Fachwissen DORA - IKT-Sicherheitsanforderungen

Die Festlegung von IKT-Sicherheitsanforderungen ist ein grundlegender Bestandteil des Digital Operational Resilience Act (DORA) und dient dazu, die Resilienz von Unternehmen gegenüber Cyberbedrohungen und Sicherheitsvorfällen zu stärken. Mindestanforderungen für Netzwerke, Datenbanken und Systeme schaffen eine stabile Sicherheitsbasis, während Schwachstellen- und Patch-Management sicherstellen, dass Sicherheitslücken frühzeitig erkannt und behoben werden. Durch den Einsatz von Kryptographie und Zugriffskontrollen wird die Integrität und Vertraulichkeit sensibler Daten gewährleistet.

Ein ganzheitliches Sicherheitskonzept, das alle Aspekte von DORA berücksichtigt, hilft Unternehmen, ihre digitale Widerstandsfähigkeit zu erhöhen und den hohen Sicherheitsanforderungen gerecht zu werden. Die kontinuierliche Verbesserung und Überwachung der Sicherheitsmaßnahmen trägt dazu bei, die IT-Infrastruktur des Unternehmens vor potenziellen Bedrohungen zu schützen und den Geschäftsbetrieb auch im Falle von Sicherheitsvorfällen aufrechtzuerhalten.

• Mindestanforderungen an IKT-Systeme
  Festlegung von Sicherheitsstandards für Netzwerke, Datenbanken und Systeme.
  
  
• Schwachstellenmanagement und Patch-Management
  Etablierung eines regelmäßigen Verfahrens zur Identifikation und Behebung von Schwachstellen.
  
  
• Kryptographie und Zugriffskontrolle
  Implementierung geeigneter Verschlüsselungs- und Authentifizierungsmaßnahmen, um Datenintegrität und -vertraulichkeit zu gewährleisten.

DORA fordert Unternehmen dazu auf, grundlegende Sicherheitsstandards für ihre IKT-Systeme zu definieren, um den Schutz vor Cyberbedrohungen sicherzustellen und die Stabilität der Systeme zu gewährleisten. Diese Standards legen die grundlegenden Sicherheitsvorkehrungen fest, die für alle Netzwerke, Datenbanken und Systeme gelten.

Die Sicherheit der Netzwerkinfrastruktur ist von zentraler Bedeutung, da sie die Basis für alle Datenverbindungen und den Informationsfluss innerhalb des Unternehmens bildet. Zu den Mindestanforderungen gehören Firewalls, Intrusion Detection- und Prevention-Systeme sowie die Verschlüsselung aller Kommunikationskanäle. Diese Maßnahmen stellen sicher, dass Netzwerke gegen unbefugte Zugriffe und Cyberangriffe geschützt sind.

Datenbanken, die sensible oder geschäftskritische Informationen enthalten, müssen besonders gut gesichert werden. Mindestanforderungen umfassen hier unter anderem die Verschlüsselung gespeicherter Daten, strenge Zugriffsprotokolle und regelmäßige Sicherheitsprüfungen. Unternehmen sollten sicherstellen, dass Datenbanken vor unbefugtem Zugriff geschützt sind und dass Datenintegrität und -vertraulichkeit gewährleistet werden.

Neben Netzwerken und Datenbanken sollten auch Endgeräte und Anwendungen hohen Sicherheitsanforderungen entsprechen. Zu den Mindestanforderungen gehören Sicherheitsupdates für Anwendungen, der Einsatz von Antivirenprogrammen und der Schutz durch starke Passwortrichtlinien. Diese Sicherheitsstandards sorgen dafür, dass alle Systeme im Unternehmen auf einem Mindestniveau an Sicherheit betrieben werden.

Ein regelmäßiges Schwachstellen- und Patch-Management ist entscheidend, um bekannte Sicherheitslücken zu beheben und sicherzustellen, dass alle Systeme auf dem neuesten Stand sind. DORA fordert Unternehmen dazu auf, Prozesse zu implementieren, die Schwachstellen systematisch identifizieren und beheben.

