14. Juni 2023

DORA – Informationssicherheit ganz neu (?)

DORA - Der Digital Operational Resilience Act

Der Digital Operational Resilience Act (kurz: DORA) revolutioniert die Anforderungen an die IT- und Informationssicherheit der Finanzindustrie – naja, nicht wirklich! 

Die EU-Verordnung DORA enthält Anforderungen und Vorgaben im Bereich der IT- und Informationssicherheit für Unternehmen der Finanzbranche. Obgleich noch einige Details auf nationaler Ebene bis Januar bzw. Juni 2024 ausgearbeitet werden müssen, gibt es doch schon einen ganzen Satz an bestehenden Anforderungen seitens der EU.    

Neben Vorgaben zum Teilen von Informationen und zum Berichtswesen beinhalten die Artikel 5 bis 31 einige bekannte Themen. Wir haben angeschaut, was neu ist im Vergleich zur ISO 27001/27002.

Bekannte Themen, verändertes Wording

Die Steigerung der digitalen operationalen Resilienz bringt eigentlich kaum neue Themen hervor. Vielmehr werden ausgewählte Themenkomplexe aus der ISO 27002 aufgegriffen und an kniffligen – und wichtigen – Punkten konkretisiert. Versucht man die Anforderungen zu Mappen und in bekannte Bereiche zu gruppieren, dann kommen viele der DORA-Anforderungen aus den Bereichen Informationssicherheitsincidentmanagement, Informationssicherheitsrisikomanagement, Backup & Restore, Business Continuity Management, Operational Security, Asset Management und Dienstleistermanagement. Aus gutem Grund:

  • Du kannst nicht schützen, was Du nicht kennst (Asset Management)
  • Du kannst nicht sinnvoll priorisieren, wenn du Schutzbedarf und Kritikalität nicht kennst (Schutzbedarf, BIA)
  • Du musst deine Angreifer kennen, um dich zu verteidigen (Threat-Modelling, Risikomanagement)
  • Du kannst nicht sicher sein, dass es funktioniert, bis du es probiert hast (Pentesting, Backup & Restore, Operational Security)
  • Was für Dich gilt, muss natürlich auch für deine Dienstleister gelten (Dienstleistermanagement) – eventuell ist Outsourcing dann eben nicht mehr ganz so günstig…

Und wenn das Kind schon in den Brunnen gefallen ist:

  • Stell sicher, dass jeder weiß, was er zu tun hat (ISIM)
  • Kommuniziere sauber nach „Innen“ und „Außen“ (Krisenkommunikation) 
  • Sei sicher, dass die Backups vorhanden, integer und tatsächlich brauchbar sind
  • Stelle deine kritischen und wichtigen Funktionen priorisiert wieder her
DORA - die neue EU-Verordnung für mehr Cyber-Sicherheit?

Ein weiterer Aspekt, der in der EU-Verordnung in einigen Anforderungen expliziter ausgeführt wird als im entsprechenden ISO-Katalog, ist der „PDCA-Zyklus“ – genau genommen die Vorgabe: Lerne aus Deinen Fehlern! Und teile Deine Fehler und Erkenntnisse mit anderen (Aufsicht, andere Finanzunternehmen), um gemeinsam daraus zu lernen.

Eine Weisheit, die nicht nur der Finanzbranche helfen kann, Angreifer besser zu erkennen und zu stoppen.

Details? Naja...

Der Teufel liegt vielleicht im Detail – doch Details fehlen noch an manchen Stellen. Beispielsweise werden die Details zu den „Erweiterten Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT“ erst bis Juli 2024 erwartet. Klar ist, die Finanzdienstleiter müssen sogenannte Threat-Led-Penetration-Testing durchführen, also eine erweiterte Form der bekannten TIBER-EU Red-Team-Pentests aus dem Bankenumfeld. Solche TLTP-Tests müssen alle drei Jahre in Produktion stattfinden und durch externe Spezialisten – zumindest für das Threat Modelling – begleitet werden. 

Auch der Umgang mit Vorfällen, der ja einen starken Fokusbereich von DORA einnimmt, ist noch nicht gänzlich ausdefiniert – zumindestens wenn es um Themen wie die Kostenschätzung eines Vorfalls geht. Das jedoch ist eine durchaus relevante Frage für die Risikoabschätzung: Was gebe ich für IT-Sicherheit aus, bevor es knallt?! 

Ansonsten geht die Detailtiefe schon mal deutlich weiter, es als es die Vorgaben vom BSI oder die bisherigen BaFin-Regulatorien (VAIT, BAIT, …) hergeben. Beim Thema Backup beispielsweise, gibt DORA konkrete Anweisungen, dass Wiederherstellungen auf separate Systeme vorzunehmen sind oder RTO und RPO festgelegt werden müssen. „Schutzbedarf Verfügbarkeit: Hoch“, wird damit künftig nicht mehr ausreichen, um Backups zu gestalten. Themen, die ohnehin schon heute so gelebt werden sollten. Das Thema „Leben“ bzw. die „Wirksamkeit“ von Maßnahmen nimmt allgemein einen großen Platz in der EU-Verordnung ein. So gilt es an fast allen Stellen Leitlinien zu erstellen, Richtlinien und Regelwerke zu definieren, umzusetzen und regelmäßig auf Wirksamkeit zu überprüfen – natürlich kombiniert mit der Ableitung entsprechender Maßnahmen zur Steigerung der Wirksamkeit und Resilienz (PDCA!). 

Zeit für Panik?!

Nein. Wer bisher schon nach ISO 27001 gearbeitet hat, die Maßnahmen der neuen ISO 27002:2022 umgesetzt hat, und den Regulatorien der BaFin unterliegt, der wird aus DORA nur Konkretisierungen im Detail entnehmen können. Ein Risikomanagement für Informationssicherheit sollte da sein. Die Assets (Prozesse, Informationen, Anwendungen, Systeme, Standorte) müssen auch jetzt schon bekannt und verknüpft sein (Stichwort: Durchstich). Um eine BIA kommen Finanzunternehmen nicht herum und die Schwerpunkte „Erkennung“ und „Behandlung“ von Angriffen sind seit längerem im Fokus vieler Vorgaben und Empfehlungen. Da wird die DORA-Anforderungen, dass nicht nur zentrales Logging und automatisiertes Alerting gemacht werden muss, sondern auch eine automatisierte Reaktion zur Isolation von Angriffen zu etablieren ist, wohl keine schlaflosen Nächte erzeugen. 

Die ohnehin schon heute geforderten regelmäßigen und anlassbezogenen Überprüfungen der Wirksamkeit des eigenen Handelns würden vernünftigerweise auch ohne DORA dazu führen, dass die Themen angegangen und konkretisiert werden müssen.  

Eine Analyse der aktuellen Richtlinien und Prozesse kann dennoch nicht schaden, um die ~200 einzelnen Anforderungen von DORA auf ihre aktuelle Erfüllung hin zu überprüfen. 

Gerne stehen wir Ihnen mit Rat und Tat zur Seite – auch außerhalb der Finanzbranche, die erfahrungsgemäß deutlich weiter ist als KMUs und Unternehmen aus anderen Bereichen!