Titelbild Expertenbericht DORA IAM

DORA:
Stärkung der Resilienz
im europäischen Finanzwesen
durch IAM

DORA: Stärkung der Resilienz im europäischen Finanzwesen

Täglich verarbeiten Finanzinstitute enorme Mengen an sensiblen Daten, was sie zu begehrten Zielen für Cyberkriminelle macht. Trotzdem haben viele dieser Institute keine einheitlichen Maßnahmen zur Gewährleistung der Cybersicherheit. Nach einer Umfrage des IWF fehlen 56 % der Zentralbanken im Finanzsektor eine nationale Cyberstrategie, und 42 % verfügen über keinerlei Richtlinien für Cybersicherheit und Risikomanagement.

DORA-Verordnung: worum geht es?

Die Digitale Betriebs Resilienz-Verordnung (Digital Operational Resilience Act, DORA) ist eine Regelung der Europäischen Union mit dem Ziel, die betriebliche Widerstandsfähigkeit des europäischen Finanzsektors zu stärken. Ihr Zweck besteht darin, Finanzinstitute zu befähigen, ihren Schutz vor Cyberbedrohungen, IT-Zwischenfällen und betrieblichen Risiken zu verbessern und ihnen zu ermöglichen, im Notfall schnell wieder handlungsfähig zu sein.

Die Einführung von DORA hatte nicht nur präventiven Charakter, sondern war eine Reaktion auf die zunehmende Abhängigkeit von digitalen Technologien im Finanzwesen, die eine proaktive Risikominderung notwendig macht. Da Cyberangriffe den Finanzsektor anhaltend ins Visier nehmen, gewinnt das Risikomanagement zunehmend an Bedeutung.
Tag für Tag verarbeiten Finanzinstitute beträchtliche Mengen an sensiblen und vertraulichen Daten, darunter personenbezogene Finanzinformationen, Kontodaten und Sozialversicherungsnummern, um nur einige Beispiele zu nennen. Es ist längst kein Geheimnis mehr, dass dies sie zu attraktiven Zielen für Cyberkriminelle macht. Während einige Organisationen bereits verschiedene Maßnahmen zur Cybersecurity umgesetzt haben, trifft dies bei weitem noch nicht auf alle zu. 

Eine Umfrage des Internationalen Währungsfonds (IWF) ergab Folgendes:

  • 56 % der Zentralbanken und Aufsichtsbehörden haben keine nationale Cyberstrategie für den Finanzsektor.
  • 42 % der Länder fehlen die erforderlichen Richtlinien für Cybersicherheit und Risikomanagement.
  • In 64 % der Länder sind Sicherheitsüberprüfungen nicht verpflichtend.
  • 54 % haben kein festes System zur Meldung von Sicherheitsvorfällen.
  • Schockierende 48 % haben keine Richtlinien für Cybersecurity.

DORA: was sind die betroffenen Sektoren?

Die DORA-Verordnung gilt für mehr als 22.000 Finanzinstitute und IKT-Dienstleister, die innerhalb der EU tätig sind, sowie für die IKT-Infrastruktur, die sie von außerhalb der EU unterstützt. Die Verordnung führt spezifische und präskriptive Anforderungen für alle Teilnehmer am Finanzmarkt ein, einschließlich:

  • Banken
  • Zahlungsdienstleister
  • Versicherungen
  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Vermögenswerten
  • Datenmeldedienstleister und Cloud-Dienstleister

Welche Richtlinien zur Einhaltung beinhaltet DORA für Finanzinstitute?

Die DORA Verordnung setzt fünf Hauptaspekte um:

  1. IKT-Risikomanagement: DORA schreibt umfassende Rahmenwerke für das IKT-Risikomanagement vor, die sich an internationalen Standards ausrichten. Dies erfordert Strategien zur digitalen Resilienz, Risikokennzahlen und Kommunikationspläne für den Fall von Vorfällen.
  2. Berichterstattung von Vorfällen: Organisationen müssen IKT-Vorfälle klassifizieren und melden. Umfassende Systeme ermöglichen die Analyse, die Behandlung der Hauptursachen und die Vorbeugung von Wiederholungen.
  3. Prüfung der digitalen operativen Resilienz: Regelmäßige unabhängige Tests bewerten die Abwehrmaßnahmen gegen IKT-Sicherheitsvorfälle anhand verschiedener Beurteilungen und Szenarien.
  4. Risikomanagement für IKT-Drittanbieter: Institutionen, die mit Drittanbieter-IKT-Diensten zusammenarbeiten, benötigen Strategien zur Bewältigung der damit verbundenen Risiken, inklusive Maßnahmen zur Vertragsbeendigung bei Bedarf.
  5. Informationsaustausch: DORA ermöglicht den Austausch relevanter Informationen über IKT-Risiken zwischen vertrauenswürdigen Finanzgemeinschaften, um die Widerstandsfähigkeit zu stärken und Risiken zu mindern.

