Mehr digitale Resilienz
Mit dem Digital Operational Resilience Act (DORA) will die Europäische Union einen Rahmen schaffen, mit dem Unternehmen der Finanzbranche robuster gegen Angriffe auf ihre IT-Systeme gemacht werden. Am 17. Januar 2025 kommt DORA zur Anwendung.
Wer dachte, mit den Richtlinien an die IT-Anforderungen VAIT, KAIT, BAIT und ZAIT sei alles erledigt, irrt. Aktuell hält DORA die Finanzbranche auf Trab, denn mit dem Digital Operational Resilience Act (DORA) der EU kommen umfangreiche neue Anforderungen auf eine Vielzahl von Marktteilnehmern zu. „Die Verordnung schafft ein ,Single Rulebook‘, also europaweite Regeln für das Management von Risiken der Informations- und Kommunikationstechnologie (IKT)“, schreibt die BaFin auf ihrer Homepage. Deadline für die Umsetzung ist der 17. Januar 2025, und die BaFin hat bereits im Sommer 2024 Umsetzungshinweise veröffentlicht.
Finanzsektor mit hohem Gefährdungspotenzial
„Die Umsetzungen sind in vollem Gange. Die meisten Gap-Analysen sind abgeschlossen, Maßnahmen zur Erreichung der DORA-Compliance sind definiert, und erforderliche Budgets sind genehmigt“, erklärt Nadine Schmitz, wo die Branche mit der Umsetzung steht. Sie ist Partnerin bei KPMG in Köln und kümmert sich um den Bereich Financial Services. „Die meisten Unternehmen sind mit wichtigen DORA-Themen rund um die DORA-Strategie, die Definition von kritischen und wichtigen Funktionen oder dem ICT Risk Framework gestartet beziehungsweise haben diese zwischenzeitlich abgeschlossen. Für alle Unternehmen ist die Deadline 17. Januar 2025 herausfordernd“, erklärt Schmitz.
Auch wenn die wenigsten Marktteilnehmer eine weitere Regulierung begrüßen dürften, leuchtet der Hintergrund für diese Verordnung ein: Der Finanzsektor arbeitet mit zwei besonders attraktiven Gütern für Cyberkriminelle: Geld und sensiblen Daten. Aufgrund der zunehmenden Digitalisierung und der starken infrastrukturellen Vernetzung der Marktteilnehmer wächst die Angriffsfläche. Nicht zuletzt erhöht auch der zunehmende Einsatz von generativer KI die Risiken. Im Fall von Cyberattacken ist dabei nicht nur das Schadenspotenzial für das betroffene Unternehmen hoch, sondern es besteht die Gefahr, dass die Funktionsfähigkeit des gesamten Finanzsystems beeinträchtigt wird.
Die BaFin schreibt, wo die Gefahren lauern: „Die größte Gefahr geht von Ransomware-Angriffen aus. Das sind Schadprogramme, welche die Daten des Opfers verschlüsseln und erst gegen Zahlung eines Lösegelds wieder freigeben. Eine andere Variante: Kriminelle können per Ransomware-Angriff Daten abziehen und mit deren Veröffentlichung drohen, sofern nicht ein Lösegeld gezahlt wird. Wenn Systeme abgeschaltet werden müssen, können Kollateralschäden entstehen.“ Schädlich sind auch Distributed-Denial-of-Service-Angriffe (DDoS), bei denen der Angreifer das Datennetz eines Unternehmens mit einer Flut von Datenanfragen überlastet. Und natürlich gibt es Trojaner und Viren, und auch der klassische CEO Fraud funktioniert gelegentlich noch.
EU-Binnenmarktkommissar Thierry Breton schätzt, dass die Zahl der vernetzten Geräte bis 2025 auf 25 Milliarden ansteigen wird und dass sich etwa ein Viertel davon in Europa befindet. Die EU-Kommission beziffert die jährlichen Kosten der Cyberkriminalität für die Weltwirtschaft im Jahr 2020 mit 5,5 Billionen Euro. Das sei doppelt so hoch wie die Kosten für 2015. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in seinem Lagebericht zur IT-Sicherheit in Deutschland 2023 einen enormen Zuwachs an Schadprogramm-Varianten und Ransomware-Opfern fest (siehe Chart „Mutmaßliche Opfer auf Leak-Seiten“).
