Mit dem Digital Operational Resilience Act (DORA) soll eine neue Ära der Cyberabwehr im Finanzsektor eingeläutet werden.
IT-Störungen und Cybergefahren sind längst auch für die Finanzindustrie zur Dauerbaustelle geworden – schließlich lockt bei der Vielzahl von Konten, Finanztransaktionen und persönlichen Daten eine attraktive Beute für Cyberkriminelle. Auch die zunehmende Vernetzung und Abhängigkeit des Finanzsektors von digitalen Lösungen macht ihn zur Zielscheibe für verschiedene Cybertaktiken. Laut Statista war der Finanzsektor 2023 eine der am stärksten betroffenen Branchen.
Die Europäische Kommission, der Rat der EU und das Europäische Parlament haben daher DORA verabschiedet, um die Resilienz der Branche gegen die sich stetig zuspitzende Bedrohungslage zu erhöhen. Die Zeit für die Umsetzung drängt, denn die Frist läuft am 17. Januar 2025 ab und die Anforderungen gelten unmittelbar in allen EU-Mitgliedstaaten. Für den Bankensektor ist der Umgang mit strengen regulatorischen Vorgaben kein Neuland – was DORA jedoch von anderen Vorgaben unterscheidet, ist die Vielzahl der betroffenen Unternehmen. Das Projekt beschränkt sich nicht allein auf klassische Kreditinstitute, sondern zielt auch auf den gesamten Bereich der Finanzdienstleister. Gemäß DORA sind Finanzinstitute zudem zur Überwachung und Verwaltung des Drittanbieterrisikos verpflichtet. Das bedeutet wiederum, dass auch Selbstständige und Organisationen, die Dienstleistungen für Finanzinstitute anbieten, die DORA-Vorgaben erfüllen müssen. Schätzungen gehen davon aus, dass mehr als 20.000 Unternehmen in der EU die Anforderungen umsetzen müssen.
DORA erfordert eine Vielzahl von Maßnahmen – auch die Anforderungen an Security Awareness steigen
Grundsätzlich werden die Sicherheitsanforderungen an Unternehmen deutlich feinmaschiger und strenger. Die DORA-Verordnung lässt sich in fünf Kategorien unterteilen, die jeweils einen spezifischen Aspekt des Cyber-Sicherheitssystems von Organisationen betreffen: IKT-Risikomanagement; Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle; Tests der digitalen operationalen Resilienz; Management des IKT-Drittparteienrisikos; und der Austausch von Informationen und Erkenntnissen.
Spannend ist dabei vor allem die Neustrukturierung der Berichterstattung. In Deutschland fällt der BaFin im Kampf gegen Kriminelle eine zentrale Rolle zu. Mit DORA wird der Kreis der meldepflichtigen Unternehmen erweitert, und die Meldepflichten bei IT-Vorfällen werden vereinheitlicht und bei der BaFin gebündelt. Dies ermöglicht der BaFin, schneller zu reagieren und Angriffe effektiver abzuwehren. Sie erhalten detaillierte Übersichten über die Vorfälle und das Vorgehen der Hacker, um auch kurzfristig warnen zu können und sich einen Vorteil im täglichen Katz-und-Maus-Spiel mit den Cyberkriminellen zu verschaffen.
Auch Security Awareness Training ist ein wichtiger Teil der neuen DORA-Regulierung. Die Regulierung besagt, dass für alle Mitarbeitenden wie auch die Geschäftsleitung für ihren jeweiligen Aufgabenbereich relevantes Cyber-Sicherheitstraining obligatorisch ist. Diese Programme und Schulungen sollen Mitarbeitende für IKT-Risiken und ihren Einfluss auf den Geschäftsbetrieb von Finanzunternehmen sensibilisieren.
Anforderungen erfüllt. Sind Unternehmen nun geschützt?
Was für viele Unternehmen eine Herausforderung darstellt, ist jedoch unerlässlich, um die Wirtschaft vor Cyber-Bedrohungen zu schützen und Bewegung in die Informationssicherheit zu bringen. Insbesondere in Bezug auf den Faktor Mensch, der in den letzten Jahren gegenüber der technischen Cyber-Abwehr oft in den Hintergrund gedrängt wurde, hat sich viel getan: Das Bewusstsein für die Komplexität und Gefahrenlage rund um Cyberkriminalität ist in vielen Unternehmen in den letzten Jahren gestiegen. Auch das Top-Management und die Vorstände haben mittlerweile verstanden, dass Cybersicherheit das größte Geschäftsrisiko unserer Zeit ist und Security-Teams entsprechende Ressourcen benötigen, um handeln zu können.
Aber auch Cyberkriminelle haben sich in dieser Zeit weiterentwickelt. Mittlerweile haben wir es mit einer hochprofessionalisierten Industrie zu tun, die ein enormes Innovationstempo an den Tag legt. Regulierungen und die damit verbundenen Anforderungen sind unverzichtbar – das Abhaken dieser Compliance-Boxen allein reicht jedoch nicht aus. Um Sicherheitsrisiken nachhaltig zu minimieren, müssen Unternehmen einen Schritt weiter gehen – insbesondere in Hinblick auf den menschlichen Aspekt der Cybersicherheit.
Menschliche Sicherheitsrisiken nachhaltig minimieren durch automatisiertes, sicheres Verhalten
Forrester prognostiziert, dass 2024 an 90 Prozent aller Datenschutzverstößen der menschliche Faktor beteiligt sein wird. Traditionelle Awareness-Programme – wie sie auch in der DORA-Regulierung vorgesehen sind – konzentrieren sich in der Regel auf die Wissensvermittlung: Lernende werden theoretisch über potenzielle Bedrohungen und mögliche Reaktionen aufgeklärt. Um aber auf die sich ständig veränderten Cyberbedrohungen zu reagieren, brauchen Mitarbeitende Heuristiken, also eine Art “Bauchgefühl” für wechselnde Gefahren. Deshalb sollten Unternehmen ihre Awareness-Strategien zu einem ganzheitlichen Human Risk Management-Ansatz weiter entwickeln, der sich auf menschliches Verhalten und Verhaltensanpassungen fokussiert. Dabei werden beispielsweise auch die Hintergründe und Treiber menschlichen Verhaltens einbezogen werden und Mitarbeitende können sich Wissen auf mehreren Kanälen, kontinuierlich, und situativ aneignen und verinnerlichen.
Cybersecurity sollte somit Teil der eigenen Unternehmenskultur werden, um Menschen eine Umgebung zu bieten, die ihnen sicheres Verhalten – und damit den Schutz ihres Unternehmens vor digitalen Gefahren – leicht macht. Sicheres Verhalten wird automatisiert, Security-Teams werden langfristig entlastet und Sicherheitsrisiken nachhaltig minimiert.
DORA ist für viele Unternehmen eine Herausforderung – aber auch eine sinnvolle Unterstützung, Cybersicherheit immer mehr zur Business-Priorität zu machen. Denn in Zeiten steigender Risiken – sei es durch Kleinkriminelle oder auch staatliche Akteure – wird Cybersicherheit mehr denn je zu einem Wettbewerbsfaktor für Unternehmen.