Die Identifikation von Schwachstellen in den Systemen ist der erste Schritt im Schwachstellenmanagement. Unternehmen sollten regelmäßig Sicherheitsbewertungen und Penetrationstests durchführen, um potenzielle Schwachstellen zu identifizieren und zu bewerten. Eine umfassende Schwachstellenanalyse hilft dabei, Sicherheitslücken frühzeitig zu erkennen und Maßnahmen zur Risikominderung zu ergreifen.

Sobald eine Schwachstelle identifiziert wurde, ist es entscheidend, dass entsprechende Sicherheits-Patches so schnell wie möglich installiert werden. Das Patch-Management stellt sicher, dass alle IKT-Systeme auf dem neuesten Stand gehalten und bekannte Sicherheitslücken zeitnah geschlossen werden. Unternehmen sollten feste Zeitpläne für das Patch-Management festlegen und sicherstellen, dass kritische Patches priorisiert behandelt werden.

Das Schwachstellen- und Patch-Management sollte sowohl automatisierte als auch manuelle Verfahren umfassen. Automatisierte Tools können regelmäßig nach neuen Schwachstellen scannen und Updates automatisch einspielen. Manuelle Überprüfungen sind jedoch ebenfalls wichtig, um sicherzustellen, dass keine kritischen Sicherheitslücken übersehen werden und um spezifische Sicherheitsanforderungen zu erfüllen.

Alle identifizierten Schwachstellen und die ergriffenen Maßnahmen sollten dokumentiert werden, um eine vollständige Nachverfolgung zu gewährleisten. Eine detaillierte Dokumentation ermöglicht es dem Unternehmen, die Effektivität seines Schwachstellenmanagements zu bewerten und kontinuierliche Verbesserungen vorzunehmen.

Die Implementierung von Kryptographie und Zugriffskontrollen ist unerlässlich, um die Integrität und Vertraulichkeit sensibler Daten zu gewährleisten. DORA fordert Unternehmen dazu auf, geeignete Verschlüsselungs- und Authentifizierungsmaßnahmen zu implementieren, um sicherzustellen, dass nur autorisierte Personen auf kritische Informationen zugreifen können

Verschlüsselung ist eine der wichtigsten Sicherheitsmaßnahmen, um die Vertraulichkeit von Daten zu schützen. Unternehmen sollten sicherstellen, dass alle sensiblen Daten sowohl im Ruhezustand (at rest) als auch während der Übertragung (in transit) verschlüsselt sind. Dazu gehören die Verwendung starker Verschlüsselungsstandards wie AES und RSA sowie die Implementierung sicherer Protokolle wie TLS für die Datenübertragung.

Um unbefugten Zugriff zu verhindern, sollten alle IKT-Systeme mit Zugriffskontrollen und Mehrfaktor-Authentifizierung geschützt werden. MFA erhöht die Sicherheit erheblich, indem es sicherstellt, dass Benutzer sich mit mehreren unabhängigen Authentifizierungsfaktoren identifizieren müssen. Darüber hinaus sollten Zugriffskontrollsysteme implementiert werden, die den Zugang zu kritischen Systemen und Daten auf autorisierte Benutzer beschränken.

Unternehmen sollten klare Richtlinien für Passwortsicherheit und die Vergabe von Zugriffsrechten festlegen. Dazu gehört die Verwendung komplexer und regelmäßig aktualisierter Passwörter sowie die Beschränkung von Zugriffsrechten auf die für die jeweilige Rolle erforderlichen Informationen (Prinzip der minimalen Rechtevergabe). Durch die Begrenzung der Zugriffsrechte wird das Risiko eines unbefugten Zugriffs auf sensible Daten erheblich reduziert.

Alle Zugriffsversuche auf kritische Systeme und Daten sollten überwacht und protokolliert werden. Ein zentrales Protokollierungssystem ermöglicht es, verdächtige Aktivitäten schnell zu identifizieren und darauf zu reagieren. Die Überwachung des Zugriffs ist ein wichtiger Bestandteil der Datensicherheit und hilft, mögliche Sicherheitsverletzungen frühzeitig zu erkennen.