Um dieser Gefahr zu begegnen, verpflichtet DORA nun Unternehmen des Finanzsektors, sich systematisch vor IKT-Risiken zu schützen. Außerdem sollen Vorfälle gemeldet werden, damit Intensität und Art der Angriffe zentral überwacht werden können. „Schwerwiegende Incidents oder diejenigen, die wesentliche Geschäftsfunktionen betreffen, müssen zwingend gemeldet werden. Zusätzlich sind Incidents bei der Erreichung mehrerer definierter Schwellwerte zu melden, z.?B. wenn zehn Prozent aller Kunden oder mehr als 100.000 Kunden betroffen sind“, sagt Schmitz.
Offenbar meint es der Regulator ernst: „Marktteilnehmer, die noch nicht mit den Vorbereitungen für DORA begonnen haben, sollten jetzt unbedingt Maßnahmen ergreifen, oder sie riskieren ab dem 17. Januar 2025 potenzielle Strafzahlungen von bis zu zehn Millionen Euro oder fünf Prozent des Umsatzes ihres Unternehmens“, warnt Ocorian, ein Anbieter von Verwaltungs- und Treuhanddienstleistungen im Finanzsektor in einer Pressemeldung.
Die DORA-Verordnung umfasst mehrere Bereiche:
• Management der Risiken in der Informations- und Kommunikationstechnologie (IKT): Dies umfasst auch technische Maßnahmen wie die automatisierte Separierung des Netzwerks bei Sicherheitsvorfällen oder die Verschlüsselung von Daten.
• Management von Cybervorfällen
• Testen der operationalen Resilienz
• Umgang mit IKT-Drittanbietern
Breites Feld ist betroffen
Betroffen von der Verordnung sind eine Vielzahl von Unternehmen. „Im nächsten Jahr müssen in Deutschland mehr als 3.600 Unternehmen die EU-Verordnung DORA anwenden“, schreibt die BaFin. In Europa sind es mehr als 20.000 Finanzunternehmen. Im Prinzip haben sich daher alle Finanzunternehmen, die auf EU-Ebene reguliert werden, an die Arbeit gemacht. Dazu gehören Kredit- und Zahlungsinstitute, Wertpapierfirmen, Krypto-Asset-Dienstleister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Versicherungsunternehmen und -vermittler, Ratingagenturen, Wirtschaftsprüfungsgesellschaften, Einrichtungen der betrieblichen Altersversorgung, Wertpapier-, Transaktions- und Verbriefungsregister sowie Crowdfunding-Dienstleister.
DORA ist Chefsache
Die Umsetzung von DORA ist eine zentrale Aufgabe und ein multidisziplinäres Projekt, das sich nicht einfach an die IT-Abteilung weiterreichen lässt. „Hier sind auf jeden Fall die Leitungsorgane in der Verantwortung. Das stellt nicht nur eine der Kernanforderungen von DORA dar, sondern ist auch in der praktischen Umsetzung wesentlich. Das Thema sollte zur Chefsache gemacht werden“, rät Schmitz. Sie verweist darauf, dass Resilienz nicht nur als regulatorisches Thema betrachtet werden sollte, „sondern Resilienz stellt einen Selbstzweck in einer immer digitaleren Welt mit steigender Bedrohungslage dar“.