Zeitrahmen für die Umsetzung der DORA-Anforderungen

Am 16. Januar 2023 trat die endgültige Fassung der DORA-Verordnung in Kraft. Für die Umsetzung wurde eine Frist von 24 Monaten festgelegt. Die betroffenen Finanzunternehmen müssen die erforderlichen Maßnahmen bis zum 17. Januar 2025 umsetzen.

Jetzt, da die Verordnung in Kraft getreten ist, haben die zuständigen Aufsichtsbehörden die Möglichkeit, technische Regulierungsstandards (Regulatory Technical Standards, RTS) zu erarbeiten. Obwohl der anfängliche Zeitrahmen großzügig erscheinen mag, sollten Finanzunternehmen nicht zu lange zögern, die Richtlinie umzusetzen, und stattdessen rasch Schritte zur Erfüllung der Vorgaben unternehmen.

Wie IAM zur Einhaltung von DORA beiträgt

Bedrohungsakteure nutzen Schwachstellen und unzureichend verwaltete Identitäten, um Unternehmen zu stören, Daten zu stehlen oder Erpressungen durchzuführen. Diese Angriffe betreffen nicht nur das Unternehmen selbst, sondern auch Kunden, Stakeholder und den Finanzmarkt insgesamt.

Identitätsbasierte Cyberangriffe, die hauptsächlich auf kompromittierte Benutzerzugangsdaten abzielen, sind gängige Methoden von Cyberkriminellen, da Identitäten der effektivste Weg sind, um die IT-Infrastruktur zu kontrollieren. Um DORA-konform zu sein, müssen Finanzorganisationen alle Vereinbarungen im Zusammenhang mit dem DORA-Risikomanagement definieren, genehmigen, überwachen und verantworten. Hier spielt IAM eine zentrale Rolle.

IAM ist eine Sicherheitsdisziplin, die in kritische Geschäftsprozesse integriert wird, um sicherzustellen, dass nur berechtigte Personen zum richtigen Zeitpunkt auf die richtigen Informationen zugreifen können. Dies gilt für Mitarbeiter, Kunden (oft als Customer Identity Access Management oder CIAM bezeichnet) und Lieferanten. Dieses Zugangsmanagement kann auf Abteilungs- und individueller Rollenebene eingerichtet werden, um den Zugriff auf Daten und Systeme an die jeweiligen Aufgaben anzupassen.

Mit zunehmender Nutzung von Software-as-a-Service und Cloud-Infrastrukturen wird die IT- und Identitätslandschaft komplexer. Zur Einhaltung von DORA und anderen Datenschutzbestimmungen benötigen Unternehmen klare Einblicke, wie menschliche und maschinelle Identitäten auf geschützte Daten zugreifen. Dank DORA rückt die IKT-Widerstandsfähigkeit in den Fokus der EU-Finanzdienstleister, und IAM ist eine zentrale Disziplin zur Unterstützung der Compliance.

DORA-Compliance: wie IPG Sie unterstützen kann

Bei IPG stehen unsere Experten zur Verfügung, um sowohl bei der Klärung der neuen Anforderungen von DORA zu unterstützen als auch bei der Umsetzung von IAM, um diese Anforderungen zu erfüllen. Wir können bei der Entwicklung einer IAM-Strategie und eines Betriebsmodells helfen, Identitätsanalysen, das Management des Identitätslebenszyklus, Zugriffsrechteverwaltung und mehr. Am wichtigsten ist, dass wir dazu beitragen, die IKT-Widerstandsfähigkeit zu stärken, um das Geschäft, die Kunden und den Finanzmarkt zu unterstützen.

* Pflichtfelder
DSGVO
Wenn Sie die im Kontaktformular eingegebenen Daten durch Klick auf den nachfolgenden Button übersenden, erklären Sie sich damit einverstanden, dass wir Ihre Angaben für die Beantwortung Ihrer Anfrage bzw. Kontaktaufnahme verwenden. Eine Weitergabe an Dritte findet grundsätzlich nicht statt, es sei denn geltende Datenschutzvorschriften rechtfertigen eine Übertragung oder wir dazu gesetzlich verpflichtet sind. Sie können Ihre erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Im Falle des Widerrufs werden Ihre Daten umgehend gelöscht. Ihre Daten werden ansonsten gelöscht, wenn wir Ihre Anfrage bearbeitet haben oder der Zweck der Speicherung entfallen ist. Sie können sich jederzeit über die zu Ihrer Person gespeicherten Daten informieren. Weitere Informationen zum Datenschutz finden Sie auch in der Datenschutzerklärung dieser Webseite.

