Cybersicherheit: Mit DORA zur proaktiven Resilienz

Ergreifen Unternehmen in der Finanzbranche nicht die erforderlichen Maßnahmen zur proaktiven Cybersicherheit, sind die Konsequenzen oft kaum abzuschätzen. Datendiebstahl, Betrugsfälle und Geschäftsunterbrechungen sind dabei nur einige der Gefahren. So mussten etwa erst im Juli 2023 mehrere deutsche Großbanken öffentlich einräumen, dass sie Opfer eines Hackerangriffs auf einen Dienstleister für den Kontowechsel waren. Dabei sind Tausende personenbezogene Kundendaten in unbefugte Hände gelangt, darunter Vornamen, Namen und Kontonummern. Die Angreifer wählten dabei den Weg über die IT-Peripherie und nutzten eine Schwachstelle in einer Dateitransfer-Software aus. Für die Attacke wählten sie das „Schrotflinten-Prinzip“, einen unspezifischen Angriffsmodus, bei dem sie zwar nicht zu den sensibelsten Systemen vordringen, aber eine Vielzahl an Unternehmen treffen und große Mengen an Daten erbeuten.

Vorfälle wie dieser unterstreichen eindrücklich, dass das Ignorieren von Cyberrisiken nicht nur finanzielle Auswirkungen haben kann. Sondern auch das Kundenvertrauen und die Integrität des gesamten Finanzsystems bedroht. Angesichts der steigenden Anforderungen und Vorschriften wie dem Digital Operational Resilience Act (DORA) ist es unerlässlich, dass Finanzunternehmen proaktive Ansätze zur Bedrohungserkennung und -abwehr entwickeln. Mit dem Ziel, ihre digitale Resilienz zu stärken und das Vertrauen ihrer Kunden und der breiteren Öffentlichkeit zu wahren.

Cybersicherheit: Von Reaktion zu Prävention

Die Sicherheitslandschaft der Finanzbranche hat sich in jüngster Zeit dramatisch verändert – ein Paradigmenwechsel zeichnet sich ab. Die herkömmlichen, reaktiven Cybersicherheitsstrategien werden allmählich von einer proaktiven Bedrohungserkennung und -abwehr abgelöst. Statt sich ausschließlich darauf zu konzentrieren, Angriffe zu bewältigen, setzen führende Finanzunternehmen verstärkt auf Vorkehrungen, die potenzielle Bedrohungen frühzeitig identifizieren und entschärfen, bevor sie sich in verheerende Angriffe verwandeln.

Diese datengestützten Strategien nutzen hochentwickelte Technologien wie Machine Learning, Analytik und künstliche Intelligenz. Damit lassen sich verdächtige Aktivitäten überwachen und Muster erkennen. ML und KI-gestützte Analytik schaffen Sicherheitssysteme, die in der Lage sind, selbst in großen Datenmengen verdächtiges Verhalten zu identifizieren und Angriffsmethoden zu überlisten. Die Vorhersage und die Identifikation von Anomalien in Echtzeit werden so erheblich erleichtert.

Die Bedeutung der proaktiven Cybersicherheit reicht also weit über die bloße Abwehr von Angriffen hinaus. Sie ist ein grundlegendes Element der digitalen Resilienz eines Unternehmens. Statt lediglich die Herausforderungen zu meistern, gehen Betroffene gestärkt aus diesen Vorfällen. In einer Ära, in der eine zunehmende Vernetzung und Digitalisierung das Fundament der Finanzbranche bilden, dient die proaktive Cybersicherheit als unsichtbarer Schutzschild und Eckpfeiler der widerstandsfähigen und nachhaltigen digitalen Finanzlandschaft.

