DORA - Schutz sensibler Daten im Finanzsektor

Die digitale Transformation bringt enorme Vorteile für die Finanzindustrie, schafft aber gleichzeitig neue Herausforderungen im Bereich der Cybersicherheit. Der Digital Operational Resilience Act (DORA) der Europäischen Union adressiert genau diese Herausforderungen und stellt sicher, dass Finanzinstitute und ihre Dienstleister ausreichend gegen digitale Risiken gewappnet sind. Mit DORA legt die EU den Grundstein für eine widerstandsfähige digitale Infrastruktur im Finanzsektor. Ein zentraler Bestandteil dieser Verordnung sind die Anforderungen an Penetrationstests, die sicherstellen sollen, dass Schwachstellen in den IT-Systemen frühzeitig erkannt und behoben werden.

Hintergrund und Ziele von DORA

DORA wurde als Teil des Digital Finance Package der Europäischen Kommission eingeführt, ist am 17.01.2023 in Kraft getreten und findet ab dem 17.01.2025 Anwendung. Die Verordnung hat das Ziel, die digitale Betriebsresilienz von Finanzinstituten zu stärken. Dazu zählen Banken, Versicherungen, Zahlungsdienstleister, Investmentfirmen und andere Finanzakteure, aber auch ihre Dienstleister, die kritische Informations- und Kommunikationstechnologie (IKT)-Dienste bereitstellen.

Die Kernziele von DORA lassen sich wie folgt zusammenfassen:

  1. Schutz vor Cyberrisiken: Finanzinstitute sollen in der Lage sein, ihre Systeme und Daten vor Cyberangriffen und IT-Ausfällen zu schützen.
  2. Widerstandsfähigkeit bei Störungen: Im Falle von IT-Ausfällen oder Cybervorfällen sollen Unternehmen in der Lage sein, schnell und effizient zu reagieren, um den Geschäftsbetrieb aufrechtzuerhalten.
  3. Förderung der Zusammenarbeit zwischen Behörden und Institutionen: Durch verbesserte Kommunikation und Meldepflichten sollen Vorfälle schneller und effektiver bewältigt werden.
  4. Überwachung und Kontrolle von Dienstleistern: Da viele Finanzinstitute IT-Dienstleistungen auslagern, stellt DORA sicher, dass auch diese Drittanbieter angemessene Sicherheitsstandards einhalten.

 

Die Verordnung richtet sich an eine Vielzahl von Akteuren innerhalb des Finanzsektors und verlangt von ihnen, strenge Maßnahmen zur Sicherstellung der digitalen Resilienz zu ergreifen. Eine wesentliche Anforderung betrifft dabei die regelmäßige Durchführung von Penetrationstests, die als Schlüsselmaßnahme zur Sicherstellung der Cybersicherheit gelten.

Anforderungen an Penetrationstests gemäß DORA

DORA hebt die Bedeutung von Penetrationstests als Teil einer umfassenden Cyberabwehrstrategie hervor (Artikel 24 und 25 DORA) Diese Tests sind ein unverzichtbares Mittel, um die Sicherheitslage von Finanzinstituten realistisch zu bewerten. Dabei geht es auch um bedrohungsgeleitete Penetrationstests (Threat-Led Penetration Testing, TLPT), die reale Angriffsszenarien nachstellen.

1. Regelmäßige Durchführung von Penetrationstests

Finanzinstitute sind verpflichtet, regelmäßig Penetrationstests durchzuführen. Diese Tests sollen helfen, Schwachstellen in IT-Systemen, Netzwerken und Anwendungen zu identifizieren. Ziel ist es, potenzielle Sicherheitslücken aufzudecken, bevor sie von Cyberkriminellen ausgenutzt werden können.

Die Häufigkeit der Penetrationstests richtet sich nach der Risikobewertung des Unternehmens. Für Informations- und Kommunikationstechnik-Systeme (IKT), die kritische und wichtige Funktionen unterstützen, soll mindestens einmal jährlich ein Penetrationstest durchgeführt werden. Für besonders kritische Systeme schreibt DORA vor, dass bedrohungsgeleitete Penetrationstests (TLPT) mindestens alle drei Jahre durchgeführt werden müssen. Diese Tests sollten so realistisch wie möglich sein und typische Angriffsszenarien simulieren, um sicherzustellen, dass die Sicherheitsmaßnahmen in der Praxis wirksam sind.

