Fachwissen DORA - IKT-Risikomanagement

DORA verlangt, dass Finanzunternehmen ihre bisherige IT-Strategie um eine spezifische Strategie für digitale operationale Resilienz (DOR-Strategie) erweitern, wie in Artikel 6, Absatz 8 festgelegt. Diese DOR-Strategie soll sicherstellen, dass das Unternehmen auf digitale Störungen vorbereitet ist und seine Betriebsprozesse auch während und nach Krisensituationen aufrechterhalten kann. Dabei geht es um mehr als nur die Sicherheit einzelner Systeme; vielmehr wird die Gesamtresilienz des Unternehmens zum Ziel. Diese DOR-Strategie muss nahtlos mit der bestehenden IT-Strategie integriert werden, was eine sorgfältige Analyse und Anpassung der Governance- und Managementprozesse erfordert.

DORA definiert klare Strukturen und Anforderungen an das IKT-Risikomanagement, die den gesamten Lebenszyklus eines Vorfalls abdecken – von der Identifikation bis zur Wiederherstellung. Der Rahmen umfasst die folgenden Elemente:

• Identifizierung
  Systematische Erfassung und Bewertung der IKT-Risiken, um alle potenziellen Gefahrenquellen zu erfassen.
  
  
• Schutz und Prävention
  Maßnahmen zur Risikominderung und Vorbeugung gegen Vorfälle.
  
  
• Erkennung
  Frühwarnsysteme und Technologien zur schnellen Identifikation von Sicherheitsvorfällen.
  
  
• Gegenmaßnahmen und Wiederherstellung
  Notfallpläne und Maßnahmen zur Eindämmung und Schadensbegrenzung bei IKT-Vorfällen.
  
  
• Lernen
  Analyse und Ableitung von Lehren aus vergangenen Vorfällen, um zukünftige Ereignisse zu verhindern.
  
  
• Weiterentwicklung und Kommunikation
  Kontinuierliche Anpassung und Verbesserung der IKT-Risikomanagementprozesse sowie Berichterstattung an das Management.

Die Orientierung an internationalen und branchenspezifischen Best Practices und Standards gibt Unternehmen dabei die Flexibilität, diese Anforderungen proportional zur Größe und Kritikalität der IKT-Systeme umzusetzen, was im Grundsatz der Verhältnismäßigkeit gemäß Artikel 4 DORA festgelegt ist.

DORA hebt die Rolle des Leitungsorgans in der Governance des IKT-Risikomanagements hervor. Das Leitungsorgan ist letztverantwortlich für die Implementierung und Überwachung des IKT-Risikomanagements und der DOR-Strategie. Es ist auch für die Bereitstellung angemessener Budgetmittel und Ressourcen verantwortlich und muss sicherstellen, dass die Mitglieder über aktuelles Wissen und Fähigkeiten verfügen, um ihre Verantwortung wahrzunehmen. Die zentralen Aufgaben umfassen:

• Festlegung der DOR-Strategie
  Das Leitungsorgan genehmigt und verantwortet die digitale Resilienzstrategie.
  
  
• Budgetzuweisung
  Bereitstellung finanzieller und personeller Ressourcen für das IKT-Risikomanagement.
  
  
• Fortbildung
  Sicherstellen, dass die Mitglieder des Leitungsorgans stets über aktuelle Kenntnisse zu IKT-Risiken verfügen

Diese Anforderung an das Leitungsorgan ist umfassender als die vergleichbare Rolle des Informationssicherheitsbeauftragten nach den Vorgaben der xAIT. Während der Informationssicherheitsbeauftragte in erster Linie für die Sicherheitsvorkehrungen in der Informationsinfrastruktur zuständig ist, übernimmt das Leitungsorgan im IKT-Risikomanagement die Gesamtverantwortung für alle IKT-bezogenen Risiken und ihre strategische Steuerung.

DORA erkennt an, dass Drittparteien, die IKT-Dienstleistungen für Finanzinstitute erbringen, ein potenzielles Risiko darstellen. Kapitel II, Artikel 28 bis 30 verlangen daher, dass Finanzunternehmen ihre IKT-Drittparteienbeziehungen aktiv überwachen und sicherstellen, dass diese in der Lage sind, ein vergleichbares Resilienzniveau zu gewährleisten. Hierzu gehören unter anderem:

• Verträge mit Mindestanforderungen
  Verträge mit Drittanbietern müssen Mindestanforderungen an die Sicherheit und Resilienz erfüllen.
  
  
• Überprüfung und Überwachung
  Regelmäßige Überprüfung der Sicherheitsvorkehrungen und Notfallpläne von Drittanbietern.
  
  
• Notfallpläne
  Vorgaben für den Umgang mit möglichen Ausfällen von Drittparteien, um sicherzustellen, dass der Geschäftsbetrieb des Finanzunternehmens nicht unterbrochen wird.

