:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DORA stärkt die Widerstandsfähigkeit von Unternehmen Cyber-Sicherheit in der EU mit dem Digital Operational Resilience Act
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Eine aktuelle Sicherheitslücke demonstriert die zunehmende Bedrohung von Cyber-Attacken für den Finanzsektor. Ein neuer Gesetzesentwurf soll nun die Widerstandsfähigkeit von europäischen (Finanz)Unternehmen stärken.
Von einer Sicherheitslücke in der Datenübertragungssoftware „MOVEit“ sind aktuell mehr als 40 Länder betroffen, allein in Deutschland mehr als 100 Unternehmen – Tendenz steigend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Datenabflüsse bestätigt und auch die US-amerikanische Cyber-Sicherheitsbehörde CISA und die britische Cyber-Sicherheitsbehörde warnen vor der Sicherheitslücke.
MOVEit wird unter anderem in der Finanzbranche genutzt. Dass Finanzunternehmen als Teil der kritischen Infrastruktur besonders von Cyber-Attacken bedroht sind, zeigt eine Untersuchung des Sicherheitsunternehmens Yeswehack: So waren 93 Prozent aller Finanzunternehmen in der DACH-Region im Jahr 2022 regelmäßig Opfer von Hacker-Angriffen.
Einheitliche Regeln mit DORA
Im europäischen Raum existiert jedoch kein einheitlicher Rechtsrahmen, um die Cyber-Sicherheit im Finanzsektor zu organisieren. Mit dem „Digital Operational Resilience Act“ (DORA) möchte die Europäische Union (EU) nun die Regelungen harmonisieren und europäische Finanzunternehmen und deren Dienstleister für Informations- und Kommunikationstechnologie (IKT) gegen Cyber-Attacken wappnen. Durch DORA soll sichergestellt werden, dass die Unternehmen über angemessene Sicherheitssysteme verfügen, damit der Betrieb im Fall eines Angriffs reibungslos weiterlaufen kann.
Mit der neuen EU-Verordnung werden die Regelungen zur Cyber-Sicherheit nicht nur unternehmensübergreifend harmonisiert, sondern auch grenzübergreifend. Mitgliedstaaten haben mit der Verabschiedung von DORA keinen Anlass mehr, im Alleingang nationale Vorschriften und Standards zu erlassen.
Vor allem international tätige Finanzunternehmen erhalten dadurch Rechtsklarheit zu Vorschriften für digitale Resilienz. Die Verordnung ist am 16. Januar dieses Jahres in Kraft getreten und wird am 17. Januar 2025 angewendet.
Änderungen auch für IKT-Drittdienstleister
Es ist zu erwarten, dass die Verordnung mehr als 22.000 Unternehmen betreffen wird. Dabei gilt DORA nicht nur für alle auf EU-Ebene regulierten Finanzunternehmen, wie Banken, Kreditinstitute, Ratingagenturen und Anbieter von Krypto-Dienstleistungen, sondern auch für Unternehmen die IKT-bezogene Dienstleistungen für diese Finanzunternehmen erbringen.
Zu diesen IKT-Drittdienstleistern zählen beispielsweise Cloud-Speicheranbieter. Ziel ist es, Cyber-Bedrohungen entlang der gesamten Wertschöpfungskette zu mindern. Denn die Cyber-Sicherheit großer Unternehmen kann auch durch Schwachstellen in den Netzwerken der Dienstleister bedroht sein, wenn Hacker dadurch Zugriff auf sensible Daten erhalten.
Um den Anforderungen von DORA bis zum Januar 2025 nachzukommen, müssen alle betroffenen Unternehmen Sicherheitsmaßnahmen in fünf Bereichen vornehmen:
- im IKT-Risiko-Management,
- in der Berichterstattung über IKT-bezogene Vorfälle,
- im Management des IKT-Drittparteienrisikos,
- in der digitalen operationellen Widerstandsfähigkeit
- und dem Informationsaustausch.
Das IKT-Risiko-Management
DORA verpflichtet Unternehmen dazu, einen umfassenden Rahmen für das IKT-Risiko-Management zu schaffen und diesen zu dokumentieren. Dazu gehört die Entwicklung von geeigneten Plänen, um auf mögliche digitale Störungen vorbereitet zu sein, sowie die Nutzung von IKT-Systemen, die anormale Aktivitäten sofort erkennen.
Berichterstattung über IKT-bezogene Vorfälle
Zukünftig müssen alle IKT-bezogenen Vorfälle unverzüglich an die zuständigen EU-Behörden gemeldet werden. Dazu sollte ein Management-Prozess eingerichtet werden, der Vorfälle überwacht und protokolliert. Das inkludiert Pläne zur Klassifizierung, Bewältigung und Berichterstattung dieser Vorfälle.
