DORA IT:                                                              Regulation                                                          mit starkem                                                        IAM begegnen

Täglich verarbeiten Finanzinstitute enorme Mengen an sensiblen Daten, was sie zu begehrten Zielen für Cyberkriminelle macht. Trotzdem haben viele dieser Institute keine einheitlichen Maßnahmen zur Gewährleistung der Cybersicherheit. Nach einer Umfrage des IWF fehlen 56 % der Zentralbanken im Finanzsektor eine nationale Cyberstrategie, und 42 % verfügen über keinerlei Richtlinien für Cybersicherheit und Risikomanagement. Ein Teil dieser Massnahmen ist Identity- und Accessmanagement.

Die Digitale Betriebs Resilienz-Verordnung (Digital Operational Resilience Act, DORA) ist eine Regelung der Europäischen Union mit dem Ziel, die betriebliche Widerstandsfähigkeit des europäischen Finanzsektors zu stärken. Ihr Zweck besteht darin, Finanzinstitute zu befähigen, ihren Schutz vor Cyberbedrohungen, IT-Zwischenfällen und betrieblichen Risiken zu verbessern und ihnen zu ermöglichen, im Notfall schnell wieder handlungsfähig zu sein.

Die Einführung von DORA hatte nicht nur präventiven Charakter, sondern war eine Reaktion auf die zunehmende Abhängigkeit von digitalen Technologien im Finanzwesen, die eine proaktive Risikominderung notwendig macht. Da Cyberangriffe den Finanzsektor anhaltend ins Visier nehmen, gewinnt das Risikomanagement zunehmend an Bedeutung.
Tag für Tag verarbeiten Finanzinstitute beträchtliche Mengen an sensiblen und vertraulichen Daten, darunter personenbezogene Finanzinformationen, Kontodaten und Sozialversicherungsnummern, um nur einige Beispiele zu nennen. Es ist längst kein Geheimnis mehr, dass dies sie zu attraktiven Zielen für Cyberkriminelle macht. Während einige Organisationen bereits verschiedene Maßnahmen zur Cybersecurity umgesetzt haben, trifft dies bei weitem noch nicht auf alle zu. 

Eine Umfrage des Internationalen Währungsfonds (IWF) ergab Folgendes:

• 56 % der Zentralbanken und Aufsichtsbehörden haben keine nationale Cyberstrategie für den Finanzsektor.
• 42 % der Länder fehlen die erforderlichen Richtlinien für Cybersicherheit und Risikomanagement.
• In 64 % der Länder sind Sicherheitsüberprüfungen nicht verpflichtend.
• 54 % haben kein festes System zur Meldung von Sicherheitsvorfällen.
• Schockierende 48 % haben keine Richtlinien für Cybersecurity.

Die DORA-Verordnung gilt für mehr als 22.000 Finanzinstitute und IKT-Dienstleister, die innerhalb der EU tätig sind, sowie für die IKT-Infrastruktur, die sie von außerhalb der EU unterstützt. Die Verordnung führt spezifische und präskriptive Anforderungen für alle Teilnehmer am Finanzmarkt ein, einschließlich:

• Banken
• Zahlungsdienstleister
• Versicherungen
• Kreditinstitute
• Zahlungsinstitute
• Kontoinformationsdienstleister
• E-Geld-Institute
• Wertpapierfirmen
• Anbieter von Krypto-Vermögenswerten
• Datenmeldedienstleister und Cloud-Dienstleister

Die DORA Verordnung setzt fünf Hauptaspekte um:

1. IKT-Risikomanagement: DORA schreibt umfassende Rahmenwerke für das IKT-Risikomanagement vor, die sich an internationalen Standards ausrichten. Dies erfordert Strategien zur digitalen Resilienz, Risikokennzahlen und Kommunikationspläne für den Fall von Vorfällen.
    
2. Berichterstattung von Vorfällen: Organisationen müssen IKT-Vorfälle klassifizieren und melden. Umfassende Systeme ermöglichen die Analyse, die Behandlung der Hauptursachen und die Vorbeugung von Wiederholungen.
    
3. Prüfung der digitalen operativen Resilienz: Regelmäßige unabhängige Tests bewerten die Abwehrmaßnahmen gegen IKT-Sicherheitsvorfälle anhand verschiedener Beurteilungen und Szenarien.
    