DORA stellt hohe Anforderungen an die kontinuierliche Überwachung und das Änderungsmanagement der IKT-Systeme. Finanzunternehmen müssen sicherstellen, dass Änderungen an IKT-Systemen – von Software-Updates bis hin zu Hardware-Erneuerungen – systematisch erfasst, getestet, genehmigt und dokumentiert werden. Der Verzicht auf eine Wesentlichkeitsgrenze erfordert eine umfassende Dokumentation aller Änderungen, um die Kontrolle über die IKT-Infrastruktur jederzeit aufrechtzuerhalten und die Konformität mit DORA sicherzustellen.

DORA berücksichtigt die Heterogenität der Finanzinstitute und sieht in Artikel 16 vereinfachte Anforderungen für kleinere Unternehmen vor. Diese proportionalen Anforderungen ermöglichen es kleineren Finanzinstituten, ihre Ressourcen effizienter auf risikorelevante Aufgaben zu konzentrieren, ohne dass der Grundsatz der Resilienz beeinträchtigt wird. Die BaFin gibt in ihrer Aufsichtsmitteilung zudem Hinweise, wie diese Anforderungen umgesetzt und in bestehende Strukturen integriert werden können.

Die BaFin unterstützt die Umsetzung von DORA durch Leitlinien und zusätzliche Anforderungen, die den Finanzinstituten als Orientierung dienen. Die Aufsichtsmitteilung der BaFin enthält nicht nur eine Erläuterung der Anforderungen an das IKT-Risikomanagement (Art. 5-15 DORA), sondern auch detaillierte Umsetzungshinweise zum Management des IKT-Drittparteienrisikos (Art. 28-30 DORA). Sie bezieht sich dabei auf die Richtlinien der BAIT und VAIT, die häufig ähnliche Anforderungen wie DORA an die Governance, Risikobewertung und Sicherheitsstandards stellen. Diese Umsetzungsunterstützung ermöglicht es Finanzunternehmen, den neuen regulatorischen Anforderungen strukturiert zu begegnen und die DOR-Strategie effektiv in ihre bestehenden IT- und Sicherheitsstrategien zu integrieren.

Eine der zentralen Anforderungen von DORA ist die regelmäßige Überprüfung und Aktualisierung des IKT-Risikomanagements. Finanzinstitute müssen kontinuierlich sicherstellen, dass ihre IKT-Infrastrukturen und Sicherheitsvorkehrungen auf aktuelle Bedrohungen reagieren können. Dies erfordert die Implementierung eines dynamischen Systems, das proaktiv auf Bedrohungen reagiert und kontinuierlich durch Tests und Audits überwacht wird. Unternehmen sollen durch diese Praxis nicht nur auf Krisenfälle vorbereitet sein, sondern auch Schwachstellen erkennen und die IKT-Sicherheit kontinuierlich stärken.

• Identifikation und Bewertung von Risiken
  Systematische Verfahren zur Identifikation und Klassifikation von Risiken, die sich aus der Nutzung von Informations- und Kommunikationstechnologie ergeben.
  
  
• Verhältnismäßigkeitsprinzip
  Anwendung des Grundsatzes der Verhältnismäßigkeit bei der Risikobewertung, abgestimmt auf die Größe und Kritikalität der IKT-Systeme.
  
  
• Präventions- und Minderungsstrategien
  Entwicklung von Strategien zur Prävention und Minderung identifizierter Risiken.

• Risikoidientifikation
• • Systematische Erfassung aller potenziellen IT- und Cyberrisiken.
  • Regelmäßige Aktualisierung des Risikoinventars unter Berücksichtigung neuer Bedrohungen.
• Risikobewertung
• • Analyse der Eintrittswahrscheinlichkeit und möglicher Auswirkungen von Risiken.
  • Priorisierung der Risiken nach ihrer Bedeutung für das Unternehmen.
• Risikosteuerung
• • Entwicklung von Maßnahmen zur Risikominderung oder -vermeidung.
  • Implementierung und Überwachung der beschlossenen Maßnahmen.
• Risikoberichterstattung
• • Erstellung regelmäßiger Risikoberichte für das Management.
  • Aufzeigen von Handlungsbedarf und Empfehlungen zur Risikominimierung.

Ein effektives IKT-Risikomanagement beginnt mit der systematischen Identifikation und Bewertung der Risiken, die sich aus der Nutzung von IKT ergeben. Unternehmen müssen potenzielle Risiken frühzeitig erkennen, bewerten und entsprechend priorisieren, um angemessene Maßnahmen zur Risikominderung zu ergreifen.

Unternehmen sollten strukturierte Verfahren zur Identifikation von Risiken etablieren, die alle IKT-Systeme und -Prozesse umfassen. Zu den Methoden gehören regelmäßige Risikoanalysen, Bedrohungsmodelle und Penetrationstests, die es ermöglichen, Schwachstellen und potenzielle Gefahrenquellen zu identifizieren. Es ist wichtig, alle internen und externen Bedrohungen, die sich auf die IT-Systeme und Daten auswirken könnten, zu erfassen.

