Den Kontostand checken, Überweisungen tätigen, Daueraufträge einrichten: Im digitalen Zeitalter findet Banking größtenteils online statt. Sofern die Systeme laufen. Denn was passiert, wenn die Dienste nicht zur Verfügung stehen, mussten die fast 18 Millionen Kunden der Volks- und Raiffeisenbanken erfahren: Mitte 2021 hatte ein Sabotageangriff auf den IT-Dienstleister der Bankengemeinschaft die mehr als 800 genossenschaftlichen Geldhäuser schwer getroffen und vielfach das Online-Banking lahmgelegt.
Attacken wie diese sind längst keine Seltenheit mehr. Mit durchschnittlich 1.131 Cyber-Angriffen musste sich die Finanzbranche im vergangenen Jahr auseinandersetzen – jede Woche. Das haben die Cyber-Security-Experten von Check Point herausgefunden. Im Vergleich zu 2021 ist diese Zahl um 52 Prozent gestiegen. Auch vor großen Instituten machen die Kriminellen nicht Halt: Mehr als zwei Drittel von ihnen waren mindesteins einmal betroffen. Verhinderte Attacken und Dunkelziffer nicht eingerechnet.
Mehr Digitalisierung, größeres Risiko
Je digitaler die Finanzwelt wird, desto anfälliger ist sie auch für Attacken aus dem Internet. Das wissen Unternehmen, Aufsichtsbehörden und Gesetzgeber. Aber obwohl die wachsende Bedrohungslage bekannt ist, gab es auf europäischer Ebene für Finanzunternehmen und für deren Dienstleister bisher über die Sektoren hinweg noch keine einheitlichen Vorgaben für die Cybersicherheit ihrer Systeme. Diese Lücke hat die Europäische Union (EU) erkannt und unlängst ein Stück weiter geschlossen.
Die Lösung trägt den Namen: „Digital Operational Resilience Act“ – kurz Dora. Die Verordnung gilt seit Januar 2023 und vereinheitlicht oder ergänzt bisherige Standards. So schafft sie einen detaillierten, umfassenden und weitgehend einheitlichen Aufsichtsrahmen. Ziel ist es, die Finanzwirtschaft EU-weit resilienter gegen größere IT-Störungen zu machen, die etwa durch Cyberangriffe oder unzureichend umgesetzte interne Sicherheitsstandards ausgelöst werden können. Dafür setzt sie nicht nur auf monetäre Maßnahmen wie die angemessene Bereitstellung finanzieller Mittel für die operationelle Sicherheit, sondern auch auf konkrete Handlungsanweisungen, beispielsweise beim Risikomanagement oder der Meldung von Vorfällen.
Die gute Nachricht: Ein Teil der Dora-Anforderungen ist aus der bestehenden Regulierung wie etwa den EBA-Guidelines beziehungsweise den BAIT bereits bekannt. Durch die neue Verordnung werden diese Regeln konkretisiert und um neue Aspekte ergänzt. So umfasst Dora nicht nur alle regulierten Finanzunternehmen, sondern auch kritische IKT-Drittdienstleister wie zum Beispiel Cloud-Anbieter. Und auch innerhalb der Finanzbranche bezieht die Verordnung mehr Unternehmen ein als etwa die EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken oder jene zu Auslagerungen. Demnach sind neben Kreditinstituten, Versicherungen oder Wertpapierfirmen jetzt auch Kryptodienstleister oder Ratingagenturen betroffen.
Mehr Arbeit durch Dora, aber auch viele Chancen
Für die Unternehmen bedeutet das auf der einen Seite mehr Arbeit, schließlich müssen sie die neuen Vorgaben durch Dora umsetzen. Auf der anderen Seite bieten sich ihnen aber auch Chancen: Mehr Cybersicherheit, Synergieeffekte zwischen den Abteilungen innerhalb des Unternehmens, die künftig stärker zusammenarbeiten und ein eindeutiger EU-weiter Rechtsrahmen sind nur drei Beispiele. Das lohnt sich: Denn ein Schaden verursacht am Ende häufig höhere Kosten als die Investitionen in Sicherheitsmaßnahmen.
Zudem müssen durch Dora einzelne Abteilungen im Unternehmen in Sachen Cyber-Abwehr enger zusammenarbeiten. Das mindert Doppelstrukturen und setzt Synergieeffekte frei. Um die Zusammenarbeit in den Disziplinen zu stärken, die sich um den Cyber-Schutz kümmern, gilt es jetzt, Silos abzubauen und einheitliche Ziele und Abläufe zu etablieren, die das Institut resilienter machen. Zusätzlich können sich Unternehmen darauf verlassen, dass EU-weit und über Sektoren hinweg Regeln weiter harmonisiert werden. Ein Vorteil insbesondere für Marktteilnehmer, die international tätig sind.
