Um den Finanzmarkt gegen Cyberrisiken und Vorfälle in der Informations- und Kommunikationstechnologie zu schützen, hat die Europäische Union die Verordnung DORA auf den Weg gebracht. Finanzunternehmen müssen ein vollständiges Bild aller Risiken zeichnen und sollen so ihr Sicherheitsniveau steigern sowie ihre Resilienz stärken.
Die Schwierigkeit: Auch über ausgelagerte IT-Dienstleistungen müssen Finanzdienstleister Rechenschaft ablegen. Finanzunternehmen stehen daher und Druck – auch zeitlich, denn die Umsetzungsfrist läuft bereits Anfang 2025 aus. Eine Integrationsplattform kann Unternehmen maßgeblich bei der Umsetzung der Anforderungen unterstützen und bietet darüber hinaus weitere Vorteile für die Zusammenarbeit und Kommunikation mit ihren Dienstleistern.
Mit der Verordnung DORA (Digital Operational Resilience Act) übt die Europäische Union hohen Druck auf die Finanzbranche aus: Die Anforderungen der Verordnung, die Anfang 2023 in Kraft getreten ist, sind hoch und – im Vergleich zu anderen Richtlinien – äußerst konkret und detailliert. Auch zeitlich stellen sich mit DORA hohe Herausforderungen an Finanzunternehmen, denn die Europäische Union gewährt gerade mal eine zweijährige Umsetzungsfrist.
Der Handlungsbedarf in der Branche ist daher hoch, ebenso aber auch der Nutzen, der mit der Verordnung einhergeht. Denn DORA verfolgt das Ziel, die digitale Betriebsstabilität des Finanzsektors EU-weit zu vereinheitlichen und so einen einheitlichen Rahmen für ein kohärentes Management von Risiken bezüglich der Cybersicherheit und der Informations- und Kommunikationstechnologie (IKT) zu schaffen. „Bislang gab es nur nationale Regelungen und Überwachungskonzepte“, fügt René Vierkorn, Marketing & Sales Director bei der Lomnido GmbH, hinzu. Das Unternehmen ist spezialisiert auf Softwareprodukte für effektive digitale Kommunikation im Service Management. „Da die Branche aber europaweit verflochten ist und die Gefährdungslage im Cyberraum stetig zunimmt, sind einheitliche Vorschriften mehr als sinnvoll“, so Vierkorn weiter. Mit DORA sollen Finanzunternehmen also gegenüber Angriffen und Störungen resilienter werden, ihr Betrieb soll auch im Fall einer schwerwiegenden Unterbrechung gewährleistet und die Sicherheit des Netzes und der Informationsdienste beibehalten werden.
IKT-Prozesse entlang der gesamten Lieferkette dokumentieren
Betroffen sind von DORA sämtliche Finanzunternehmen sowie IKT-Drittanbieter, wobei Finanzunternehmen für deren Einhaltung der DORA-Verpflichtungen verantwortlich sind. „Genau hier liegt eine der großen Herausforderungen in der Umsetzung der Vorgaben, weil Finanzunternehmen eben nicht nur ihre internen IKT-Prozesse transparent abbilden müssen, sondern die über die gesamte Lieferkette hinweg, also auch die ihrer Dienstleister“, präzisiert Roland Csombai, Business Development & Strategic Accounts bei Lomnido. „Der IKT-Risikomanagementrahmen, den DORA fordert, muss daher alle IKT-Protokolle und -Tools umfassen, um alle IKT-Assets ‚ordnungsgemäß und angemessen‘ zu schützen, wie es in der Verordnung heißt.“ Dies setzt allerdings voraus, dass die Konfiguration dieser IKT-Assets innerhalb der Systemlandschaft stets auf ihrem aktuellen Stand bekannt ist – einschließlich derer an externen Standorten sowie deren Verbindungen und Abhängigkeiten.
Finanzunternehmen müssen demnach ein Gesamtbild ihrer eigenen Systemlandschaft und Prozesse zeichnen und dokumentieren sowie der ihrer IKT-Dienstleister, um die Vernetzung von Diensten für wichtige und kritische Funktionen darzustellen. Insbesondere die Bereiche Change-Management und Incident-Management sind hier zu berücksichtigen, da sie zu den kritischen Prozessen zählen und das IKT-Risiko maßgeblich beeinflussen.
