DORA ist gekommen, um zu bleiben. Das heißt: Finanzunternehmen müssen nun strengere Cybersecurity-Vorgaben erfüllen. Eine Maßnahme darf auf keinen Fall vergessen werden: Systemhärtung!

Ein Gastbeitrag von unserem Partner: FB Pro GmbH

Was bringt DORA?

Der Digital Operational Resilience Act (DORA) ist eine recht neue EU-Verordnung und seit dem 17. Januar 2025 anwendbar. Das bedeutet, dass ab diesem Zeitpunkt die betroffenen Institutionen und Unternehmen die Vorgaben der “Regulation (EU) 2022/2554” umsetzen müssen. Betroffen davon sind unter anderem Kreditinstitute, Zahlungsdienstleister, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen sowie kritische IKT-Drittdienstleister.

Das Ziel: “Diese Verordnung trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie zu stärken”, erklärt die BaFin. Denn mit der zunehmenden Digitalisierung und Vernetzung im Finanzsektor steigt das Risiko von Cyberangriffen und IT-Ausfällen. Diese können nicht nur einzelne Institutionen, sondern die Stabilität des gesamten Finanzsystems gefährden.

Welche Maßnahmen sind erforderlich?

Der Digital Operational Resilience Act wurde eingeführt, um einen einheitlichen Rahmen für die digitale Widerstandskraft im Finanzsektor zu schaffen. Er soll die Prävention und Erkennung von Cyberattacken verbessern, ebenso die Reaktion bei Kompromittierungen. Daher haben alle von DORA betroffenen Organisationen angemessene technische und organisatorische Maßnahmen zu ergreifen.

Wenn Sie für die IT-Systeme eines Unternehmens verantwortlich sind, das die DORA-Vorgaben erfüllen muss, haben Sie unter anderem die folgenden Punkte umzusetzen, zu optimieren und ständig im Blick zu behalten:

Erweitertes IT-Risikomanagement

DORA verlangt, ein umfassendes Risikomanagement-Framework zu implementieren. Sie müssen damit sicherstellen, dass Bedrohungen und deren Folgen kontinuierlich identifiziert, bewertet, überwacht und gemindert werden. Zudem haben Sie Richtlinien und Verfahren zu entwickeln, welche die Resilienz Ihrer Systeme gegenüber einer Vielzahl von Cyberbedrohungen erhöht.

Verbesserung der Widerstandsfähigkeit

Bei der Umsetzung von DORA müssen Sie Maßnahmen ergreifen, die Ihre IT-Systemlandschaft robuster gegen Cyberangriffe machen. Dazu gehören unter anderem die Reduzierung von Angriffsflächen, die Einführung strenger Zugriffskontrollen und die Verschlüsselung sensibler Daten. Das heißt: Sorgen Sie dafür, dass Ihre Systeme besser geschützt sind – zum Beispiel durch Systemhärtung oder Secure Configuration.

Testen der digitalen Betriebsresilienz

Die europäische Cybersecurity-Verordnung für den Finanzsektor fordert, dass Sie die Robustheit Ihrer IT-Systeme regelmäßig belegen. Hierfür ist es erforderlich, Ihre Systeme und Prozesse durch eine Reihe von Tests zu überprüfen. Diese Tests sollen Schwachstellen aufdecken und die Effektivität Ihrer Reaktions- und Wiederherstellungspläne verifizieren.

Berichterstattung und Transparenz

DORA betont zudem die Bedeutung der Berichterstattung. Das heißt, Sie müssen in der Lage sein, bedeutende Cybersecurity-Vorfälle umgehend zu melden. Dies erfordert die Etablierung effizienter Kommunikationskanäle und Berichtsmechanismen innerhalb Ihrer Organisation und gegenüber den Aufsichtsbehörden.

Management von Drittanbieter-Risiken

Viele Unternehmen arbeiten eng mit IT-Dienstleistern zusammen, um die zahlreichen Herausforderungen bewältigen zu können. Diese Kooperation kann allerdings ein Risiko darstellen. Sie müssen deshalb sicherstellen, dass die Verträge mit Drittanbietern angemessene Sicherheitsanforderungen enthalten.

Wichtig: Prävention statt “nur” Reaktion!

DORA zielt darauf ab, die digitale Widerstandsfähigkeit Ihres Finanzunternehmens zu verbessern. Um dieses Ziel zu erreichen, sollten Sie nicht nur Mechanismen zur Erkennung und Abwehr von Angriffen einführen, sondern auch die Angriffsflächen Ihres Unternehmens deutlich minimieren. Das bedeutet: Agieren Sie vorausschauend und setzen Sie auf Prävention statt ausschließlich auf Reaktion!

Daher wird in DORA mehrfach die sichere Konfiguration (“secure configuration”) genannt, auch bekannt als Systemhärtung (engl. System Hardening). Hierbei schalten Sie zum Beispiel unsichere Dienste ab, entfernen unnötige Anwendungen und deaktivieren Funktionen, die leicht missbraucht werden können. Derart sorgen Sie dafür, dass viele Angriffe – zum Beispiel durch Mimikatz – gar keinen oder recht geringen Schäden anrichten können.

Schutzmechanismen einführen, kontrollieren und belegen

Die Zugriffskontrolle ist ein wesentlicher Bestandteil bei der Härtung von Systemen. DORA erwartet von Ihnen, dass Sie strenge Kontrollmechanismen implementieren, um sicherzustellen, dass nur autorisierte Personen den Zugang zu sensiblen Systemen und Daten haben.

Wichtig ist dabei, dass Sie (konfigurative) Veränderungen – ob gewollt oder nicht gewollt – schnellstmöglich erkennen. Für die Überwachung der Zugriffskontrollen und Systemkonfigurationen eignet sich ein Hardening-Tool wie der Enforce Administrator. Versehentliche Änderungen Ihrer Härtungseinstellungen gehören dank der integrierten Selbstüberwachung der Vergangenheit an. Und die integrierte Reporting-Engine liefert darüber hinaus einen detaillierten Überblick über die angewendeten Härtungen je System.

Zudem haben Sie regelmäßig Audits durchzuführen, um den Ist-Zustand Ihrer Systeme zu überprüfen. Nutzen Sie dafür beispielsweise das AuditTAP. Dessen Audit-Report zeigt Ihnen, welche Hardening-Settings Sie noch optimieren sollten.

Fazit

Auf den ersten Blick wirkt es vielleicht wie eine zusätzliche Belastung, dass die Europäische Union eine weitere IT-Security-Verordnung verabschiedet hat. Doch DORA verfolgt – wie andere Regularien, Gesetze und Standards auch – einen sinnvollen und wichtigen Ansatz!

Denn: Alle Akteure im Finanzsektor spielen eine entscheidende Rolle für die Stabilität staatlicher Strukturen und Institutionen. Daher müssen ihre IT-Systeme nicht nur einmalig, sondern dauerhaft bestmöglich geschützt werden. Eine starke Resilienz gegenüber Cyberangriffen und deren Folgen erreicht man unter anderem durch eine gezielte, nachhaltige Systemhärtung. Gruppenrichtlinien reichen dafür nicht aus, sie benötigen stattdessen ein professionelles Hardening-Toolset.

____

Über die FB Pro GmbH:

Die FB Pro konzentriert sich auf die Härtung von IT-Systemen und -Infrastrukturen. Dazu hat das rheinland-pfälzische Team eigene standardisierte Lösungen und Produkte entwickelt. Diese helfen Unternehmen, ihre Systemlandschaften schneller und effizienter präventiv zu schützen – gemäß DORA und vielen weiteren Regularien, Gesetzen und Normen.