Die DORA-Verordnung (Digital Operational Resilience Act) verlangt von Unternehmen in der Finanzbranche umfassende Standards für Geschäftskontinuität und Datensicherheit für ihre IT-Dienste und -Anwendungen einzuhalten.
Leider sind viele Unternehmen nicht darauf vorbereitet, diese vollständig einzuhalten, insbesondere wenn es um den Schutz von Daten in SaaS-Anwendungen geht. HYCU, Experte für Backup- und Data Protection as a Service, nimmt DORA unter die Lupe.
Die Sache mit der geteilten Verantwortung
DORA deckt ein breites Spektrum ab, von der Incident Response, also Reaktion auf Vorfälle, bis hin zur Abwehr von Bedrohungen. Was den Datenschutz und Datensicherung anbelangt, so sind viele Unternehmen nicht darauf vorbereitet, die Anforderungen an die Geschäftskontinuität und Ausfallsicherheit zu erfüllen. Tatsächlich sind sich viele Unternehmen nicht einmal bewusst, dass sie für die Einhaltung der Vorschriften und den Datenschutz ihrer SaaS-Anwendungen selbst verantwortlich sind.
Was die Verantwortung für den Schutz von Cloud- und SaaS-Daten betrifft, müssen die Verantwortlichen in Unternehmen das Modell der „Shared Responsibility“ verstehen und verinnerlichen. In einem herkömmlichen Rechenzentrumsmodell sind Unternehmen für die Sicherheit ihrer gesamten Betriebsumgebung verantwortlich, einschließlich Anwendungen, physischer Server, Benutzerkontrollen und sogar der Sicherheit des Gebäudes. Das Modell der geteilten Verantwortung hingegen ist ein Konzept, das festlegt, dass Cloud-Anbieter die Verantwortung mit ihren Kunden teilen, wenn es um die Sicherung von Workloads geht, die in ihren Clouds gehostet werden. Gemäß dem Modell der geteilten Verantwortung übertragen Cloud- und SaaS-Anbieter die Verantwortung für die Sicherung und Wiederherstellung der Daten im Allgemeinen dem Kunden. Das Konzept ist sinnvoll, da die Cloud-Anbieter nicht die volle Kontrolle über alles haben, was die Benutzer in ihren Clouds tun.
Vielfältige DORA-Anforderungen
Geschäftskontinuität, Datensicherung und Tests sind wichtige Anforderungen, die Unternehmen für DORA erfüllen müssen. Dies umfasst Backup-Anforderungen, die Reaktion auf Vorfälle und die Wiederherstellung sowie eine Nachvollziehbarkeit der Wiederherstellung samt Berichterstattung.
1. Backup
Die Backup-Anforderungen für DORA beginnen mit der Planung von täglichen Backups für jede Instanz und Anwendung in der Umgebung. Erforderlich ist insbesondere das Speichern von Backups außerhalb des Unternehmens in einem S3-kompatiblen Speicher, unabhängig von den primären SaaS-Anwendungen. Ebenso müssen Unternehmen sicherstellen, dass Sicherungskopien im Falle eines Ausfalls oder einer Cyberbedrohung zugänglich sind und eine Mindesthäufigkeit für die Backups pro Anwendung festlegen. Es gilt sicherzustellen, dass das Sicherungssystem außerhalb der primären SaaS-Anwendungen läuft und von diesen getrennt ist. Die Aktivierung der Unveränderbarkeit des Backup-Speicherziels im Falle eines Cybersicherheitsvorfalls ist eine weitere wichtige Anforderung. Der Standort des Backup-Speichers muss die Anforderungen des entsprechenden Landes erfüllen. Zum Schutz der Integrität und Vertraulichkeit von Backups ist zudem die Implementierung und Aufrechterhaltung von Multi-Faktor-Authentifizierung, Verschlüsselung und Netzwerksegmentierung entscheidend.
2. Reaktion auf Vorfälle und Wiederherstellung
Unternehmen müssen Recovery-SLAs festlegen, die der Bedeutung der jeweiligen Anwendung angemessen sind. Ebenso gilt es, Disaster-Recovery-Pläne, die Vorlagen für verschiedene Vorfallszenarien enthalten, zu entwickeln und regelmäßige zu aktualisieren. Ebenso müssen Unternehmen sicherstellen, dass diese Pläne umfassend und auf die geschäftlichen Bedürfnisse zugeschnitten sind. Die Durchführung regelmäßiger Schulungen und Simulationen ist erforderlich, um die Effektivität der Mitarbeiter bei einem kritischen Vorfall zu optimieren. Der Schwerpunkt liegt dabei auf klar definierten Rollen, Verantwortlichkeiten und Maßnahmen für ein effektives Störungsmanagement.
3. Nachvollziehbare Wiederherstellung mit Berichterstattung
Für die nachvollziehbare Wiederherstellung ist eine Berichterstattung erforderlich. Diese umfasst die Dokumentation und Aufzeichnung aller Prozesse, um die Einhaltung der DORA-Anforderungen nachzuweisen und sich für Audits und Inspektionen zu wappnen. Hier bietet sich der Einsatz von fortschrittlichen Tools für die kontinuierliche Überwachung und Echtzeit-Berichterstattung von Sicherungs- und Wiederherstellungsaktivitäten an, um die Entscheidungsfindung und die Möglichkeiten der Reaktion auf Vorfälle zu verbessern.
4. Risikobewertung
Zur Risikobewertung müssen Unternehmen einen Rahmen erstellen, um alle ICT-Services zu identifizieren und abzubilden (z. B. Atlassian Cloud, AWS, Salesforce etc.). Dazu können sie Audit-Templates nutzen oder erstellen, um jede IT-Technologie in Zusammenhang mit Sicherheit, Erkennung, Reaktion und Geschäftskontinuität zu bewerten. Für alle genutzten SaaS-Anwendungen müssen Unternehmen zudem Verantwortliche für den Datenschutz bestimmen. Hier empfiehlt sich der Einsatz von Tools für die kontinuierliche Überwachung der genutzten Technologien und die regelmäßige Dokumentation von Änderungen im Tech-Stack – über alle Abteilungen hinweg.
Unternehmen sollten jetzt handeln
Der Umfang und die Tiefe der von DORA-Bestimmungen erfordern ein frühzeitiges Handeln. Unternehmen, die jetzt mit den Vorbereitungen beginnen oder im Optimalfall diese bereits getroffen haben, sind besser aufgestellt, um die Kosten für die Compliance über einen längeren Zeitraum zu verteilen. Indem Unternehmen eine starke digitale Resilienz demonstrieren, können sie zudem einen Wettbewerbsvorteil erlangen. HYCU warnt abschließend: Hektik in letzter Minute und mögliche Strafen bei Nichteinhaltung der Vorschriften sind Szenarien, die es unbedingt zu vermeiden gilt.
(pd/HYCU)