2. Threat-Led Penetration Testing (TLPT)

Ein wichtiger Bestandteil der DORA-Anforderungen ist das Threat-Led Penetration Testing (TLPT) , welches für ausgewählte Finanzunternehmen gilt (Artikel 26 und 27 DORA). Im Gegensatz zu herkömmlichen Penetrationstests, bei denen generelle Schwachstellen gesucht werden, simuliert TLPT konkrete Bedrohungsszenarien, die auf den aktuellen Bedrohungslandschaften und den spezifischen Risiken des Finanzinstituts basieren. Diese Tests sind darauf ausgelegt, die Reaktionsfähigkeit des Unternehmens auf gezielte Angriffe zu überprüfen.

 

3. Unabhängigkeit der Penetrationstests

DORA fordert, dass Penetrationstests von unabhängigen und qualifizierten externen Dienstleistern durchgeführt werden. Diese externe Unabhängigkeit stellt sicher, dass die Tests objektiv sind und keine internen Interessen oder unzureichende Expertise die Qualität der Tests beeinträchtigen.

Durch die Beauftragung externer Experten kann gewährleistet werden, dass die Penetrationstests den neuesten Standards und Techniken entsprechen und aktuelle Bedrohungsszenarien realistisch abbilden. Unternehmen müssen sicherstellen, dass die externen Tester qualifiziert sind und über die notwendige Erfahrung in der Durchführung von Penetrationstests im Finanzsektor verfügen.

4. Berichterstattung und Dokumentation

DORA verpflichtet Finanzinstitute dazu, die Ergebnisse der Penetrationstests umfassend zu dokumentieren und den zuständigen Aufsichtsbehörden zu melden. Die Berichte müssen detaillierte Informationen über die entdeckten Schwachstellen, die durchgeführten Tests und die ergriffenen Maßnahmen zur Behebung der Schwachstellen enthalten.

Die Aufsichtsbehörden überwachen die Durchführung der Penetrationstests und die Umsetzung der daraus resultierenden Sicherheitsmaßnahmen. Unternehmen müssen sicherstellen, dass sie nicht nur die Tests regelmäßig durchführen, sondern auch die notwendigen Schritte zur Schließung identifizierter Sicherheitslücken unternehmen.

5. Koordination mit Aufsichtsbehörden

Besonders kritische Finanzinstitute sind verpflichtet, ihre Penetrationstests in enger Abstimmung mit den Aufsichtsbehörden durchzuführen. Diese Behörden können spezielle Anforderungen an die Durchführung der Tests stellen und überprüfen, ob die festgelegten Sicherheitsstandards eingehalten werden.

Dies bedeutet, dass Finanzinstitute eng mit den Regulierungsbehörden zusammenarbeiten müssen, um sicherzustellen, dass die Penetrationstests den rechtlichen Vorgaben entsprechen und effektiv zur Stärkung der digitalen Resilienz beitragen.

6. Nachhaltigkeit und kontinuierliche Überwachung

Die Durchführung von Penetrationstests ist kein einmaliger Vorgang, sondern ein integraler Bestandteil eines kontinuierlichen Sicherheitsprozesses. DORA fordert, dass die Ergebnisse der Penetrationstests in eine fortlaufende Überwachung und Verbesserung der IT-Infrastruktur einfließen.

Dies bedeutet, dass Unternehmen nach den Penetrationstests nicht nur sofortige Maßnahmen ergreifen müssen, sondern auch langfristige Strategien entwickeln, um ihre IT-Sicherheitslage kontinuierlich zu verbessern. Regelmäßige Überprüfungen und Anpassungen sind notwendig, um sicherzustellen, dass neue Bedrohungen zeitnah erkannt und abgewehrt werden können.

Fazit

Der Digital Operational Resilience Act (DORA) setzt neue Maßstäbe für die digitale Resilienz im Finanzsektor. Die Anforderungen an Penetrationstests stellen sicher, dass Finanzinstitute ihre IT-Sicherheit proaktiv und umfassend angehen. Durch regelmäßige und unabhängige Penetrationstests können Schwachstellen in den Systemen frühzeitig erkannt und behoben werden, bevor sie von Angreifern ausgenutzt werden.

Die Verknüpfung der Penetrationstests mit realistischen Bedrohungsszenarien (TLPT) und die enge Zusammenarbeit mit den Aufsichtsbehörden tragen dazu bei, dass die Sicherheitsmaßnahmen der Finanzinstitute auf dem neuesten Stand bleiben und kontinuierlich verbessert werden. DORA stellt damit sicher, dass die digitale Infrastruktur des Finanzsektors widerstandsfähig bleibt und auch in einer zunehmend digitalen Welt stabil und sicher funktioniert.

 

Weitere Informationen sowie die Verordnung (EU) 2022/2554 finden Sie auf der Homepage der BaFin: BaFin – DORA