Unter die DORA-Verordnung fallen aber nicht nur die Finanzunternehmen selbst, sondern auch deren Dienstleister. Die sogenannten „kritischen Drittanbieter von Informations- und Kommunikationstechnologien (IKT)“ sind beispielsweise Anbieter von Cloud-Computing-Diensten, Software, Datenanalyse und Rechenzentren. „Folglich sind hiervon die großen Tech-Giganten aus den USA wie Microsoft, IBM, Amazon (AWS) oder Google ebenfalls betroffen. Diese bieten nicht selten Serverkapazitäten für Banken und Versicherungen an“, erklärt MKM Datenschutz Consulting. Auch sie müssen sich mit DORA befassen. „Einige Drittanbieter sind laut eigenen Angaben compliant zu den DORA-Anforderungen. Andere haben Projekte aufgesetzt, um die DORA-Anforderungen zu erfüllen“, beobachtet Schmitz. „Wer schon einmal einen Cyberangriff mitgemacht hat, weiß, wie wichtig Routinen und eingeübte Prozesse in diesem Fall sind“, meint Jan Pohle. Er ist Partner bei der globalen Wirtschaftskanzlei DLA Piper in Köln und berät Unternehmen zu komplexen technologiebezogenen Projekten wie beispielsweise zu Rechtsfragen der Cybersicherheit. „Für den Fall, dass sämtliche Daten auf den IKT-Systemen infolge des Angriffs verschlüsselt sind, dauert die Wiederherstellung der Daten in der Praxis nicht nur Stunden, sondern Tage, wenn nicht Wochen oder Monate. Und wenn es sich um ein produktionsnahes Asset handelt, wo ein Cyberangriff dazu führt, dass die Produktion steht, dann kann das existenzgefährdend wirken“, warnt Pohle. Außerdem wisse man nicht, ob das Virus nicht auch in Datensätzen auf Sicherungskopien versteckt ist, denn häufig wird Schadsoftware bereits Monate vor dem Gau in die Systeme eingebracht.
Krisenplan muss vorliegen
Wichtig sei, im Schadensfall eingeübte Prozesse zu haben, sodass jeder im Unternehmen weiß, was zu tun ist, und kein zu großes Chaos ausbricht. „Wenn die Systeme lahmgelegt sind, müssen nicht nur eingeübte Prozesse ablaufen, sondern beispielsweise auch die wichtigsten Adressen und Telefonnummern ausgedruckt vorliegen, damit man intern schnell kommunizieren und seine wichtigsten Kunden anrufen kann“, meint Pohle.
„Eine gute Vorbereitung auf einen Cyberangriff ist das
A und O. Hier müssen neben der Geschäftsleitung alle relevanten Stellen und Mitarbeiter einbezogen werden“, rät Pohle und nennt ein paar: „Informationssicherheit, in- und externe Rechtsberater, der Datenschutzbeauftragte, die Kommunikationsabteilung, der Einkauf, der die Supply Chain informieren muss, und der Vertrieb, der die Kunden informiert.“ Wichtig sei auch, einen Plan zu haben, wie im Krisenfall der Alarm ausgelöst werden soll – sowohl nach innen als auch nach außen. Klarwerden müsse man sich auch darüber, ob der Fall meldepflichtig ist. „Bei börsengelisteten Unternehmen kann eine Cyberattacke auch ad-hoc-pflichtig sein“, gibt Pohle zu bedenken. Daneben sind Meldepflichten nach dem Daten- und Cybersicherheitsrecht (DORA, NIS 2) zu beachten. Die Kette der Aktionen geht weiter. „Es ist die Frage zu klären, ob man das Erpressungsgeld zahlen wird.“ Dabei sollten unbedingt die Behörden mit ins Boot geholt werden. „Beispielsweise ist zu klären, ob die Angreifer auf einer der Terroristenlisten stehen. In einem solchen Fall verbietet sich die Zahlung grundsätzlich“, so Pohle.
Wer sind die Täter?
Bei den Tätern handelt es sich längst nicht mehr um kleine Angreifer, die von einzelnen Büros aus agieren, sondern um höchst professionell agierende Kriminelle, die teilweise staatlich gelenkt sind. „Bei Angriffen, die aus Russland kommen, geht es unter anderem um die Destabilisierung anderer Kulturen; bei Angriffen aus China spielt eher Wirtschaftsspionage eine tragende Rolle. Um die Erpressung von Geld geht es in den meisten Fällen ebenfalls“, zeichnet Pohle die Gefährdungslage. Bei Asset Managern dürfte Wirtschaftsspionage als mögliches Motiv wegfallen. Ebenso ist das Zeitfenster zu kurz, um durch Datenklau Front-Running oder Ähnliches betreiben zu können.
