In diesem Blogbeitrag schildert Senior Trusted Advisor Carsten Marmulla die Anforderungen von DORA – dem Digital Operational Resilience Act. Dieser betrifft vor allem Akteure des Finanzmarkts und wird am 17. Januar 2025 in Kraft treten. Du kennst DORA noch nicht oder bist unsicher, was noch zu tun ist? Wir geben Dir einen Überblick über die Anforderungen der EU-Verordnung und deren Umsetzung.

Die wichtigsten Fakten zu DORA

Wer ist von DORA betroffen?

Die Verordnung betrifft nicht nur Banken und Versicherungen, sondern auch viele weitere Akteure des Finanzmarktes. Dazu gehören zum Beispiel:

• Zahlungsdienstleister
• Kryptobörsen
• Fondsgesellschaften
• Wertpapierfirmen
• Betreiber von Handelsplattformen und andere Anbieter von Finanzinfrastrukturen

Auch Cloud-Anbieter und Software-Entwickler, die IT-Lösungen für Finanzunternehmen anbieten, fallen unter die DORA-Vorgaben. Damit soll die Cybersicherheit in der gesamten Lieferkette des Finanzsektors erhöht werden.

Der breite Anwendungsbereich von DORA spiegelt die Abhängigkeit moderner Finanzunternehmen von digitalen Prozessen wider und bezieht alle relevanten Akteure ein. Falls du unsicher bist, ob du betroffen bist, helfen dir unsere Expter:innen für IT-GRC gerne bei der Einordnung.

Ab wann gilt DORA?

DORA ist bereits am 17. Januar 2023 in Kraft getreten und wird laut der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ab dem 17. Januar 2025 angewendet werden.

Das bedeutet, dass alle betroffenen Unternehmen ab diesem Zeitpunkt die geforderten Maßnahmen umgesetzt haben müssen. Es gibt keinen Aufschub oder „Schonfrist“. Der Termindruck führt in den betroffenen Organisationen dazu, dass die internen Sicherheitsstrukturen schnell überprüfen und gegebenenfalls Anpassungen bis zur Frist vorgenommen werden müssen.

Was ist zu tun?

Um den Anforderungen von DORA gerecht zu werden, müssen Unternehmen eine Vielzahl von Maßnahmen ergreifen, die sich auf verschiedene Bereiche der IT-Sicherheit konzentrieren.

Zu den wesentlichen Punkten zählen:

1. IT-Risikomanagement (Informations- und Kommunikationstechnik): Finanzunternehmen müssen ein umfassendes Risikomanagement für ihre IT-Systeme etablieren. Dabei gilt es, potenzielle Bedrohungen und Schwachstellen frühzeitig zu erkennen und Maßnahmen zur Risikominimierung einzuleiten.
2. Notfallplanung und Krisenmanagement: Unternehmen müssen sicherstellen, dass sie auch in Krisenzeiten, wie etwa bei einem Cyber-Angriff, handlungsfähig bleiben. Dazu gehören Notfallpläne, die festlegen, wie bei einem IT-Ausfall zu reagieren ist, um den Geschäftsbetrieb aufrechtzuerhalten.
3. Regelmäßige Widerstandsfähigkeits- und Stresstests: DORA schreibt vor, dass Finanzinstitute regelmäßig Tests durchführen, um die Belastbarkeit ihrer IT-Infrastruktur zu überprüfen. Solche Stresstests simulieren Worst-Case-Szenarien, um sicherzustellen, dass die Systeme auch unter extremen Bedingungen funktionsfähig bleiben.
4. IT-Sicherheitsvorfälle überwachen und melden: Treten Sicherheitsvorfälle oder IT-Ausfälle auf, müssen diese überwacht und unverzüglich an die Aufsichtsbehörden gemeldet werden. Eine zeitnahe und umfassende Kommunikation ist entscheidend, um aufkommende Bedrohungen einzudämmen.
5. Management von externen Dienstleistern: Externe Dienstleister, die IT-Dienstleistungen für Finanzunternehmen erbringen, müssen ebenfalls die DORA-Anforderungen erfüllen. Die Unternehmen sind dafür verantwortlich, dass ihre Partner und Lieferanten die gleichen hohen Sicherheitsstandards einhalten.