Sobald die Risiken identifiziert sind, ist eine Klassifikation und Priorisierung erforderlich. Diese erfolgt in der Regel anhand von Faktoren wie der Eintrittswahrscheinlichkeit und den potenziellen Auswirkungen auf das Unternehmen. Risiken mit hohen potenziellen Auswirkungen auf den Geschäftsbetrieb oder die Datensicherheit sollten vorrangig behandelt werden. Durch eine klare Klassifikation kann das Unternehmen Ressourcen gezielt einsetzen und sich auf die relevantesten Risiken konzentrieren.

Da sich die Bedrohungslandschaft ständig weiterentwickelt, ist es wichtig, dass Unternehmen ihre Risikobewertungen regelmäßig aktualisieren. Neue Bedrohungen und Schwachstellen müssen kontinuierlich überwacht und bewertet werden. Die regelmäßige Überprüfung der identifizierten Risiken und ihrer Klassifikation stellt sicher, dass das Unternehmen auf aktuelle Bedrohungen vorbereitet ist und entsprechende Gegenmaßnahmen planen kann.

Das Verhältnismäßigkeitsprinzip ist ein wesentlicher Aspekt des IKT-Risikomanagements im Rahmen von DORA. Es fordert, dass die Maßnahmen zur Risikobewältigung in einem angemessenen Verhältnis zur Größe, Komplexität und Kritikalität der betroffenen IKT-Systeme und Prozesse stehen. Dieses Prinzip trägt dazu bei, dass Ressourcen effizient genutzt und angemessene Sicherheitsmaßnahmen ergriffen werden.

Die Bewertung von Risiken sollte stets im Kontext der Unternehmensgröße und der Kritikalität der betroffenen IKT-Systeme erfolgen. Für kleinere Unternehmen oder weniger kritische Systeme sind möglicherweise geringere Sicherheitsmaßnahmen erforderlich als für größere Unternehmen oder geschäftskritische Systeme. Das Verhältnismäßigkeitsprinzip ermöglicht es, die Risikobewältigung an die spezifischen Gegebenheiten des Unternehmens anzupassen.

Durch das Verhältnismäßigkeitsprinzip können Unternehmen sicherstellen, dass ihre Ressourcen effizient genutzt werden und die Sicherheitsmaßnahmen nicht überdimensioniert sind. Beispielsweise könnte für ein nicht-geschäftskritisches System eine Basisabsicherung ausreichend sein, während für Systeme mit hohem Schutzbedarf umfassende Sicherheitsvorkehrungen erforderlich sind. Dies gewährleistet einen ressourcenschonenden Einsatz der finanziellen und personellen Mittel.

Das Verhältnismäßigkeitsprinzip bietet Unternehmen die Möglichkeit, ihre Sicherheitsmaßnahmen flexibel und skalierbar zu gestalten. Je nach Bedrohungslage und Systemkritikalität können die Maßnahmen angepasst und bei Bedarf erweitert werden. Diese Flexibilität ermöglicht es, auf veränderte Rahmenbedingungen oder neue Risiken angemessen zu reagieren, ohne unnötige Sicherheitsaufwände zu erzeugen.

Minderungsstrategien zielen darauf ab, die Auswirkungen von Vorfällen zu begrenzen, falls ein Risiko trotz Präventionsmaßnahmen realisiert wird. Dazu gehören beispielsweise Notfallpläne, die Datenwiederherstellung, redundante Systeme und alternative Betriebsstandorte. Unternehmen sollten sicherstellen, dass ihre Minderungsstrategien regelmäßig getestet und bei Bedarf angepasst werden, um im Ernstfall schnell und effektiv reagieren zu können.

Ein effektives Risikomanagement erfordert eine kontinuierliche Überwachung der implementierten Präventions- und Minderungsmaßnahmen. Unternehmen sollten regelmäßig überprüfen, ob die Maßnahmen die gewünschten Ergebnisse erzielen und ob Anpassungen erforderlich sind. Die kontinuierliche Verbesserung der Sicherheitsstrategie stellt sicher, dass das Unternehmen auf neue Bedrohungen reagieren und seine Resilienz fortlaufend stärken kann.

Ein weiterer wichtiger Bestandteil der Minderungsstrategien ist die klare Definition von Kommunikations- und Eskalationsprotokollen für den Fall eines Sicherheitsvorfalls. Diese Protokolle stellen sicher, dass relevante Entscheidungsträger und Abteilungen im Falle eines Vorfalls informiert sind und die notwendigen Maßnahmen eingeleitet werden. Ein gut strukturiertes Eskalationsschema ermöglicht eine schnelle Reaktion und hilft, den Schaden zu begrenzen.