„Wir schützen uns vor der potenziellen Gefahr, dass uns Daten abgezogen werden, um sie dann weiterzuverkaufen oder Lösegeld zu erpressen“, erklärt Daniel Herzog. Er ist beim Asset Manager Union Investment verantwortlich für IT-Regulatorik und dort auch einer der fachlichen Projektleiter für DORA. Er erklärt, wie die Umsetzung in seinem Haus läuft: „Im September 2023 haben wir ein großes DORA-Projekt gestartet. Los ging es mit einer Vorstudie, in der wir Soll-Soll-Abgleiche und Soll-Ist-Abgleiche vorgenommen haben, um auf dieser Basis Maßnahmen abzuleiten. Jetzt sind wir in der Konzeptionierungs- und Umsetzungsphase. Wir sind zuversichtlich, DORA pünktlich bis zum 17. Januar 2025 umsetzen zu können“, so Herzog.
Dabei sei man auch auf die Mitwirkung der Vertragspartner angewiesen, denn typischerweise hätten Asset Manager viele Aufgaben an IKT-Dienstleister ausgelagert. „Mit allen IKT-Dienstleistern laufen jetzt die Vertragsanpassungen. Bei den ganz großen wie z.?B. Microsoft geht das. Die waren seit jeher gut für den Finanzmarkt aufgestellt und haben schon immer unter anderem Prüf- und Kontrollrechte gewährleistet.“ Bei den kleineren Dienstleistern, den Boutiquen, werde es manchmal schwierig, weil die nicht immer über die großen Organisationsstrukturen verfügen, die benötigt werden.
Alles in allem sei DORA zwar ein dickes Brett, aber machbar, meint Herzog. „Ein Komplexitätstreiber sind auch unsere Tochtergesellschaften im Ausland. Dort müssen wir beispielsweise klären, wie im jeweiligen Land die Meldepflichten auszugestalten sind.“ Herausfordernd sei auch, dass die Dinge bei der technischen Umsetzung teilweise schon in die Zukunft gedacht sind. „Beispielsweise müssen wir auch die Data in Use verschlüsseln, nicht nur die Data in Transit und Data at Rest. Hierzu gibt es aber noch kaum praktikable Lösungen. Daran arbeiten wir jetzt“, sagt Herzog.
Mehrere Themen seien bereits von der KAIT bekannt. „Allerdings wurde bei KAIT vieles auf Basis der Prüfungspraxis erlebt und umgesetzt. Bei DORA werden die Dinge genauer ausdefiniert, da die Regulatory Technical Standards (RTS) hier viel präziser sind“, verweist Herzog auf die Unterschiede der beiden Regulierungen. Er ist der Meinung, dass sich das gesamte Thema Cybersicherheit weiterentwickeln wird. „Es handelt sich hier ja um ein Moving Target“. Auch die Investorenseite reagiere bereits. „Wir stellen fest, dass in den Due-Diligence-Fragebögen der institutionellen Kunden zunehmend auch Fragen nach der Cybersicherheit des Unternehmens gestellt werden“, so Herzog.
Versicherer sehen Doppelregulierung
Auch die Versicherungsunternehmen arbeiten mit Hochdruck an der Umsetzung der DORA-Vorgaben. „Glücklicherweise sind wir nicht bei null gestartet, sondern konnten in vielen Bereichen auf den bestehenden Erwartungen der BaFin in den VAIT aufbauen“, erklärt Jörg Asmussen, Hauptgeschäftsführer des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). Nichtsdestotrotz sei die Zeit knapp. Rund vier Monate vor Anwendungsbeginn seien immer noch einige relevante Rechtsakte nicht final verabschiedet, etwa zum Informationsregister oder zur Unterauftragsvergabe. „Hier gehen die Unternehmen derzeit mit den Vorgaben aus den aktuellen Entwürfen der Rechtsakte in die Vertragsverhandlungen mit IKT-Dienstleistern, um rechtzeitig DORA-Compliance herzustellen“, sagt Asmussen.
Die Sorgen der Versicherungsunternehmen ranken sich unter anderem um die doppelten Vorgaben im Bereich der Ausgliederungen. „Für Versicherer gelten bei der Ausgliederung von Funktionen auf Drittparteien bereits strenge Vorgaben und Anzeigepflichten. DORA sieht für den speziellen Bereich der IKT-Dienstleistungen ebenfalls umfassende Anforderungen vor, die sich teilweise decken, beispielsweise Anzeigepflichten. Derzeit arbeiten die Aufsichtsbehörden an einer Lösung, um doppelte Pflichten im Fall von IKT-Ausgliederungen zu minimieren“, erklärt Asmussen.