Statt sich von den Aufwendungen abschrecken zu lassen, sollten Unternehmen eher die Vorteile in den Blick nehmen – und Dora als Chance nutzen. Doch wie gelingt das?
Zunächst geht es darum, sich eine gute Ausgangsposition zu verschaffen. Viele Aspekte der Dora sind bereits durch etablierte Standards bekannt. Daher hat bei der Umsetzung der neuen Verordnung weniger Mühe, wer bereits aufsichtsrechtliche Anforderungen erfüllt und internationale Marktstandards und Normen wie die der ISO-27xxx-Familie befolgt.
Darüber hinaus ist wichtig, sich frühzeitig mit den Dora-Vorgaben auseinanderzusetzen, etwaige Anpassungen an bestehende Verfahren und Methodiken zu analysieren und einen Plan für die Umsetzung zu erstellen. Dafür braucht es ein übergreifendes Verständnis für das Risikomanagement bei Finanzunternehmen – von den verschiedenen Risiken aus der Providersteuerung über die Cyberbedrohung bis zu jeweiligen Schutzmaßnahmen.
Die größten Veränderungen bei der Anpassung an die neue Verordnung werden die Unternehmen schließlich in vier Bereichen vorfinden: dem IKT-Risikomanagement, der digitalen operationellen Widerstandsfähigkeit, der Berichterstattung über Vorfälle und dem Management des Drittdienstleisterrisikos.
Cybersicherheit wird zum Thema der Vorstände
Das Risikomanagement wird künftig ein größeres Projekt für die Führungsebene, weil die Geschäftsleitung noch stärker bei der Cyberabwehr und der Herstellung der betrieblichen Widerstandsfähigkeit in die Verantwortung genommen werden soll. Aber es gibt durchaus Unterstützung: So können etwa belastbare IKT-Systeme und -Tools helfen, Risiken zu minimieren, deren Quellen kontinuierlich und komplett zu identifizieren, Schutz- und Präventionsmaßnahmen zu etablieren und ungewöhnliche Aktivitäten aufzuspüren. Außerdem unterstützen sie dabei, Richtlinien und Vorgaben für die Geschäftsfortführung stärker mit etablierten Schnittstellenfunktion wie beispielsweise der Informationssicherheit zusammenzuführen.
Bei der digitalen operationellen Widerstandsfähigkeit geht es darum zu prüfen, ob die Integrität dieser Systeme gewahrt ist und diese auch einwandfrei funktionieren. Dafür schreibt die Verordnung neben nun konkret definierten allgemeinen Testanforderungen sogenannte bedrohungsbasierte Penetrationstests vor. Also Tests, die eine spezifische Bedrohungslage der Institute berücksichtigen, einen gezielten Cyber-Angriff simulieren und deren Abwehr so immer wieder auf die Probe stellen. Diese Tests müssen jeweils alle oder zumindest mehrere kritische Funktionen eines Finanzunternehmens beinhalten. Entsprechend müssen all diese Funktionen samt dazugehöriger Systeme und Technologien im Vorfeld ermittelt werden – inklusive jener Dienste von Drittanbietern.
Allerdings ermöglicht Dora die Umsetzung der Anforderungen an diese Tests in einem angemessenen Verhältnis, je nach Größe sowie Geschäfts- und Risikoprofil der Unternehmen. Die Simulationen reichen von Schwachstellenscans der IKT-Systeme für kleinere Häuser bis zu komplexeren Versuchen auf der Grundlage von Threat-Led Penetration Testing (TLPT) für Institute, die nach bestimmten Kriterien ausgewählt werden. Dazu gehören etwa das spezifische IKT-Risikoprofil oder, bei etwaigen Bedenken, auch die Finanzstabilität.
Im Bereich der Berichterstattung müssen Finanzunternehmen Prozesse aufsetzen, die IKT-Vorfälle erkennen, behandeln, überwachen und protokollieren. Dabei unterscheidet sich das Vorgehen je nach Tragweite des Angriffs. So sind besonders schwerwiegende Attacken in einer seitens der Regulatoren noch zu präzisierenden Vorlage aufzubereiten und an die zuständigen Behörden zu melden. Damit diese Meldungen konform erfolgen, ist eine Klassifizierung nach festgelegten Kriterien notwendig.
