Informationssicherheit & Digital Operational Resilience Act: Herausforderungen & Trends
Der Digital Operational Resilience Act (DORA) steht derzeit im regulatorischen Mittelpunkt des Finanzsektors, insbesondere für Finanzunternehmen in der Europäischen Union. Die Verordnung zielt darauf ab, die operationelle Resilienz von Finanzunternehmen zu stärken und sie gegen Cyberbedrohungen und IT-Störungen abzusichern. Damit steht neben der finanziellen Widerstandsfähigkeit nun besonders auch die Sicherheit der Informationssysteme im Mittelpunkt der Regulatorik. In diesem Beitrag gehen wir auf die Bedeutung der Informationssicherheit für EXCON ein und zeigen im Interview mit IT-Leiter Markus Heiß die größten Herausforderungen und Trends auf.
Informationssicherheit bei EXCON
Informationssicherheit ist für Unternehmen wie EXCON von zentraler Bedeutung. Der Schutz sensibler Daten und die Integrität der Systeme sind entscheidend für den Geschäftserfolg und das Vertrauen von Mitarbeitern, Kunden und Partnern. EXCON hat daher eine Vielzahl von Maßnahmen implementiert, um die Informationssicherheit zu gewährleisten:
- Technische Maßnahmen: Regelmäßige Aktualisierung und Überwachung der IT-Infrastruktur, Implementierung von Firewalls, Intrusion Detection and Prevention Systems (IDPS), Verschlüsselung sensibler Daten und Nutzung von Anti-Malware-Programmen.
- Organisatorische Maßnahmen: Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001, regelmäßige Schulungen der Mitarbeiter, strenge Zugangskontrollen und regelmäßige Sicherheitsüberprüfungen und Audits.
- Incident-Response-Protokolle: Ein klar definiertes Protokoll ermöglicht schnelle und effektive Reaktionen auf Sicherheitsvorfälle, einschließlich Identifikation, Eindämmung, Behebung und anschließender Analyse.
Das Management spielt eine entscheidende Rolle bei der Sicherstellung der Informationssicherheit. Es setzt die strategischen Prioritäten, stellt die notwendigen Ressourcen bereit und fördert eine Sicherheitskultur im gesamten Unternehmen. EXCON folgt dabei nicht nur den Standards wie ISO 27001 und DSGVO, sondern entwickelt auch unternehmensspezifische Richtlinien, die auf die speziellen Anforderungen zugeschnitten sind.
Experteninterview zur Informationssicherheit mit IT-Leiter Markus Heiß
Als Experte für Informationssicherheit und IT-Leiter von EXCON hat Markus Heiß uns im Interview einen tieferen Einblick in die Praxis gegeben. Im Fokus des Interviews standen dabei die Herausforderungen für das Unternehmen sowie Lessons Learned im Bereich Informationssicherheit.
Welche Herausforderungen sehen Sie in der Zukunft im Bereich der Informationssicherheit?
Markus Heiß: Eine der größten Herausforderungen ist die sich ständig weiterentwickelnde Bedrohungslandschaft. Cyberkriminelle werden immer raffinierter, und es ist eine ständige Herausforderung, ihnen einen Schritt voraus zu sein. Zudem stellen die zunehmende Vernetzung und Digitalisierung weitere Risiken dar, die es zu managen gilt.
Wie wichtig ist für EXCON die Einhaltung gesetzlicher Vorschriften und Standards im Bereich Informationssicherheit?
Markus Heiß: Die Einhaltung gesetzlicher Vorschriften und Standards ist für uns von höchster Priorität. Dies hilft nicht nur, rechtliche und finanzielle Konsequenzen zu vermeiden, sondern auch und insbesondere, das Vertrauen unserer Kunden und Partner zu stärken.
Welche Maßnahmen sind im Hinblick auf Ihre Sicherheitsstrategie besonders wichtig?
Markus Heiß: Es ist wichtig, sowohl technische als auch organisatorische Maßnahmen kontinuierlich zu überprüfen und anzupassen. Wir haben beispielsweise in den vergangenen Jahren unsere Überwachungssysteme stetig erweitert und striktere Zugangskontrollen eingeführt. Zudem haben wir unsere Zusammenarbeit mit externen Sicherheitsexperten intensiviert, um sicherzustellen, dass wir stets über die neuesten Bedrohungen und Abwehrmaßnahmen informiert sind.
Mit welchen langfristigen Veränderungen werden Sie den heutigen Anforderungen an die Informationssicherheit gerecht?
Markus Heiß: Langfristig haben wir eine Kultur der kontinuierlichen Verbesserung etabliert. Wir führen regelmäßige Lessons-Learned-Workshops durch, um aus jeder Situation zu lernen und unsere Sicherheitsstrategie kontinuierlich weiterzuentwickeln. Zudem ist die Rolle eines Informationssicherheitsbeauftragten (ISB) in unserer Unternehmensstruktur maßgeblich, um die Informationssicherheit auf höchster Ebene zu verankern.