Management des IKT-Drittparteienrisikos
Bei vertraglichen Vereinbarungen müssen Finanzunternehmen und IKT-Dienstleister Regelungen zum Abschluss, zur Erfüllung und Beendigung des Arbeitsverhältnisses nachkommen. Außerdem etabliert DORA einen Aufsichtsrahmen für kritische IKT-Dienstleister, die entscheidend zur Betriebsfähigkeit des Finanzsektors beitragen. Diese werden zukünftig durch die European Supervisory Authorities (ESA) überwacht. Eine Liste kritischer IKT-Anbieter wird jährlich veröffentlicht.
Digitale operationelle Widerstandsfähigkeit
Ab sofort sollten Unternehmen Programme implementieren, die regelmäßig die Abwehrbereitschaft und Schwachstellen des IT-Sicherheitssystems testen. Werden bei den Tests Lücken erkannt, müssen umgehend Strategien zur Klassifizierung und Behebung erarbeitet werden. Je nach Größe und Risikoprofil des Unternehmens bestehen verschiedene Anforderungen an diese Tests. So werden für kleinere Unternehmen Standardtests der IKT-Werkzeuge und -Systeme genutzt, für größere Häuser hingegen Tests auf der Grundlage von Threat-Led Penetration Testing (TLPT).
Informationsaustausch
Nicht nur die Unternehmen melden zukünftig IKT-bezogenen Vorfälle, sondern die EU-Aufsichtsbehörden teilen ihrerseits relevante anonymisierte Informationen über Cyber-Risiken. DORA ermöglicht Finanzunternehmen zudem, Vereinbarungen zum Austausch von Informationen über Cyber-Bedrohungen zu treffen. Durch den Informationsaustausch soll das Bewusstsein für IKT-Risiken gestärkt und Methoden zur Erkennung von Bedrohungen optimiert werden.
So werden Unternehmen DORA-konform
Um alle Anforderungen der Verordnung bis 2025 zu erfüllen, sollten Finanzunternehmen und IKT-Dienstleister zunächst umfangreiche Gap-Analysen durchführen. Dabei wird die eigene IT-Sicherheit auf Lücken geprüft. Fallen hier Schwachstellen auf, sollte ein sicheres Netzwerk auf Basis eines stabilen Schwachstellen-Managements und automatisierten Penetrationstests eingerichtet werden.
Schwachstellen-Management-Tools führen regelmäßige, professionelle Scans durch und schlagen Alarm, wenn etwas mit einer Konfiguration nicht stimmt oder Passwörter unsicher sind. Werden Sicherheitslücken bereits mit einem etablierten Schwachstellenmanagement-Prozess kontrolliert, sind im nächsten Schritt Penetrationstests (auch Pentesting genannt) sinnvoll.
Beim Pentesting wird die Vorgehensweise von Hackern imitiert und Exploits werden ausgeführt. Schwachstellen werden also tatsächlich ausgenutzt und es kann ermittelt werden, welcher Schaden daraus entstehen würde. Sicherheitslücken, die auf dem ersten Blick nicht bedrohlich aussehen, können sich nämlich als äußerst kritisch erweisen. Herkömmliche Schwachstellen-Scanner haben nicht die Fähigkeit, dies zu ermitteln.
SIEM-Werkzeuge
Eine weitere Maßnahme zur DORA-Konformität sind sogenannte SIEM-Tools. Das Security Information and Event Management (SIEM) ist eine automatisierte Sicherheitstechnik, welche Daten auf Anomalien prüft – und zwar in Echtzeit. SIEM-Tools sind fester Bestandteil von Security Operation Centers.
Ein SOC besteht aus einem unternehmensinternen oder externen Team von IT-Sicherheitsexperten, die das IT-Netzwerk eines Unternehmens überwachen – rund um die Uhr. So wird sichergestellt, dass Bedrohungen auf Anhieb erkannt werden und der größtmögliche Schaden aufgrund der schnellen Reaktion abgewendet werden kann.
Die Umsetzung von DORA bedeutet für die betroffenen Unternehmen Abstimmungs-, Schulungs- und Implementierungsaufwände. Daher sollten Finanzinstitute und IKT-Dienstleister so früh wie möglich angemessene Sicherheitsmaßnahmen implementieren. Und am Ende bietet sich mit DORA die Chance auf langfristige Cyber-Sicherheit: Denn ein Schaden durch Cyber-Attacken verursacht höhere Kosten als die Investition in Sicherheitsmaßnahmen.
*Der Autor
Sebastian Brabetz ist in der Geschäftsleitung bei der Mod IT GmbH für die Professional Security Solutions verantwortlich. Er ist als „Offensive Security Certified Professional“ sowie als „Tenable Certified Security Engineer“ zertifiziert und hat darüber hinaus zwei Bücher zum Thema „Penetration Testing“ veröffentlicht.
Bildquelle: Mod IT Services GmbH
(ID:49621046)
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/9e/9b/9e9ba81c45b650d7c5879c9a2068d72e/0113101946.jpeg "Der Digital Operational Resilience Act der EU bietet die Gelegenheit, die Sicherheit und Stabilität der Finanzsysteme zu stärken. (Bild: mixmagic - stock.adobe.com)")