Sicherheit bei Drittanbietern
In Sachen IKT-Drittdienstleister soll Dora ein solides Management der damit einhergehenden Risiken sowie eine solide Überwachung sicherstellen. So definiert die Verordnung etwa prinzipienbasierte Regeln und vereinheitlicht Schlüsselelemente von Services und Beziehungen zu IKT-Drittdienstleistern. Dazu gehören Mindestaspekte für eine vollständige Überwachung des IKT-Drittparteienrisikos – entlang des gesamten Lebenszyklus der Auslagerung sowie sonstiger Dienstleisterservices. Dora setzt hier auf eine eigenständige oder integrierte Strategie für das IKT-Drittparteienrisiko inklusive Leitlinie sowie auf erweiterte Mindestinhalte für Vertragsdokumente. Außerdem gelten erweiterte Anforderungen an das Register zur vollständigen Dokumentation der IKT-Drittdienstleister, an die Bewertung des Risikos inklusive der Sub-Dienstleister sowie an etwaige Exit-Strategien für IKT-Dienstleistungen, die kritische oder wichtigen Funktionen unterstützen.
Es braucht also sowohl eine überarbeitete Strategie als auch angepasste Definitionen, Vorgaben und Prozesse. Hier wartet auf die Finanzunternehmen nun jede Menge Arbeit. Damit sie aber auch das Potenzial der neuen Verordnung voll ausschöpfen und Dora als Chance nutzen können, gilt es, bei den Anpassungen in der Organisation wesentliche Erfolgsfaktoren zu beachten.
Dora: Weniger Zeit zur Umsetzung, mehr Gefahr aus dem Netz
Einer davon ist das Thema Vernetzung. Da es sich bei Dora um ein übergreifendes Projekt handelt, ist ein gutes Zusammenspiel zwischen der ersten und zweiten Cyber-Abwehrreihe wichtig. Das betrifft unter anderem die IT, das Risiko- und Notfallmanagement, die Informationssicherheit, den Bereich Auslagerung mit Blick auf Drittdienstleister sowie häufig auch die Rechtsabteilung. Gleichwohl müssen IKT-Risiken in das Gesamtrisikomanagementsystem des Instituts integriert werden. Dabei hilft es, eine nachvollziehbare, einheitliche und an die Risikoverteilung im Institut angepasste Risikomethodik etabliert zu haben. Dadurch werden die Zuordnung, Steuerung und Verantwortung etwa für Informations- und Auslagerungsrisiken eindeutig definiert.
Im Fokus der neuen Verordnung steht insbesondere der Bereich der Drittdienstleister. Wer seine Dienstleisterverträge rechtssicher und inklusive aller Dora-Mindestanforderungen anpassen möchte, braucht nicht nur Transparenz über die ausgelagerten Services und deren Kritikalitätseinstufung und technisches Verständnis für die ausgelagerte Dienstleistung an sich, sondern auch Erfahrung mit bereits bestehender Regulatorik und ein gewisses juristisches Know-how. Außerdem sollten Institute damit rechnen, dass sich insbesondere mittelständische IKT-Dienstleister nicht umgehend mit Dora-Anforderungen sowie den daraus für sie resultierenden Vorgaben befassen werden. Finanzunternehmen sind deshalb gut beraten, rechtzeitig auf ihre Partner zuzugehen.
Zeit ist ein gutes Stichwort. Die Dora hat als EU-Verordnung unmittelbar Gesetzescharakter und ist zudem sehr ausgereift. Deshalb sollten sich die Unternehmen mit der Umsetzung nicht mehr allzu viel Zeit lassen oder gar auf die technischen Regulierungs- und Implementierungsstandards (RTS/ITS) warten. Etwaige Gaps können ermittelt und die Umsetzung geplant und gestartet werden. Im Umsetzungsplan können betroffenen Aktivitäten zeitlich so eingeplant werden, dass die Detaillierungen aus diesen RTS/ITS bekannt sind. Am 17. Januar 2023 ist die Verordnung in Kraft getreten. 24 Monate bleiben für die Umsetzung. Die Uhr tickt. Und die Gefahr aus dem Netz wird kaum kleiner.
Über die Autorin:
Vaike Metzger ist Partnerin bei KPMG im Bereich Financial Services. Die Diplom-Wirtschaftsmathematikerin berät Versicherungen, Banken und Asset Manager zu Themenstellungen im Bereich IT Compliance und Cyber Security.