Wie bewerten Sie das Risiko durch Insider-Bedrohungen für Unternehmen und welche Schritte hat EXCON zum Schutz davor implementiert?
Markus Heiß: Insider-Bedrohungen beziehen sich auf Sicherheitsrisiken, die von Personen innerhalb einer Organisation ausgehen. Diese Bedrohungen gehen von aktuellen oder ehemaligen Mitarbeitern, Vertragspartnern oder Geschäftspartnern aus. Sie stellen ein erhebliches Risiko für jedes Unternehmen dar, da sie oft schwer zu erkennen sind. Wir minimieren dieses Risiko umfassend durch strenge Zugangskontrollen, regelmäßige Überprüfungen und Schulungen der Mitarbeiter sowie durch den Einsatz von Überwachungssystemen, die ungewöhnliches Verhalten erkennen.
10 Trends im Bereich Informationssicherheit
Auch in Zukunft bleibt das Thema Informationssicherheit durch stetig neue oder sich ändernde Voraussetzungen herausfordernd für Unternehmen. Trends müssen dabei stets im Blick behalten und frühzeitig erkennt werden. EXCON IT-Leiter Markus Heiß hat für uns die Top-Trends zusammengefasst. Wir stellen Sie Ihnen hier auch als Infografik zum Download zur Verfügung:
- Zunehmende Komplexität der Cyberbedrohungen: Die Bedrohungslandschaft wird immer komplexer und ausgeklügelter. Cyberkriminelle setzen vermehrt auf künstliche Intelligenz und maschinelles Lernen, um Angriffe zu automatisieren und zu verfeinern. Unternehmen müssen ihre Sicherheitsmaßnahmen ständig weiterentwickeln und modernisieren, um diesen neuen Bedrohungen begegnen zu können.
- Cloud-Sicherheit und hybride Arbeitsmodelle: Mit der verstärkten Nutzung von Cloud-Diensten und der Verlagerung hin zu hybriden Arbeitsmodellen, bei denen Mitarbeiter sowohl im Büro als auch remote arbeiten, stehen Unternehmen vor neuen Sicherheitsherausforderungen. Es wird zunehmend wichtiger, robuste Sicherheitsmaßnahmen zu implementieren, die den sicheren Zugang zu Cloud-Ressourcen und die Absicherung von Remote-Arbeitsplätzen gewährleisten.
- Zero Trust Security: Das Zero Trust-Modell gewinnt an Bedeutung. Es basiert auf dem Prinzip "niemals vertrauen, immer überprüfen" und erfordert strenge Authentifizierungs- und Autorisierungsprozesse für alle Zugriffe auf Unternehmensressourcen. Die Implementierung von Zero Trust erfordert eine umfassende Überarbeitung der bestehenden Sicherheitsarchitekturen und stellt eine erhebliche Herausforderung dar.
- Erweiterte Regulierung und Compliance-Anforderungen: Die regulatorischen Anforderungen im Bereich Datenschutz und Informationssicherheit werden weiter zunehmen. Unternehmen müssen sich auf eine strengere Einhaltung von Datenschutzgesetzen wie der DSGVO und neuen Vorschriften wie dem Digital Operational Resilience Act (DORA) einstellen. Dies erfordert kontinuierliche Anpassungen und Überprüfungen der Compliance-Maßnahmen.
- Künstliche Intelligenz und Automatisierung in der Cybersicherheit: Künstliche Intelligenz und Automatisierung werden eine immer größere Rolle in der Cybersicherheit spielen. Sie können helfen, Bedrohungen schneller zu erkennen und darauf zu reagieren. Gleichzeitig müssen Unternehmen sicherstellen, dass ihre KI-Systeme sicher und zuverlässig sind, um keine zusätzlichen Risiken zu schaffen.
- Schutz von IoT-Geräten und industriellen Kontrollsystemen: Mit der zunehmenden Vernetzung von Geräten im Internet of Things (IoT) und industriellen Kontrollsystemen (ICS) steigt auch das Risiko für Cyberangriffe auf diese Systeme. Unternehmen müssen spezielle Sicherheitsmaßnahmen entwickeln, um diese Geräte und Systeme vor Angriffen zu schützen.
- Cyber-Resilienz und Notfallwiederherstellung: Die Fähigkeit, sich schnell von Cyberangriffen zu erholen, wird immer wichtiger. Unternehmen müssen ihre Notfallwiederherstellungspläne und -prozesse regelmäßig testen und aktualisieren, um sicherzustellen, dass sie im Ernstfall schnell und effektiv reagieren können.
