DORA kommt: IT in der Finanzbranche muss sich wappnen
Dora IT
- 20.11.2024
DORA: IT muss sich um fünf Kernthemen kümmern
Angesichts zunehmender Cyberbedrohungen und Katastrophenpotenziale hat die Europäische Union die DORA-Verordnung geschaffen. Sie verfolgt das Ziel, die betrieblichen Fähigkeiten und die Cybersicherheit von Finanzakteuren in der EU zu optimieren. Dabei stehen fünf Schlüsselaspekte im Fokus:• Meldepflichten
• Zusammenarbeit mit Behörden
• Drittanbieter-Management
• regelmäßige Tests
• Resilienz
Zunächst sieht DORA vor, dass Finanzakteure wesentliche, betriebskritische Vorfälle umgehend an die zuständigen Behörden melden. Zudem sollen die Kooperation und der Informationsaustausch zwischen Finanzunternehmen, Behörden und weiteren Stakeholdern im Allgemeinen ausgebaut werden, um die Resilienz der Finanzbranche zu stärken und die Cybersicherheit zu erhöhen. Ein weiterer wichtiger Punkt ist das Management von Drittanbietern, die im Finanzsektor mittlerweile eine wichtige Rolle spielen. Von Akteuren wie Banken wird erwartet, dass sie diejenigen Risiken bewerten und verwalten, die mit ihrer Abhängigkeit von Drittanbietern verbunden sind. Darüber hinaus sollen Finanzinstitute regelmäßige Simulationen und Tests durchführen, um ihre Widerstands- und Reaktionsfähigkeit hinsichtlich verschiedener Bedrohungsszenarien zu bewerten.
Nicht zuletzt stellt DORA IT-Teams vor die Herausforderung, ihre Cyberresilienz und Systemwiederherstellungsmöglichkeiten zu verbessern, um sicherzustellen, dass kritische Finanzdienstleistungen nach jedem Desaster-Szenario schnell wiederhergestellt werden können. In der Regel muss dazu die Fähigkeit geschaffen werden, mehrere – möglicherweise Tausende – Systeme nach einem Notfall schnell wieder einsatzfähig zu machen. Selbstverständlich ist dies manuell nicht zu bewältigen, zumal händische Eingriffe stets ein zusätzliches Fehlerrisiko darstellen. Vielmehr sind Investitionen in Technologien zur automatisierten Systemwiederherstellung erforderlich.
Back-up- und Recovery-Expertise erforderlich
Die Implementierung DORA-konformer Systeme und Prozesse zur zuverlässigen Notfallwiederherstellung ist nicht trivial. Zahlreiche Finanzakteure greifen daher auf externe Unterstützung durch Spezialisten zurück. Ein besonders renommierter Dienstleister ist in diesem Bereich die Cristie Data GmbH. Bereits seit 1969 steht sie für zuverlässige, innovative Lösungen in den Bereichen Datensicherung, Systemwiederherstellung und Cybersicherheit – allesamt entscheidende Elemente für die operative Resilienz.Im Hinblick auf DORA hat Christie mehrere Services und Lösungen im Portfolio, die Finanzdienstleistern dabei helfen, ihre Anwendungsserver zu schützen und Recovery-Fähigkeit sicherzustellen. Hierfür nutzt der IT-Dienstleister unter anderem seine eigene BMR-Software "Cristie Recovery" und kombiniert sie mit weiteren Back-up-Tools von führenden Anbietern wie Cohesity, Rubrik und IBM. So entstehen Lösungen, die selbst hoch komplexe IT-Umgebungen mit unzähligen Servern im Notfall automatisiert, großskalig und schnell wiederherstellen können. Dabei ist eine deutsche beziehungsweise europäische Datenhoheit für sämtliche Back-up- und Archivierungsoptionen sichergestellt.
Die Wiederherstellungslösungen von Cristie umfassen im Übrigen auch Funktionen wie Cleanroom Recovery, welche auch Spurensuche nach einem Cybervorfall unterstützen. Mit den individuell zusammengestellten Komplettlösungen können Finanzunternehmen ihre Systeme also auf Cyberbedrohungen überwachen, Vorfälle erkennen und schädliche Aktivitäten umgehend isolieren. Weiterhin werden sie in die Lage versetzt, ihren Betrieb und ihre Daten nach jeder Art von Sicherheitsvorfall oder Katastrophe innerhalb kurzer Zeit wiederherzustellen.
Sicherheit auch im Abo-Modell verfügbar
Im Detail besteht READY by Cristie aus mehreren Komponenten, die flexibel zusammengesetzt werden können. Hierzu zählt beispielsweise "Cristie Cyber Protection", das Tools und Managed Services rund um die Cyber Security bis hin zum SOC (Security Operations Centre) beinhaltet. "Cristie Cloud Protection" wurde speziell für den Schutz und die Sicherung der Daten in Cloud-Umgebungen geschaffen, während "Cristie Cloud Archive" für deren revisionssichere Archivierung sorgt. Hinzu kommen die bereits erwähnten Lösungen für Back-up und Recovery ("Cristie Backup Solution" sowie "Cristie Cyber Recovery"). Abgerundet wird das Programm durch unterstützende Dienstleistungen wie Onboarding und Advisory ("Cristie Care Services").
