.png)
BT und Illumio: Vereinfachung der DORA-Compliance
Die Zahl der Cyberangriffe auf europäische Finanzinstitute hat sich im Jahr 2023 verdoppelt – ein deutlicher Hinweis darauf, wie die Risiken in diesem Sektor zunehmen. Dieser Anstieg macht deutlich, dass der Digital Operational Resilience Act (DORA) nicht nur wichtig ist, sondern auch entscheidend ist, um Finanzunternehmen dabei zu helfen, sich gegen Bedrohungen zu verteidigen und sich schnell zu erholen.
In einem kürzlich durchgeführten Webinar teilten Raghu Nandakumara, Senior Director of Industry Solutions Marketing bei Illumio, und Justin Craigon, Senior Consultancy Specialist bei BT, ihr Fachwissen über das Management von IKT-Risiken und die Vorbereitung auf die Frist von DORA am 17. Januar 2025.
Finanzdienstleistungen sind wegweisend
"Der Bankensektor war schon immer an vorderster Front in Sachen Sicherheit. Gesetze wie NIS2 und DORA treiben den Wandel voran und stärken die Abwehrmechanismen", sagt Justin.
Doch die Denkweise ändert sich. Unternehmen erkennen an, dass es zu Sicherheitsverletzungen kommen wird. Der Fokus liegt nun auf der Frage: "Was muss ich am meisten schützen, wenn Angreifer eindringen?" Die Priorisierung kritischer Assets ist der Schlüssel zur Schadensbegrenzung.
"Die Zeiten der traditionellen Perimeterverteidigung sind vorbei. Der Perimeter hat sich verschoben, und es ist keine einfache Blase mehr, die man zeichnen kann." – Justin Craigon, BT
Jüngste Angriffe belegen die Notwendigkeit von Resilienz
Selbst die größten Banken der Welt sind nicht immun. Die ICBC wurde zweimal Opfer – im November 2023 und erneut im Oktober 2024. "Irgendwann wirst du getroffen", sagt Justin. Das Ziel ist nicht nur, jeden Angriff zu stoppen, sondern auch den Schaden zu kontrollieren, wenn er passiert.
Raghu fügt hinzu, dass die Finanzdienstleistungsbranche so stark vernetzt ist, dass ein Verstoß in einem Unternehmen globale Auswirkungen haben kann. "Wenn ein Unternehmen betroffen ist, kann dies einen Dominoeffekt auslösen, der sich über Grenzen ausbreitet und die Märkte stört. Das ist es, was DORA verhindern soll."
Von der Prävention bis zur Resilienz
Unternehmen müssen akzeptieren, dass Angriffe unvermeidlich sind, und entsprechend planen.
"Wie die ICBC gezeigt hat, bedeutet das nicht, dass man nicht wieder ein Ziel sein wird, wenn man einmal getroffen wird", sagt Raghu.
Der Wandel geht in Richtung Resilienz. "Vorbeugen reicht nicht mehr aus", betont Justin. Unternehmen benötigen solide Incident-Response-Pläne. Eine schnelle Wiederherstellung ist genauso wichtig wie das Stoppen des Angriffs selbst.
Die 5 Säulen der DORA-Compliance
Um DORA einzuhalten, müssen sich Unternehmen auf diese fünf Schlüsselbereiche konzentrieren:
- Risikomanagement: "Es geht darum, auf alles vorbereitet zu sein", sagt Justin. Klare Krisenpläne sind unerlässlich.
- Management von Vorfällen: Wenn es zu einem Angriff kommt, kann der Schaden für kritische Systeme schnell begrenzt werden, indem man ihn eindämmt.
- Prüfung der Belastbarkeit: "Hoffen Sie nicht nur, dass Sie sicher sind, sondern testen Sie Ihre Systeme", rät Justin. Regelmäßige Tests finden Schwachstellen, bevor es Angreifer tun.
- Betriebliche Resilienz: Schützen Sie die wichtigsten Teile Ihres Unternehmens. "Man kann nicht alles stoppen, aber man kann den Schaden minimieren", bemerkt Justin.
- Meldung von Vorfällen: Seien Sie transparent in Bezug auf Vorfälle und schützen Sie gleichzeitig vertrauliche Informationen.
Wie DORA den Schaden begrenzt
"DORA trägt dazu bei, den Schaden einer Sicherheitsverletzung sowohl durch technische Korrekturen als auch durch Richtlinien zu begrenzen", erklärt Justin. Sie drängt Unternehmen dazu, technische Standards und Best Practices einzuführen, um die Auswirkungen von Angriffen zu reduzieren.
"Es ist, als würde man die Schottentüren in einem U-Boot schließen, um zu verhindern, dass sich Wasser ausbreitet." Ziel ist es, den Angriff einzudämmen, laterale Bewegungen zu stoppen und zu verhindern, dass sich Probleme in der Lieferkette auf Sie und Ihre Kunden auswirken.