Die EU gibt mit den Regulatory Technical Standards (RTS) klare Vorgaben, die den Unternehmen als Leitfaden für die Umsetzung der Anforderungen in die Praxis dienen. Diese RTS-Dokumente werden von der Europäischen Bankenaufsichtsbehörde (EBA) entwickelt und legen die technischen Details fest.

Was droht bei Nichtumsetzung?

Die Nichtumsetzung der DORA-Vorgaben kann für Unternehmen schwerwiegende Folgen haben. Zum einen drohen hohe Bußgelder, die je nach Schwere des Verstoßes verhängt werden können. Zum anderen kann es zu einem erheblichen Reputationsverlust kommen. Gerade im Finanzsektor ist das Vertrauen der Kunden von zentraler Bedeutung. Ein IT-Ausfall oder ein erfolgreicher Cyberangriff kann nicht nur finanziellen Schaden verursachen, sondern auch das Vertrauen der Kunden nachhaltig erschüttern.

Wie kann carmasec dir helfen?

Stehst du vor der Herausforderung, die komplexen Anforderungen von DORA in deine Prozesse zu integrieren?

Hier können wir dich gezielt unterstützen:

• Gap-Analyse (Soll-Ist-Vergleich): Im ersten Schritt prüfen wir, wo dein Unternehmen in Bezug auf DORA steht. Wir führen eine umfassende Analyse durch, in der wir die aktuellen Prozesse und Sicherheitsmaßnahmen Deines Unternehmens mit den Anforderungen von DORA vergleichen. So identifizieren wir Schwachstellen und Risiken, die angegangen werden müssen.
• Definition der Maßnahmenpakete: Auf Basis der Gap-Analyse erstellen wir konkrete Maßnahmenpakete, die genau auf die Bedürfnisse und Anforderungen deines Unternehmens zugeschnitten sind. Wir entwickeln einen maßgeschneiderten Aktionsplan, der die Umsetzung der DORA-Vorgaben sicherstellt.
• Hilfe bei der Umsetzung: Die Umsetzung der Maßnahmen ist ein entscheidender Schritt. Wir unterstützen dich bei der Einführung und Umsetzung der notwendigen Prozesse und Systeme, damit dein Unternehmen die DORA-Anforderungen erfüllt. Dies kann auch die Schulung  deiner Mitarbeiterinnen und Mitarbeiter umfassen, um sicherzustellen, dass alle relevanten Akteure auf die neuen Anforderungen vorbereitet sind.

Fazit

DORA ist ein entscheidender Schritt zu mehr IT-Sicherheit im Finanzsektor. Die Verordnung fordert von den Unternehmen eine proaktive Auseinandersetzung mit Risiken und Sicherheitslücken in ihrer digitalen Infrastruktur. Dabei geht es nicht nur um die Einhaltung gesetzlicher Vorgaben, sondern um den Schutz des gesamten Geschäftsbetriebs. Mit DORA-konformen Sicherheitsmaßnahmen sichern Unternehmen nicht nur ihre eigenen IT-Systeme, sondern tragen auch zur Stabilität des gesamten Finanzmarktes bei.

Jetzt ist der richtige Zeitpunkt, mit der Umsetzung zu beginnen!

Stelle jetzt die Weichen für die Zukunft und ergreife DORA-konforme Maßnahmen. Unsere Expert:innen für Cybersicherheit stehen dir zur Seite und stellen sicher, dass dein Unternehmen optimal aufgestellt ist und auch in Zukunft sicher und widerstandsfähig bleibt.

Hier kannst du uns kontaktieren.

