Das Finanzwesen hat für die Compliance mit Dora noch einiges zu tun, das gilt auch für deutsche Institute. So hat der jüngste EZB-Stresstest gezeigt, dass Banken zwar über viele Reaktions- und Wiederherstellungsmechanismen verfügen, aber dennoch Verbesserungsbedarf besteht.
Vor allem die Herausforderungen in Sachen Cyberresilienz steigen, weil Finanzinstitute verstärkt IT-Funktionen an Drittunternehmen und in die Cloud auslagern. Das vergrößert die Angriffsfläche für Cyberkriminelle. Gleichzeitig steigt die Komplexität des IT-Managements durch immer mehr externe Dienste und Cloud-Lösungen, so dass der Überblick über die Sicherheitsmaßnahmen verloren gehen kann. Hinzu kommt die zunehmende Dynamik der Bedrohungen, insbesondere durch automatisierte und auf künstlicher Intelligenz basierenden Angriffen.
Unternehmen kommen mit dieser hohen Dynamik aufgrund von Fachkräftemangel, starren Prozessen, komplexen Freigabeschleifen oder mangelndem Know-how häufig nicht mehr zurecht. So zeigt etwa der Cisco Cybersecurity Readiness Index 2024, dass nur zwei Prozent der Unternehmen in Deutschland bestmöglich vor Cyberangriffen geschützt sind. Und die Schäden sind enorm: So verursachte jeder zweite erfolgreiche Angriff Kosten in Höhe von mehr als 300.000 US-Dollar.
Lücken erkennen reicht nicht
Der IT-Bereich, der durch Drittanbieter wie Cloud- und Service-Provider bewältigt wird, ist explizit von Dora betroffen. Daher müssen Banken sowohl aus Eigeninteresse als auch aufgrund regulatorischer Anforderungen ihre Schutz- und Monitoringmaßnahmen verbessern. Derzeit lassen viele Finanzinstitute von Beratungsunternehmen Lückenanalysen durchführen, die den Handlungsbedarf identifizieren. Dabei sollten die Institute zusätzlich eng mit IT-Unternehmen zusammenarbeiten. Denn nur so sind sie in der Lage, anhand von Lückenanalysen den Handlungsbedarf zu identifizieren und die Lücken in ihren IT-Systemen anschließend effizient zu schließen.
Das bedeutet: Neben einer Prüfung der Compliance braucht es vor allem technische Expertise darüber, welche Security-Strategien und -Maßnahmen möglich und sinnvoll sind. Letztendlich ist die Erfüllung der Dora-Anforderungen vor allem eine technische Aufgabe. Denn viele Banken besitzen eine tradierte und dadurch für Angriffe anfällige IT-Infrastruktur. Die oft heterogenen IT-Umgebungen stellen den Finanzsektor vor große Herausforderungen in den Bereichen umfassendes Monitoring, Erkennen und Abwehr von Angriffen sowie Beheben von Ausfällen.
Drei Schritte zur Compliance
Dora schafft die Grundlage für einen Wandel hin zu einem risikobasierten Ansatz. Diesen sollten Unternehmen in drei Schritten umsetzen:
- Risiken verstehen: Finanzinstitute benötigen einen detaillierten Einblick in die Kommunikation und das Verhalten von IT-Prozessen. Darunter fallen IT-Aufgaben, die im Hintergrund laufen, wie die Übertragung von Daten, Videokonferenzen oder das Prüfen und Zuweisen von Zugriffsrechten auf Datenbanken und Informationen. Dabei müssen sie alle angreifbaren Datenpakete identifizieren. So erfahren sie, für welche Schwachstellen sie anfällig sind und wie hoch das damit verbundene Risiko ist. Im Mittelpunkt steht hier die Kommunikation der Finanzanwendungen mit Nicht-Produktionsumgebungen und externen Lösungen.
- Risiken vermeiden und reduzieren: Die ermittelten Risiken lassen sich über proaktive und kompensierende Kontrollen reduzieren. Zu den proaktiven Kontrollen gehört etwa Mikrosegmentierung. Dabei werden für alle Anwendungen klare Richtlinien definiert, mit welchen Lösungen, Apps und Softwareelementen sie kommunizieren dürfen. Auch die Kommunikation der anderen IT-Prozesse mit risikobehafteten Umgebungen lässt sich einschränken oder verhindern. Kompensierende Kontrollen werden aktiv, wenn ein Verdacht oder echter IT-Security-Vorfall vorhanden ist. Wird eine Schwachstelle bekannt, für die es noch keinen Weg zum Verschließen (Patch) gibt, wird beispielsweise der IT-Prozess und seine Verbindungen zu anderen Programmen und Datenbanken unter Quarantäne gestellt. Durch ein KI-basiertes Störungsmanagement oder automatisierte Securitylösungen können Finanzinstitute nicht nur die Einhaltung der Dora-Vorschriften gewährleisten, sondern auch ihre Widerstandsfähigkeit und Effizienz erheblich verbessern.
- Risiken melden: Gemäß Dora sind größere Vorfälle an die zuständigen Behörden zu melden. Hierzu empfiehlt sich eine automatisierte Berichterstattung, die von Echtzeit-Visualisierungen mit Hilfe eines Dashboards bis hin zu detaillierten zeitlichen Rückblicken auf Vorfälle reicht.
Proaktiver Schutz vor Cyber-Angriffen
Die Cyberbedrohungslage ist hoch: Der „Cisco Talos: Year in Review Report 2023“ zeigt eine alarmierende Zunahmen von Angriffen auf die Netzwerkinfrastuktur und einen Anstieg des verdächtigen Netzwerkverkehrs, der mit wichtigen geopolitischen Ereignissen korreliert. Gleichzeitig bleiben Ransomware-Angriffe eine konstante Bedrohung und machen 20 Prozent aller Vorfälle aus, bei denen Talos aktiv in die Problemlösung eingebunden wurde.
Um der steigenden Bedrohung durch Cyber-Angriffe entgegenzuwirken und die Cyberresilienz von einem reaktiven auf einen risikozentrierten Ansatz umzustellen, sollten Finanzinstitute auf geeigente Partner, Tools und Prozesse setzen. Sie benötigen einen detaillierten Einblick in die Kommunikation, Abhängigkeiten und Schwachstellen der Anwendungen. In Verbindung mit einer robusten Mikrosegmentierung und kompensierenden Kontrollen lassen sich Risiken nicht nur verstehen, sondern auch wirksam reduzieren – und damit Compliance-Verstöße vermeiden.