Große Versicherungshäuser stehen häufig vor der besonderen Herausforderung, Maßnahmen konzernweit konsistent umzusetzen. Insofern profitieren insbesondere europäische Gruppen von den europaweit einheitlichen Vorgaben der DORA-Verordnung. „Umso wichtiger ist aber, dass bisherige nationale Regelungen und Doppelregulierungen in den Mitgliedsstaaten zukünftig entfallen. Die BaFin hat bereits angekündigt, die nationalen Vorgaben der VAIT für DORA-Anwender zu streichen. Diesen Schritt begrüßen die Unternehmen“, so Asmussen. Er verweist aber auf ein Problem: „Große Unternehmen müssen ab Januar sogenannte Threat Led Penetration Testings durchführen können. Problematisch ist, dass die vorgeschriebenen externen Red Team Tester derzeit nicht in notwendiger Anzahl zur Verfügung stehen. Interne Tester dürfen zwar eingesetzt werden, müssen aber zahlreiche neue Vorgaben erfüllen“, sagt Asmussen. Aber auch die „normalen“ Penetrationstests, die alle Unternehmen einmal im Jahr durchzuführen haben, kommen hier, was die Unterstützung durch externe Anbieter betrifft, an eine Kapazitätsgrenze.
Die Versicherer können bei der Einführung von IKT-Sicherheitsmaßnahmen ihre Erfahrungen gleich auf ihr aktives Geschäft übertragen. Schließlich tut sich mit Cyberpolicen ein interessantes neues Geschäftsfeld auf. Im Jahr 2023 sind die Bruttobeitragseinnahmen im inländischen Direktgeschäft gegenüber 2022 um rund ein Viertel auf 309 Millionen Euro gewachsen. „Für 2024 erwarten wir ein abgeschwächtes Wachstum um rund 15 Prozent“, gibt Asmussen Einblicke in das wachsende Cyberpolicengeschäft der deutschen Versicherer.
Für EbAV zu wenig Proportionalität
„IT-Sicherheit wird immer wichtiger – auch für EbAV“, bestätigt auch Beate Petry, „für viele EbAV, die Unternehmenseinrichtungen sind, hatte die IT-Sicherheit bei den Trägerunternehmen bereits vor DORA einen sehr hohen Stellenwert.“ Petry vertritt die Seite der EbAV. Sie ist Head of Pension & Other Benefits bei BASF SE und designierte Vorstandsvorsitzende der Arbeitsgemeinschaft für betriebliche Altersversorgung e.V. (aba) (siehe Interview mit ihr in diesem Heft). Sie beklagt den weitgehend einheitlichen Maßstab, den DORA an alle Finanzmarktteilnehmer anlegt, nahezu ohne Berücksichtigung der Proportionalität. „Diese EU-Verordnung und ihre Flut an detaillierten Level-II- und -III-Regulierungen werden auch auf EbAV angewendet. Dadurch müssen aufwendige Prozesse und Dokumentationspflichten erfüllt werden, die nicht unbedingt passen.“ Sie meint, dass es mehr Spielräume für eine proportionale, risikoangemessene Aufsichtspraxis geben sollte.
100 Prozent Sicherheit gibt es nicht
Ob die Unternehmen des Finanzsektors es schaffen, durch die in DORA vorgesehenen Maßnahmen mit ihrer Cybersicherheit „vor die Welle“ zu kommen, ist keineswegs sicher. „Es wäre naiv zu glauben, dass man es hinbekommt, dass eine rechtliche Regulierung einen Cyberangriff vermeiden kann. Auch DORA kann lediglich helfen, Risiken zu minimieren. Mit einem State-of-the-Art-Risikomanagement haben Sie eine leidlich gute Chance, relativ unbeschadet aus einer Cyberattacke rauszukommen – wenn es gut läuft“, dämpft Pohle die Hoffnungen auf 100 Prozent Sicherheit.
Anke Dembowski