- Mitarbeiterschulung und -bewusstsein: Menschliches Versagen bleibt eine der größten Schwachstellen in der Informationssicherheit. Es wird immer wichtiger, kontinuierliche Schulungs- und Sensibilisierungsprogramme für Mitarbeiter durchzuführen, um das Bewusstsein für Sicherheitsbedrohungen zu schärfen und Best Practices zu fördern.
- Datenschutz und Datensouveränität: Datenschutz wird weiterhin ein zentrales Thema bleiben. Verbraucher und Regierungen fordern mehr Kontrolle über persönliche Daten. Unternehmen müssen transparent und verantwortungsbewusst mit Daten umgehen und innovative Lösungen für den Datenschutz entwickeln.
- Zusammenarbeit und Informationsaustausch: Die Zusammenarbeit und der Austausch von Informationen zwischen Unternehmen, Branchen und Regierungen werden entscheidend sein, um Cyberbedrohungen effektiv zu bekämpfen. Gemeinsame Initiativen und Netzwerke zur Bedrohungsanalyse und -abwehr werden an Bedeutung gewinnen.
Vorbereitung & Schlüsselanforderungen des DORA
Der Digital Operational Resilience Act (DORA) ist im Hinblick auf die zuvor aufgezeigten, steigenden Herausforderungen und die Vielschichtigkeit der Informationssicherheit sehr wichtig. Die Verordnung legt einheitliche Standards und Anforderungen für die digitale Widerstandsfähigkeit fest, die in der gesamten EU gelten. Dies hilft, das Risiko von Cyberangriffen und IT-Ausfällen zu minimieren und die Stabilität des Finanzsystems zu gewährleisten. Zudem schützt DORA die Interessen von Kunden und fördert das Vertrauen in den Finanzsektor. Als Softwareunternehmen und Dienstleister in der Finanzbranche gilt die Verordnung auch für EXCON. Daher gelten auch für uns von Anfang an die DORA-Standards für Drittanbieter. Doch wo beginnt man als Unternehmen bei der Umsetzung der Verordnung und was sind die wichtigsten Schlüsselanforderungen? Diese Fragen beantworten wir Ihnen in den nächsten Abschnitten:
Wie sollten Unternehmen sich auf die Umsetzung von DORA vorbereiten?
Unternehmen sollten sich umfassend auf die Umsetzung von DORA vorbereiten. Als ersten Schritt der Vorbereitung steht eine GAP-Analyse. Sie dient dem Zweck festzustellen, wo bestehende Prozesse und Systeme den DORA-Anforderungen nicht entsprechen. Danach folgen Schulungsmaßnahmen und die Sensibilisierung von Mitarbeitern zu den neuen Anforderungen und Best Practices im IT-Risikomanagement. Aufbauend darauf sollte eine Prozessoptimierung anknüpfen, die die Anpassung und Optimierung von IT- und Sicherheitsprozessen gemäß DORA-Vorschriften sicherstellt. Im weiteren Verlauf werden Entscheidungen zu möglichen Investitionen in fortschrittliche Sicherheits- und Überwachungstechnologien getroffen. Zudem müssen alle Drittanbieter, die kritische IT-Dienste bereitstellen, ebenfalls konform mit DORA sein. Dies muss geprüft werden.
Was sind die wichtigsten Schlüsselanforderungen des DORA?
- IT-Risikomanagement: Finanzunternehmen müssen über robuste Systeme und Prozesse zur Identifizierung, Bewertung und Verwaltung von IT-Risiken verfügen.
- Incident Reporting: Unternehmen müssen Cybervorfälle und IT-Störungen schnell melden und dokumentieren.
- Sicherheitsprüfungen: Regelmäßige Sicherheitsprüfungen und -bewertungen sind erforderlich, um Schwachstellen zu identifizieren und zu beheben.
- Drittanbieter-Risikomanagement: Unternehmen müssen sicherstellen, dass Drittanbieter, die IT-Dienste bereitstellen, ebenfalls den DORA-Standards entsprechen.
- Sicherheitsüberwachung: Kontinuierliche Überwachung der IT-Infrastruktur zur frühzeitigen Erkennung von Bedrohungen und Anomalien.
Die aufgezeigten Schritte und Schlüsselaspekte der Verordnung bringen zahlreiche neue Prozesse, Verpflichtungen und Komplexität für Finanzunternehmen mit sich. Dabei erfordert die Einhaltung der DORA-Vorschriften eine kontinuierliche Überwachung und Anpassung der Sicherheitsmaßnahmen zum Stichtag des Inkrafttretens, den 17. Januar 2025. Die vielfältigen und detaillierten Anforderungen bringen je nach Status Quo eine umfassende Überarbeitung der bestehenden IT- und Sicherheitsinfrastruktur mit sich. Im Drittanbieter-Management ist eine übergreifende Koordination, Zusammenarbeit und Datenerhebung über Unternehmensgrenzen hinaus notwendig, um die benötigte Transparenz zu schaffen.
