Institutional Money, Ausgabe 3 | 2024

spionage als mögliches Motiv wegfallen. Ebenso ist das Zeit- fenster zu kurz, um durch Datenklau Front-Running oder Ähnliches betreiben zu können. „Wir schützen uns vor der potenziellen Gefahr, dass uns Daten abgezogen werden, um sie dann weiterzuverkaufen oder Lösegeld zu erpressen“, erklärt Daniel Herzog. Er ist beim Asset Manager Union Investment verantwortlich für IT-Regulatorik und dort auch einer der fachlichen Projekt- leiter für DORA. Er erklärt, wie die Umsetzung in seinem Haus läuft: „Im September 2023 haben wir ein großes DORA-Projekt gestartet. Los ging es mit einer Vorstudie, in der wir Soll-Soll-Abgleiche und Soll-Ist-Abgleiche vorgenom- men haben, um auf dieser Basis Maßnahmen abzuleiten. Jetzt sind wir in der Konzeptionierungs- und Umsetzungs- phase. Wir sind zuversichtlich, DORA pünktlich bis zum 17. Januar 2025 umsetzen zu können“, so Herzog. Dabei sei man auch auf die Mitwirkung der Vertragspart- ner angewiesen, denn typischerweise hätten Asset Manager viele Aufgaben an IKT-Dienstleister ausgelagert. „Mit allen IKT-Dienstleistern laufen jetzt die Vertragsanpassungen. Bei den ganz großen wie z.B.Microsoft geht das. Die waren seit jeher gut für den Finanzmarkt aufgestellt und haben schon immer unter anderem Prüf- und Kontrollrechte gewährleis- tet.“Bei den kleineren Dienstleistern, den Boutiquen, werde es manchmal schwierig, weil die nicht immer über die gro- ßen Organisationsstrukturen verfügen, die benötigt werden. Alles in allem sei DORA zwar ein dickes Brett, aber mach- bar, meint Herzog. „Ein Komplexitätstreiber sind auch unsere Tochtergesellschaften im Ausland. Dort müssen wir beispielsweise klären, wie im jeweiligen Land die Melde- pflichten auszugestalten sind.“Herausfordernd sei auch, dass die Dinge bei der technischen Umsetzung teilweise schon in die Zukunft gedacht sind. „Beispielsweise müssen wir auch die Data in Use verschlüsseln, nicht nur die Data in Transit und Data at Rest. Hierzu gibt es aber noch kaum praktikable Lösungen.Daran arbeiten wir jetzt“, sagt Herzog. Mehrere Themen seien bereits von der KAIT bekannt. „Allerdings wurde bei KAIT vieles auf Basis der Prüfungs- praxis erlebt und umgesetzt. Bei DORA werden die Dinge genauer ausdefiniert, da die Regulatory Technical Standards (RTS) hier viel präziser sind“, verweist Herzog auf die Unter- schiede der beiden Regulierungen. Er ist der Meinung, dass sich das gesamte Thema Cybersicherheit weiterentwickeln wird. „Es handelt sich hier ja um ein Moving Target“. Auch die Investorenseite reagiere bereits. „Wir stellen fest, dass in den Due-Diligence-Fragebögen der institutionellen Kunden zunehmend auch Fragen nach der Cybersicherheit des Unternehmens gestellt werden“, so Herzog. Versicherer sehen Doppelregulierung Auch die Versicherungsunternehmen arbeiten mit Hoch- druck an der Umsetzung der DORA-Vorgaben. „Glückli- cherweise sind wir nicht bei null gestartet, sondern konnten in vielen Bereichen auf den bestehenden Erwartungen der BaFin in den VAIT aufbauen“, erklärt Jörg Asmussen,Haupt- geschäftsführer des Gesamtverbands der Deutschen Versi- cherungswirtschaft (GDV). Nichtsdestotrotz sei die Zeit knapp. Rund vier Monate vor Anwendungsbeginn seien immer noch einige relevante Rechtsakte nicht final verab- schiedet, etwa zum Informationsregister oder zur Unterauf- tragsvergabe. „Hier gehen die Unternehmen derzeit mit den Vorgaben aus den aktuellen Entwürfen der Rechtsakte in die Vertragsverhandlungen mit IKT-Dienstleistern, um recht- zeitig DORA-Compliance herzustellen“, sagt Asmussen. Die Sorgen der Versicherungsunternehmen ranken sich unter anderem um die doppelten Vorgaben im Bereich der Ausgliederungen. „Für Versicherer gelten bei der Ausgliede- rung von Funktionen auf Drittparteien bereits strenge Vor- gaben und Anzeigepflichten.DORA sieht für den speziellen Bereich der IKT-Dienstleistungen ebenfalls umfassende Anforderungen vor, die sich teilweise decken, beispielsweise Anzeigepflichten.Derzeit arbeiten die Aufsichtsbehörden an einer Lösung, um doppelte Pflichten im Fall von IKT-Aus- gliederungen zu minimieren“, erklärt Asmussen. Große Versicherungshäuser stehen häufig vor der beson- deren Herausforderung, Maßnahmen konzernweit konsis- tent umzusetzen. Insofern profitieren insbesondere europäi- sche Gruppen von den europaweit einheitlichen Vorgaben der DORA-Verordnung. „Umso wichtiger ist aber, dass bis- Mutmaßliche Opfer auf Leak-Seiten aus Deutschland und weltweit im Vergleich (2021 = 100) Ransomware-Angriffe gehen in der Regel mit einem Datenleak einher. Dieses Vorgehen ist bekannt als Schweigegelderpressung oder Double Extortion. Die Leak-Opfer-Statistik des BSI gibt Aufschluss über die Opfer von Schweigegelderpressungen. Zu diesem Zweck beobachtet das BSI sogenannte Leak-Seiten, auf denen Angreifer die Namen und die erbeuteten Daten von Opfern ihrer Ransomware-Angriffe veröffentlichen, wenn diese kein Lösegeld zahlen. Quelle: Leak-Opfer-Statistik des Bundesamts für Sicherheit in der Informationstechnik (BSI) Q2 Q3 2019 Q4 Q1 Q2 Q3 2020 Q4 Q1 Q2 Q3 2021 Q4 Q1 Q2 Q3 2022 Q4 Q1 Q2 2023 0 50 100 150 200 Weltweit Deutschland N o . 3/2024 | institutional-money.com 255 Digital Operational Resilience Act | STEUER & RECHT FOTO: © CORNELIS GOLLHARDT » Eine gute Vorbereitung auf einen Cyber- angriff ist das A und O. Hier müssen alle relevanten Stellen einbezogen werden. « Jan Pohle, Partner bei der globalen Wirtschaftskanzlei DLA Piper, Köln Die EU-Kommission beziffert die jähr- lichen Kosten der Cyberkriminalität für die Weltwirt- schaft im Jahr 2020 mit 5,5 Billionen Euro.