Thought Leadership
Ab Januar 2025 gilt in der EU eine neue Verordnung, um die digitale Widerstandsfähigkeit von Finanzinstituten zu schützen. Der Digital Operational Resilience Act, kurz DORA, verlangt von Unternehmen aus dem Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen.
Sie müssen dafür sorgen, dass ihr Betrieb auch bei einem IT-Vorfall weiterläuft und die wichtigsten Systeme schnellstmöglich wieder instandgesetzt werden. Bei Nichteinhaltung drohen hohe Strafen. Es ist daher wichtig, dass Unternehmen und ihre Drittanbieter Störungen geschwind und effektiv identifizieren, managen und aus ihnen lernen. Ein gut funktionierendes Incident Management wird hierfür zur Grundvoraussetzung.
Finanzdienstleister sollten daher heute damit beginnen, mithilfe von Plänen die Weichen zu stellen, um kritische Strukturen nach einem Störfall rasch wiederherstellen zu können. Birol Yildiz, Gründer und Geschäftsführer von ilert, rät, das eigene Incident Management mithilfe von drei strategischen Hacks auf den neuesten Stand zu bringen und sich so auf das Inkrafttreten von DORA vorzubereiten.
1. Ein Plan für den Ernstfall
Eine der wichtigsten Anforderungen der neuen DORA-Verordnung ist die Klassifizierung von Vorfällen nach Schweregrad, Auswirkung und Dauer. Um einzuschätzen, ob eine Störung als signifikant, bedeutsam oder geringfügig einzustufen ist und entsprechend reagieren zu können, bedarf es einer vorausschauenden Planung und passender Lösung. Für die Analyse und Bewertung von Störfällen hilft es, im Voraus bereits Incident-Response-Pläne zu erstellen. Diese sollten den gesamten Incident-Lifecycle, abdecken und dabei jede Phase eines Zwischenfalls berücksichtigen: von der Identifikation des Problems über die Eindämmung der Auswirkungen und die Beseitigung der Ursache bis hin zur vollständigen Reparatur der betroffenen Infrastrukturen. Denn besonders drastische Ereignisse unterliegen strengen Meldepflichten und müssen unverzüglich an die zuständigen Behörden berichtet werden.
Die Klassifizierung stellt sicher, dass im Falle eines Vorfalls die vorhandenen Ressourcen effizient eingesetzt und zuerst die wichtigsten Systeme schnell wieder zum Laufen gebracht werden, um größere und langfristige Schäden zu vermeiden. So lassen sich beispielsweise kritische Datenbanken oder Kundensysteme schneller schützen und können bei der Lösung des Problems bevorzugt behandelt werden. Darüber hinaus helfen Incident-Response-Pläne auch bei der Dokumentation von Zwischenfällen. Das bedeutet, dass alle Schritte und Maßnahmen schriftlich festgehalten sind. Da sich Bedrohungsszenarien und Ereignismuster ständig ändern, gilt es, die Konzepte außerdem regelmäßig zu überprüfen und zu aktualisieren. Ein Incident-Management-Tool kann dabei helfen, diese Prozesse effizient und nachvollziehbar für alle zu gestalten.
2. Offene Kommunikation in der Krise
Um die Anforderungen von DORA erfolgreich umzusetzen, ist im zweiten Schritt ein klarer Informationsaustausch von großer Bedeutung. Aus dem Grund sollten innerhalb des Unternehmens eindeutige Abläufe definiert werden, damit im Notfall jeder Mitarbeitende genau weiß, was zu tun und jede Abteilung informiert ist. Nur wenn alle Beteiligten wissen, wer welche Aufgaben übernimmt, sie ihre Rollen in einer Krisensituation kennen und entsprechend handeln, geht keine wertvolle Zeit verloren.
Außerhalb der eigenen Organisation ist es ebenso relevant, dass es gut organisierte Meldeprozesse gibt. Schließlich müssen Unternehmen Informationen schnell und präzise an die zuständigen Stellen und externe Partner, wie z. B. Dienstleister, weitergeben. Darüber hinaus ist auch Transparenz in der Zusammenarbeit entscheidend. Es geht darum, mit allen mitwirkenden Akteuren – ob Mitarbeitenden, Kund:innen, Partnerunternehmen oder Behörden – offen und klar zu kommunizieren, damit alle auf dem gleichen Stand sind. Nur so lassen sich Probleme im Ernstfall bei allen Beteiligten zügig lösen.
3. Simulieren statt spekulieren
Da Störfälle im besten Fall nicht an der Tagesordnung sind, lohnt es sich, regelmäßig Testläufe und Simulationen durchzuführen. Denn so wird sichergestellt, dass die Incident-Response-Pläne noch immer greifen. Sollten Lücken oder Probleme in der Strategie auftauchen, können diese frühzeitig erkannt und behoben werden – bevor der Ernstfall eintritt.
Bei einem Simulationslauf wird ein Incident in einer kontrollierten Umgebung nachgestellt. Diese Tests lassen sich sowohl für IT-Systeme als auch für Prozesse durchführen. Dabei kann das zuständige Team die Reaktionen und Notfallpläne in Echtzeit üben. Die Netzwerke stehen währenddessen unter ständiger Überwachung, um sicherzustellen, dass sie wie geplant in Stand gesetzt werden können. Ziel der Übungen und Pläne ist es, Ausfallzeiten auf ein Minimum zu reduzieren und eine schnelle Reaktivierung des Betriebs zu gewährleisten.
Dieser Aspekt ist auch für die neuen Bestimmungen relevant, denn mit DORA sind Finanzinstitute dazu verpflichtet, Kontinuitäts- und Wiederherstellungspläne zu entwickeln. Denn es muss garantiert sein, dass kritische Anlagen nach einer Störung schnell wieder zum Laufen gebracht werden können. Diese Vorgehensweisen sind regelmäßig zu untersuchen und anhand der neuesten Erkenntnisse aus realen Vorfällen oder Überprüfungen anzupassen, um den gesetzlichen Anforderungen zu entsprechen.
Mit DORA wird das Incident-Management unverzichtbar
Damit Finanzdienstleistungsunternehmen also nicht an der zukünftigen Regulierung scheitern oder mit hohen Strafzahlungen konfrontiert werden, lohnt sich ein gut strukturiertes Incident-Management, das den gesamten Incident-Lifecycle abdeckt. Nur so werden Störungen systematisch bewertet, die schnelle Kommunikation und Fehlerbehebung im Team gewährleistet und alle Schritte lückenlos dokumentiert. Mit entsprechenden Tools, die alle Prozesse aus einer Hand abdecken, können zudem Wiederherstellungspläne fortlaufend getestet und an aktuelle Bedrohungsszenarien angepasst werden, um die Geschäftskontinuität stets zu gewährleisten. Auf diese Weise wird der Reaktionsprozess optimiert und die Kommunikation und Zusammenarbeit mit Behörden und externen Partnern gefördert. Der Erfüllung der neuen DORA-Bestimmungen steht dann nichts mehr im Weg und Finanzdienstleister können sich darauf verlassen, dass sie für den Ernstfall gewappnet sind.