Das carmasec-Redaktionsteam erläutert in diesem Beitrag, warum es sinnvoll sein kann, gezielt Ausnahmen für Sicherheitssysteme wie IPS und WAFs mittels Allow Listing zu definieren und wie diese Methode Pentester:innen ermöglicht, effizient und störungsfrei zu arbeiten.

Wann ist der Einsatz von Allow Lists bei Pentests sinnvoll?

Eine Einordnung: Welche Aufgabe haben IPS und WAFs und warum können sie einen Pentest verzögern?

IPS-Systeme und WAFs sollen Angriffe erkennen und blockieren – etwa durch die Erkennung von Port-Scans, SQL-Injections oder massenhaften automatisierten Anfragen. Wenn diese Systeme eine als „verdächtig“ eingestufte Aktivität aufspüren, reagieren sie oft mit einer Drosselung des Datenverkehrs oder der Sperrung der Quell-IP-Adresse, manchmal für eine gewisse Zeit – manchmal sogar komplett. Im Alltag ist dies ein erwünschtes Verhalten. Im Falle eines Pentests können diese Sicherheitsmaßnahmen jedoch das eigentliche Testziel stark beeinträchtigen.

Zeit ist der entscheidende Faktor

IPS und WAFs sind darauf ausgelegt, Angreifer abzuwehren und dir Zeit zu verschaffen, bei einem Angriff angemessen zu reagieren. Doch bei einem Penetrationstest können diese Schutzmaßnahmen den Ablauf erheblich stören. Ein Security Assessment ist auf ein festes Zeitfenster begrenzt. Erkennen die Security-Systeme Pentester fälschlicherweise als Angreifer, könnten beispielsweise ihre IP-Adressen blockiert werden. Das führt zu Verzögerungen im Testablauf, wodurch Schwachstellen übersehen werden und die Effizienz des Tests sinkt.

Am Ende zahlst du als Kunde für ein Assessment, das nicht sein volles Potenzial entfalten konnte.

Bei realen Angriffen hingegen haben die Hacker alle Zeit der Welt. Sie können ihre Aktionen verlangsamen und ein paar Anfragen über Tage oder Wochen hinweg senden, um unentdeckt zu bleiben.

Eine Allow List ermöglicht es den Pentestern, ohne Unterbrechung zu arbeiten und Schwachstellen direkt und effizient zu analysieren. So bleibt der Fokus auf der eigentlichen Aufgabe: Deine Systeme auf Herz und Nieren zu prüfen.

Der Testfokus liegt auf deinen Systemen, nicht auf der Sicherheitsperipherie

In den meisten Fällen hat ein Pentest zum Ziel, die Sicherheit deiner Applikationen oder Infrastruktur zu überprüfen – nicht die vorgelagerten IPS- oder WAFs-Systeme. Diese Schutzmaßnahmen erschweren es Angreifern, in dein System einzudringen.

Pentester, die direkten Zugriff haben, können deine tatsächlichen Assets auf Schwachstellen testen – und nicht nur die Security-Systeme davor.

Natürlich kann das Testen von IPS oder WAFs selbst sinnvoll sein, aber das ist ein gesondertes Ziel, das separat beauftragt und im Scope entsprechend festgehalten werden sollte.

Sind Allow Lists auch für interne Pentests sinnvoll?

Allow Lists sind nicht nur für externe Pentests nützlich. Auch bei internen Tests kann es sinnvoll sein, einzelne Ordner oder Systeme für Antivirenprogramme (AV) und für die Endpoint Detection and Response Systeme (EDR) gezielt auszuschließen. Das hängt vom Testziel ab: Wenn du beispielsweise Deine SIEM-Erkennungsmechanismen oder die Reaktion auf Sicherheitsvorfälle evaluieren möchtest, kannst du mit Allow Lists wertvolle Zeit sparen, da sich deine Pentester auf die wesentlichen Aufgaben konzentrieren können.