Um die digitale Widerstandsfähigkeit zu stärken und langfristigen Erfolg zu erzielen, steht einmal mehr die kontinuierliche Weiterentwicklung von Sicherheitsmaßnahmen und aktive Auseinandersetzung mit den neuen Herausforderungen im Fokus für Finanzunternehmen und Drittanbieter.
Praxis-Tipp: Auditieren Sie Ihre Drittanbieter mit ex:plore
Halten sich Ihre Partner und Dienstleister an die Vorgaben des DORA? Wo besteht Optimierungsbedarf und wo müssen Verträge eventuell nachgeschärft werden? Mit der Audit Software ex:plore beantworten Sie diese Fragen unternehmensübergreifend.
Vertragsmanagement und -prüfungen
Eine zentrale, leicht zugängliche und durchsuchbare Datenbank ermöglicht die Speicherung und Verwaltung aller Verträge mit Drittanbietern. Dies erleichtert die zentrale Verwaltung erheblich. Zur Unterstützung bei der Vertragsprüfung [Vertragsprüfungen Usecase verlinken] stellt die Audit-Software sicher, dass alle relevanten DORA-Anforderungen und Sicherheitsmaßnahmen in den Verträgen enthalten sind.
Compliance und Berichterstattung
Mithilfe von Compliance-Fragebögen überprüfen Finanzunternehmen, ob Drittanbieter alle relevanten DORA-Compliance-Anforderungen erfüllen. Darüber hinaus werden Berichte und Dashboards der Ergebnisse in Echtzeit erstellt, um den Status der Compliance-Maßnahmen jederzeit zu visualisieren.
Vorfallmanagement
Das Vorfall-Tracking erfolgt durch die manuelle Eingabe und Nachverfolgung von Sicherheitsvorfällen bei Drittanbietern. Automatische Folgemaßnahmen werden dabei innerhalb der Audit Software definiert und jederzeit nachverfolgt. ex:plore unterstützt zudem bei der manuellen Überprüfung und Verwaltung von Notfallplänen der Drittanbieter, um deren Bereitschaft für den Umgang mit Betriebsstörungen sicherzustellen.
Audit-Trails und Dokumentation
Audit-Trails werden durch die Dokumentation aller Interaktionen und Überprüfungen mit Drittanbietern gewährleistet, um eine nachvollziehbare Historie zu schaffen. Die zentrale Ablage aller relevanten Dokumente, wie Prüfberichte, Risikoanalysen und Compliance-Nachweise ermöglicht ein effektives Dokumentationsmanagement.
Haben Sie weitere Fragen zum Einsatz von ex:plore im Zuge Ihres Drittanbieter Managements? Dann sprechen Sie uns gerne jederzeit an.
Gut zu wissen:
Was bedeutet „Betriebliche Resilienz“?
Betriebliche Resilienz ist die Fähigkeit eines Unternehmens, trotz widriger Umstände und Störungen seine kritischen Geschäftsprozesse und Dienstleistungen fortzuführen. Dies umfasst die Planung, Vorbereitung und Reaktionsfähigkeit auf Cyberangriffe, Naturkatastrophen, technische Ausfälle und andere unvorhergesehene Ereignisse. Ziel ist es, die Auswirkungen solcher Vorfälle zu minimieren und den kontinuierlichen Betrieb sicherzustellen.
Beispiele für betriebliche Resilienz aus der Finanzbranche:
Cyberangriffe: Banken implementieren Cybersecurity-Maßnahmen wie Firewalls, IDS und Notfallpläne, um Systeme schnell wiederherzustellen.
Naturkatastrophen: Investmentfirmen nutzen geografisch verteilte Rechenzentren und Datenreplikation für unterbrechungsfreien Betrieb.
Technische Ausfälle: Redundante Systeme und Notfallwiederherstellungspläne gewährleisten die schnelle Wiederherstellung von Online-Banking-Diensten.
Pandemien: Versicherungsunternehmen setzen auf Remote-Working-Infrastrukturen mit sicheren VPN-Zugängen und Collaboration-Tools.
Versagen eines Drittanbieters: Banken halten alternative Anbieter oder On-Premises-Lösungen bereit, um Dienste fortzusetzen.
Regulatorische Änderungen: Finanzunternehmen passen sich schnell an neue Vorschriften durch flexible IT-Architektur und agiles Projektmanagement an.
Sebastian Lammel
Head of Digital Solutions / Head of Communications
EXCON Services GmbH
sebastian.lammel@excon.com