Institutional Money, Ausgabe 3 | 2024

IT-Abteilung weiterreichen lässt. „Hier sind auf jeden Fall die Leitungsorgane in der Verantwortung. Das stellt nicht nur eine der Kernanforderungen von DORA dar, sondern ist auch in der praktischen Umsetzung wesentlich. Das Thema sollte zur Chefsache gemacht werden“, rät Schmitz. Sie verweist darauf, dass Resilienz nicht nur als regulatorisches Thema betrachtet werden sollte, „sondern Resilienz stellt einen Selbstzweck in einer immer digitaleren Welt mit stei- gender Bedrohungslage dar“. Unter die DORA-Verordnung fallen aber nicht nur die Finanzunternehmen selbst, sondern auch deren Dienstleister. Die sogenannten „kritischen Drittanbieter von Informa- tions- und Kommunikationstechnologien (IKT)“ sind bei- spielsweise Anbieter von Cloud-Computing-Diensten, Soft- ware, Datenanalyse und Rechenzentren. „Folglich sind hier- von die großen Tech-Giganten aus den USA wie Microsoft, IBM, Amazon (AWS) oder Google ebenfalls betroffen.Diese bieten nicht selten Serverkapazitäten für Banken und Versi- cherungen an“, erklärt MKMDatenschutz Consulting. Auch sie müssen sich mit DORA befassen. „Einige Drittanbieter sind laut eigenen Angaben compliant zu den DORA-Anfor- derungen. Andere haben Projekte aufgesetzt, um die DORA- Anforderungen zu erfüllen“, beobachtet Schmitz. „Wer schon einmal einen Cyberangriff mitgemacht hat, weiß, wie wich- tig Routinen und eingeübte Prozesse in diesem Fall sind“, meint Jan Pohle. Er ist Partner bei der globalen Wirtschafts- kanzlei DLA Piper in Köln und berät Unternehmen zu komplexen technologiebezogenen Projekten wie beispiels- weise zu Rechtsfragen der Cybersicherheit. „Für den Fall, dass sämtliche Daten auf den IKT-Systemen infolge des Angriffs verschlüsselt sind, dauert die Wiederherstellung der Daten in der Praxis nicht nur Stunden, sondern Tage, wenn nicht Wochen oder Monate. Und wenn es sich um ein produktionsnahes Asset handelt, wo ein Cyberangriff dazu führt, dass die Produktion steht, dann kann das existenz- gefährdend wirken“, warnt Pohle. Außerdem wisse man nicht, ob das Virus nicht auch in Datensätzen auf Siche- rungskopien versteckt ist, denn häufig wird Schadsoftware bereits Monate vor dem Gau in die Systeme eingebracht. Krisenplan muss vorliegen Wichtig sei, im Schadensfall eingeübte Prozesse zu haben, sodass jeder imUnternehmen weiß, was zu tun ist, und kein zu großes Chaos ausbricht. „Wenn die Systeme lahmgelegt sind,müssen nicht nur eingeübte Prozesse ablaufen, sondern beispielsweise auch die wichtigsten Adressen und Telefon- nummern ausgedruckt vorliegen, damit man intern schnell kommunizieren und seine wichtigsten Kunden anrufen kann“, meint Pohle. „Eine gute Vorbereitung auf einen Cyberangriff ist das A und O. Hier müssen neben der Geschäftsleitung alle relevanten Stellen und Mitarbeiter einbezogen werden“, rät Pohle und nennt ein paar: „Informationssicherheit, in- und externe Rechtsberater, der Datenschutzbeauftragte, die Kommunikationsabteilung, der Einkauf, der die Supply Chain informieren muss, und der Vertrieb, der die Kunden informiert.“Wichtig sei auch, einen Plan zu haben, wie im Krisenfall der Alarm ausgelöst werden soll – sowohl nach innen als auch nach außen. Klarwerden müsse man sich auch darüber, ob der Fall meldepflichtig ist. „Bei börsen- gelisteten Unternehmen kann eine Cyberattacke auch ad- hoc-pflichtig sein“, gibt Pohle zu bedenken. Daneben sind Meldepflichten nach demDaten- und Cybersicherheitsrecht (DORA, NIS 2) zu beachten. Die Kette der Aktionen geht weiter. „Es ist die Frage zu klären, ob man das Erpressungs- geld zahlen wird.“ Dabei sollten unbedingt die Behörden mit ins Boot geholt werden. „Beispielsweise ist zu klären, ob die Angreifer auf einer der Terroristenlisten stehen. In einem solchen Fall verbietet sich die Zahlung grundsätzlich“, so Pohle. Wer sind die Täter? Bei den Tätern handelt es sich längst nicht mehr um kleine Angreifer, die von einzelnen Büros aus agieren, sondern um höchst professionell agierende Kriminelle, die teilweise staat- lich gelenkt sind. „Bei Angriffen, die aus Russland kommen, geht es unter anderem um die Destabilisierung anderer Kulturen; bei Angriffen aus China spielt eher Wirtschafts- spionage eine tragende Rolle. Um die Erpressung von Geld geht es in den meisten Fällen ebenfalls“, zeichnet Pohle die Gefährdungslage. Bei Asset Managern dürfte Wirtschafts- Die Anforderungen des IKT-Risikomanagements Sie sollen dafür sorgen, dass Unternehmen widerstandsfähig gegen Cybergefahren werden. Ein weiteres Ziel von DORA ist, dass die Unternehmen ihre Prozesse auch während und nach einem Störungsfall aufrechterhalten können. Quelle: BaFin 254 N o . 3/2024 | institutional-money.com STEUER & RECHT | Digital Operational Resilience Act FOTO: © CARSTEN LERP | UNION INVESTMENT » Bei DORA werden die Dinge genauer ausdefiniert als bei KAIT. Die Regulatory Technical Standards sind hier viel präziser. « Daniel Herzog, Verantwortlicher für IT-Regulatorik bei Union Investment Die Lage der IT-Sicher- heit in Deutschland: im-online.com/ ITS324