DORA eröffnet neue Ära der digitalen Resilienz

DORA steht im Mittelpunkt eines transformierenden Ansatzes zur Stärkung der Cybersicherheit in der Finanzbranche. Die Verordnung verlagert den Fokus weg von der finanziellen Widerstandsfähigkeit des Sektors hin zur Resilienz der IT-Systeme und betrifft etwa 22.000 Finanzunternehmen in Europa. Dazu zählen Banken, Versicherer, Krypto-Anbieter und Versicherungsvermittler ebenso wie Informations- und Kommunikationstechnologie-Drittdienstleister. Die Verordnung, verabschiedet im Januar 2023, verpflichtet sie zu einheitlichen Sicherheitsstandards. Damit soll der Finanzsektor europaweit innerhalb von zwei Jahren widerstandsfähiger gegenüber Datenlecks, DDoS-Angriffen und Insider-Bedrohungen werden.

Ein Schwerpunkt liegt auf dem IKT-Risikomanagement und der Risikoanalyse von Drittanbietern: Finanzunternehmen müssen belastbare IKT-Systeme und Werkzeuge einrichten, um kritische Funktionen zu identifizieren, zu klassifizieren und zu dokumentieren. Sie müssen auch potenzielle IKT-Risiken überwachen, Präventionsmaßnahmen etablieren und im Ernstfall schnell reagieren können. Zudem sollen sie aus Vorfällen lernen. Bei Drittparteien ist es wichtig, Risiken der Inanspruchnahme von IKT-Drittanbietern zu überwachen und Verträge entsprechend zu gestalten.

Cybersicherheit: Implementierung proaktiver Ansätze

Doch die Implementierung proaktiver Cybersicherheitsansätze in der Finanzbranche bringt eine Reihe von Herausforderungen mit sich. Denn von reaktiven auf präventive Maßnahmen umzustellen, erfordert nicht nur technologische Anpassungen, sondern auch eine kulturelle Veränderung innerhalb der Organisationen. Die Integration von Machine Learning und KI zum Beispiel eröffnet zwar neue Möglichkeiten, stellt aber auch Anforderungen an Fachwissen und Ressourcen. Zudem müssen Unternehmen den sich ständig wandelnden Bedrohungslandschaften immer einen Schritt voraus sein und gleichzeitig sicherstellen, dass Datenschutz und Compliance gewahrt bleiben.

Bis zum Stichtag von DORA am 17. Januar 2025 muss einiges geschehen. So sollten Finanzinstitute zügig GAP-Analysen durchführen, um ihren Stand in Bezug auf DORA zu bewerten. Und um Bereiche zu identifizieren, die weitere Investitionen erfordern. Anschließend stehen anspruchsvolle Anforderungen wie Third Party Risk Management und fortgeschrittene Sicherheitstests an. Neuartige Aspekte wie Threat Intelligence und Threat-led Penetration Tests bedürfen dabei besonderer Aufmerksamkeit. Damit das Projekt aber vollumfänglich greift, ist eine enge Kooperation und gleichzeitig kritische Auseinandersetzung mit IKT-Drittanbietern entscheidend, insbesondere für kritische Geschäftsdienstleistungen. DORA sollte als Impuls für die Verbesserung der Widerstandsfähigkeit genutzt werden. Diese dient schließlich nicht der bloßen Einhaltung von Regulierung – in einer zunehmend vernetzten Welt ist sie vor allem ein Wettbewerbsvorteil.

Über den Autor: Philipp Schulz ist Director im Geschäftsbereich Risk & Regulatory bei PwC Deutschland in Düsseldorf und EMEA und deutschlandweit verantwortlich für das Thema Digital Operational Resilience Act (DORA). In seiner Funktion leitet er IT-Assurance- und Cyber-Beratungsprojekte für Kunden aus dem Finanzdienstleistungssektor. Zusätzlich ist er Certified Information Systems Auditor (CISA) und verfügt über die Prüfverfahrenskompetenz für § 8a des BSI-Gesetzes. (sg)

Lesen Sie auch: KI-Zertifizierung: PwC Deutschland und Dekra gründen Joint-Venture