Die Praxis zeigt jedoch, dass oftmals ein Mangel an Transparenz und Verbindlichkeit vorherrscht: Daten und Informationen fehlen, die Steuerbarkeit von Dienstleistern ist mangelhaft. Denn: „Änderungen in Soft- und Hardware, Firmware-Komponenten, Systemen und Sicherheitsparametern werden in der Regel nicht umfassend erfasst und bewertet. Potenzielle Risiken in der Lieferkette sind so nur schwer oder gar nicht erkennbar, selbst Sicherheitsvorfälle werden nur spät und unvollständig bemerkt“, erläutert Csombai. Dies ist auch der Kommunikation und Zusammenarbeit von Unternehmen und ihrer Dienstleister geschuldet, weil sie nicht einheitlich geregelt und gerade angesichts der Vielzahl an Akteuren äußerst heterogen ist. Finanzunternehmen haben eigene Tools und Prozesse, ebenso ihre verschiedenen IKT-Dienstleister. Die Kommunikation erfolgt dadurch oftmals schleppend, nicht-linear und intransparent.
Integrationsplattform als verbindendes, dokumentierendes Element
An dieser Stelle kommt eine Integrationsplattform – wie der SIAM-Broker von Lomnido – als Lösung ins Spiel: Sie steht zwischen dem Finanzunternehmen und all ihren Dienstleistern und fungiert sozusagen als Universalübersetzer. Der Kern des SIAM-Brokers zum Beispiel ist so gebaut, dass er sämtliche Berührungspunkte zwischen jeweils zwei Prozessen analysiert und die Informationen, die an diesen Punkten ausgetauscht werden, in ein normiertes Format umwandelt. In diesem Format können die Informationen dann so weitergegeben werden, dass sie auf der jeweils anderen Seite in der hiesigen System- und Prozesslandschaft verarbeitet werden kann. Jedes Unternehmen behält somit die eigenen, etablierten Tools und Prozesse bei, die Lösung steht als Middleware und als verbindendes Element dazwischen.
Gleichzeitig dokumentiert die Plattform die gesamte Kommunikation; dadurch entstehen Verbindlichkeit, Nachvollziehbarkeit und Transparenz. Zudem stellt beispielsweise der SIAM-Broker technologiediagnostisch sicher, dass alle beteiligten Tools des IT-Service-Management (ITSM) und des Enterprise-Service- Management (ESM) friktionsfrei und konsistent zusammenarbeiten. Auch äußerst unterschiedliche Versionen des Incident-Management-Prozesses harmonisiert die Plattform, sodass verschiedene Prozesse und Tools mehrerer Parteien nahtlos miteinander verbunden werden und so ein konsolidierter Prozess gelebt werden kann.
Eine Integrationsplattform verbessert auf diese Weise die Kommunikation zwischen Finanzunternehmen und ihren IKT-Dienstleistern und ermöglicht es Finanzunternehmen, die Services ihrer Dienstleister zu überwachen und gegebenenfalls korrigierend einzugreifen. Zudem unterstützt sie dank der umfassenden und transparenten Echtzeit-Protokollierung auch die Einhaltung der DORA-Verordnung. Denn die externen Parteien werden in das IKT-Management eingebunden, die gesamte Lieferkette wird transparent abgebildet und alle Veränderungen und Vorfälle in der Systemlandschaft werden in Echtzeit dokumentiert. So entsteht ein vollständiges und integriertes Risikobild über die gesamte Wertschöpfungskette hinweg, die IKT-Systemlandschaft wird kohärent und integriert überwacht. Finanzunternehmen wirken IKT-bezogenen Vorfällen so entgegen und können auf konkrete Sicherheitsvorfälle unmittelbar und effektiv reagieren. Auch Pflichtmeldungen an die Aufsichtsbehörden können umfassend und zeitgerecht erfolgen. Somit ist eine Integrationsplattform ein wertvoller Baustein für die Umsetzung der DORA-Verordnung.
Fazit
Die Europäische Union hat die DORA-Verordnung eingeführt, um die Cyberresilienz des Finanzmarkts zu stärken und einheitliche Standards für das IKT-Risikomanagement zu schaffen. Diese Verordnung fordert von Finanzunternehmen eine umfassende Transparenz und Kontrolle ihrer eigenen sowie ihrer ausgelagerten IT-Prozesse. Die Herausforderung liegt in der kurzen Umsetzungsfrist bis Anfang 2025 und der Notwendigkeit, die gesamte IKT-Lieferkette zu dokumentieren. Eine Integrationsplattform, wie der SIAM-Broker, kann hierbei maßgeblich unterstützen, indem sie die Kommunikation und Zusammenarbeit zwischen Finanzunternehmen und ihren IKT-Dienstleistern verbessert, die Einhaltung der DORA-Verordnung erleichtert und eine kohärente Überwachung der IKT-Systemlandschaft ermöglicht. Dadurch können Unternehmen IKT-bezogene Risiken besser managen und schneller auf Sicherheitsvorfälle reagieren.