Priorisierung dessen, was wichtig ist
DORA legt Wert auf Verhältnismäßigkeit. "Man erwartet nicht, dass man alles schützt", sagt Raghu. DORA ermöglicht es Unternehmen, Prioritäten zu setzen, was wichtig ist, anstatt von ihnen zu verlangen, dass sie ihre Ressourcen zu dünn verteilen.
Justin stimmt zu: "Es ist nicht wie bei anderen Frameworks, bei denen man entweder besteht oder scheitert. Es geht darum, Prioritäten zu setzen. Sie müssen wissen, wo sich Ihre kritischen Funktionen befinden." DORA hilft Unternehmen, ihre Ressourcen sinnvoll einzusetzen.
Management von Risiken in der Lieferkette
Das Risiko in der Lieferkette ist ein weiteres wichtiges Anliegen, mit dem sich DORA befasst. Unternehmen sind auf Drittanbieter angewiesen, die zu Schwachstellen werden können. "Wenn Ihr Lieferant betroffen ist, kann sich das auch auf Sie auswirken", warnt Justin. Regelmäßige Überprüfungen und das Management kritischer Lieferanten sind notwendig.
Ein Hauptrisiko ist die übermäßige Abhängigkeit von einem einzigen Anbieter. "Wenn alle deine Eier in einem Korb sind, verlangst du Ärger", sagt Justin. Unternehmen sollten ihre Risiken streuen, indem sie auf mehrere Anbieter zurückgreifen.
Testen von Abwehrmaßnahmen
Regelmäßige Tests decken Schwachstellen in der Abwehr eines Unternehmens auf. "Gehen Sie von einer Sicherheitsverletzung aus – tun Sie so, als ob die Angreifer bereits drinnen wären, und sehen Sie, wie weit sie kommen können", rät Justin. Diese Tests zeigen mögliche Schwachstellen auf.
In einem Fall verletzte das Penetrationsteam von BT 400 von 800 Servern aufgrund schlechter Segmentierung. Regelmäßige Tests schärfen das Bewusstsein und stärken die Abwehrkräfte, wodurch laterale Bewegungen und die Ausbreitung von Angriffen gestoppt werden.
Verantwortlichkeit an der Spitze
DORA stellt sicher, dass die Verantwortung für die Resilienz nicht nur bei den IT-Teams liegt. DORA macht Resilienz zu einer Verantwortung auf Vorstandsebene.
"Letzten Endes ist der Vorstand dafür verantwortlich, das Geschäft am Laufen zu halten", erklärt Justin.
Dieser Top-down-Ansatz stellt sicher, dass die Resilienz in die gesamte Geschäftsstrategie integriert wird. Wenn der Vorstand einbezogen wird, wird die Resilienz zu einem zentralen Bestandteil des Betriebs – nicht nur ein Compliance-Kontrollkästchen.
Wichtige Erkenntnisse für die DORA-Compliance
Um die Anforderungen von DORA zu erfüllen, müssen Unternehmen:
- Schützen Sie ihre wichtigsten Funktionen , indem Sie Ihre Ressourcen auf das Wesentliche konzentrieren.
- Testen Sie regelmäßig Systeme , um Schwachstellen zu finden und zu beheben.
- Managen Sie Risiken in der Lieferkette , indem Sie Drittanbieter regelmäßig überprüfen.
- Beziehen Sie den Vorstand in die Resilienzplanung ein, um sie an den Geschäftszielen auszurichten.
"Es geht nicht darum, ob ein Cyberangriff stattfinden wird, sondern wann. Unternehmen müssen darauf vorbereitet sein, stark und operativ zu bleiben, wenn dieser Moment gekommen ist." – Raghu Nandakumara, Illumio
Die Zukunft der Cybersicherheit gestalten
DORA verändert die Art und Weise, wie Finanzinstitute und ihre Lieferanten über Sicherheit denken. DORA konzentriert sich nicht nur auf die Prävention, sondern fördert die Resilienz. Durch den Schutz wichtiger Systeme, das Testen von Abwehrmaßnahmen und das Management von Risiken in der Lieferkette können Finanzunternehmen auf die nächste Cyberbedrohung vorbereitet sein.
Sehen Sie sich die Vollständiges On-Demand-Webinar für mehr darüber, wie DORA den Wandel im Finanzsektor vorantreibt.
Möchten Sie tiefer in die DORA-Compliance eintauchen? Laden Sie unser E-Book "Strategies for DORA Compliance: The Key Role of Microsegmentation" herunter. Erfahren Sie, wie Mikrosegmentierung die Sicherheit Ihres Unternehmens grundlegend verändern kann. Holen Sie sich jetzt Ihr kostenloses Exemplar.
.webp)