4. Risikomanagement für IKT-Drittanbieter: Institutionen, die mit Drittanbieter-IKT-Diensten zusammenarbeiten, benötigen Strategien zur Bewältigung der damit verbundenen Risiken, inklusive Maßnahmen zur Vertragsbeendigung bei Bedarf.
    
5. Informationsaustausch: DORA ermöglicht den Austausch relevanter Informationen über IKT-Risiken zwischen vertrauenswürdigen Finanzgemeinschaften, um die Widerstandsfähigkeit zu stärken und Risiken zu mindern.

Am 16. Januar 2023 trat die endgültige Fassung der DORA-Verordnung in Kraft. Für die Umsetzung wurde eine Frist von 24 Monaten festgelegt. Die betroffenen Finanzunternehmen müssen die erforderlichen Maßnahmen bis zum 17. Januar 2025 umsetzen, an diesem Datum wurden BAIT und VAIT ausser Kraft gesetzt.

Jetzt, da die Verordnung in Kraft getreten ist, haben die zuständigen Aufsichtsbehörden die Möglichkeit, technische Regulierungsstandards (Regulatory Technical Standards, RTS) zu erarbeiten. Obwohl der anfängliche Zeitrahmen großzügig erscheinen mag, sollten Finanzunternehmen nicht zu lange zögern, die Richtlinie umzusetzen, und stattdessen rasch Schritte zur Erfüllung der Vorgaben unternehmen.

Bedrohungsakteure nutzen Schwachstellen und unzureichend verwaltete Identitäten, um Unternehmen zu stören, Daten zu stehlen oder Erpressungen durchzuführen. Diese Angriffe betreffen nicht nur das Unternehmen selbst, sondern auch Kunden, Stakeholder und den Finanzmarkt insgesamt.

Identitätsbasierte Cyberangriffe, die hauptsächlich auf kompromittierte Benutzerzugangsdaten abzielen, sind gängige Methoden von Cyberkriminellen, da Identitäten der effektivste Weg sind, um die IT-Infrastruktur zu kontrollieren. Um DORA-konform zu sein, müssen Finanzorganisationen alle Vereinbarungen im Zusammenhang mit dem DORA-Risikomanagement definieren, genehmigen, überwachen und verantworten. Hier spielt IAM eine zentrale Rolle.

IAM ist eine Sicherheitsdisziplin, die in kritische Geschäftsprozesse integriert wird, um sicherzustellen, dass nur berechtigte Personen zum richtigen Zeitpunkt auf die richtigen Informationen zugreifen können. Dies gilt für Mitarbeitende, Kunden (oft als Customer Identity Access Management oder CIAM bezeichnet) und Lieferanten. Dieses Zugangsmanagement kann auf Abteilungs- und individueller Rollenebene nach RBAC eingerichtet werden, um den Zugriff auf Daten und Systeme an die jeweiligen Aufgaben anzupassen.

Mit zunehmender Nutzung von Software-as-a-Service und Cloud-Infrastrukturen wird die IT- und Identitätslandschaft komplexer. Zur Einhaltung von DORA und anderen Datenschutzbestimmungen benötigen Unternehmen klare Einblicke, wie menschliche und maschinelle Identitäten auf geschützte Daten zugreifen. Dank DORA rückt die IKT-Widerstandsfähigkeit in den Fokus der EU-Finanzdienstleister, und IAM ist eine zentrale Disziplin zur Unterstützung der Compliance.

Bei IPG stehen unsere Experten zur Verfügung, um sowohl bei der Klärung der neuen Anforderungen von DORA zu unterstützen als auch bei der Umsetzung von IAM, um diese Anforderungen zu erfüllen. Wir können bei der Entwicklung einer IAM-Strategie und eines Betriebsmodells helfen, Identitätsanalysen, das Management des Identitätslebenszyklus, Zugriffsrechteverwaltung und mehr. Besonders beliebt ist ebenfalls das IAM 360° Assessment der IPG. Am wichtigsten ist, dass wir dazu beitragen, die IKT-Widerstandsfähigkeit zu stärken, um das Geschäft, die Kunden und den Finanzmarkt zu unterstützen.