Arbeit. Damit sie aber auch das Potenzial der neuen Verordnung voll ausschöpfen und Dora als Chance nutzen können, gilt es, bei den Anpassungen in der Organisation wesentliche Erfolgsfaktoren zu beachten.
Dora: Weniger Zeit zur Umsetzung, mehr Gefahr aus dem Netz
Einer davon ist das Thema Vernetzung. Da es sich bei Dora um ein übergreifendes Projekt handelt, ist ein gutes Zusammenspiel zwischen der ersten und zweiten Cyber-Abwehrreihe wichtig. Das betrifft unter anderem die IT, das Risiko- und Notfallmanagement, die Informationssicherheit, den Bereich Auslagerung mit Blick auf Drittdienstleister sowie häufig auch die Rechtsabteilung. Gleichwohl müssen IKT-Risiken in das Gesamtrisikomanagementsystem des Instituts integriert werden. Dabei hilft es, eine nachvollziehbare, einheitliche und an die Risikoverteilung im Institut angepasste Risikomethodik etabliert zu haben. Dadurch werden die Zuordnung, Steuerung und Verantwortung etwa für Informations- und Auslagerungsrisiken eindeutig definiert.
Im Fokus der neuen Verordnung steht insbesondere der Bereich der Drittdienstleister. Wer seine Dienstleisterverträge rechtssicher und inklusive aller Dora-Mindestanforderungen anpassen möchte, braucht nicht nur Transparenz über die ausgelagerten Services und deren Kritikalitätseinstufung und technisches Verständnis für die ausgelagerte Dienstleistung an sich, sondern auch Erfahrung mit bereits bestehender Regulatorik und ein gewisses juristisches Know-how. Außerdem sollten Institute damit rechnen, dass sich insbesondere mittelständische IKT-Dienstleister nicht umgehend mit Dora-Anforderungen sowie den daraus für sie resultierenden Vorgaben befassen werden. Finanzunternehmen sind deshalb gut beraten, rechtzeitig auf ihre Partner zuzugehen.
Zeit ist ein gutes Stichwort. Die Dora hat als EU-Verordnung unmittelbar Gesetzescharakter und ist zudem sehr ausgereift. Deshalb sollten sich die Unternehmen mit der Umsetzung nicht mehr allzu viel Zeit lassen oder gar auf die technischen Regulierungs- und Implementierungsstandards (RTS/ITS) warten. Etwaige Gaps können ermittelt und die Umsetzung geplant und gestartet werden. Im Umsetzungsplan können betroffenen Aktivitäten zeitlich so eingeplant werden, dass die Detaillierungen aus diesen RTS/ITS bekannt sind. Am 17. Januar 2023 ist die Verordnung in Kraft getreten. 24 Monate bleiben für die Umsetzung. Die Uhr tickt. Und die Gefahr aus dem Netz wird kaum kleiner.
Über die Autorin:
Vaike Metzger ist Partnerin bei KPMG im Bereich Financial Services. Die Diplom-Wirtschaftsmathematikerin berät Versicherungen, Banken und Asset Manager zu Themenstellungen im Bereich IT Compliance und Cyber Security.