Bitte Captcha lösen!

captcha image
Logo von IPG mit weißem Hintergrund - Experts in IAM
Ihr Kontakt zu IPG
CH: +41 522450474 / DE: +49 3030807135 / AT: +43 72 0512526 IPG Information Process Group AG
Teaserbild Expertenbericht IAM zu FINMA Rundschreiben
Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

DORA 24 Teaserbild
Blog 10.07.24

DORA-Compliance: Was Finanzunternehmen jetzt wissen müssen

DORA und IAG: Wie Finanzinstitute die Anforderungen der neuen Verordnung erfüllen und die IT-Sicherheit verbessern können. Lesen Sie hier mehr.

Teaserbild KPT Referenz IAM
Referenz 13.11.23

Effizientes IAM für Cloud-Systeme bei der KPT

Mit einer neuen IAM-Lösung behält KPT die Kontrolle über Benutzerkonten und Berechtigungen, um einen effizienten und sicheren Betrieb ihrer Cloud-Systeme zu gewährleisten. ✅ Lesen Sie mehr dazu.

News

EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung oder auch General Data Protection Regulation tritt zum 25. Mai 2018 in Kraft (kurz EU-DSGVO/GDPR). Sie dient als einheitliches europäisches Regelwerk im Hinblick auf den Datenschutz.

Blog 30.11.21

Datensouveränität und europäische Lösungen

In den Zielen des Digitalkompass 2030 der EU-Exekutive wird eine Reihe von Vorgaben genannt, die bis zum Ende des Jahrzehnts erreicht werden sollen.

Referenz

Rezertifizierungslösung von FI-TS

Mit Unterstützung der TIMETOACT GROUP gelang es dem IT-Dienstleister, die Qualität der Berechtigungsrezertifizierung auf eine neue Stufe zu heben.

Wissen 23.07.24

Graphdatenbanken in der Supply Chain

Die Lieferkette ist ein komplexes Netzwerk von Lieferanten, Herstellern, Händlern und Logistikdienstleistern, das den reibungslosen Fluss von Waren und Informationen sicherstellen soll. Dabei steht die moderne Supply Chain vor zahlreichen Herausforderungen.

Blog 09.01.25

OVHcloud – die europäische Antwort auf den Daten-Dschungel

In der heutigen Insights!-Folge gibt Falk Weinreich uns spannende Einblicke in die Welt von nachhaltigen Rechenzentren und Gaia X.

Event Archive

BE.INSIDE 2024

Erleben Sie am Vorabend der DMEXCO und Digital-X exklusiv die Tech-Trends des Jahres live und hautnah: Treffen Sie auf der be.inside das Who’s who der IT-Welt!

Sep 17
Unternehmen

Anfahrt zur TIMETOACT GROUP in Köln

Egal ob mit dem Auto, mit dem Zug oder mit dem Flugzeug: Wir zeigen Ihnen, wie Sie am besten zu ins in den Mediaparkt nach Köln kommen.

Teamarbeit mit Tasse und Tastatur
Referenz

HCL Connections und ICEC vereinen sich zu einem globalen, cl

SikaWorld 2.0 in der Schweiz – Connections und das Connections Engagement Center vereinen sich zu einem globalen, cloud-basierten Social Intranet für 15.000 User.

Referenz

Beratung zur ivv Kollaborationsstrategie

Die zukünftige Kollaboration der ivv ist geprägt durch moderne Kommunikations- und Kollaboration-Werkzeuge und für das organisationsübergreifende Arbeiten im Verbund und mit Externen definiert.

Event

Webcast: KI für Versicherer

Dr. Matthias Quaisser erläutert Ihnen praktische Projekterfahrung und Erfolgsfaktoren von KI und erzählt von fachliche Anwendungsfälle von KI bei Versicherern.

May 14
Event

Webcast: Regresspotenziale nutzbar mit KI

André Ullrich von der Roland Rechtsschutz AG erzählt Ihnen in einem Praxisbericht, wie Regresspotenziale mit KI nutzbar gemacht werden können.

Event

Webcast: VA-IT Anforderungen umsetzen

Unsere Experten Kerstin Gießer und Carsten Hufnagel von der TIMETOACT berichten Ihnen, wie VA-IT-Anforderungen schnell und Modular umgesetzt werden können.

Articifial Intelligence & Data Science
Service

Artificial Intelligence & Data Science

Aus strukturierten und unstrukturierten Daten wertvolle Informationen extrahieren — das verbirgt sich hinter Data Science.

Event

Webcast: Cloud Transformation & "run your App"

Lernen Sie mit Jochen Schneider die Cloud 1.0 (Cloud 1.0 (Lift&Shift), Cloud 2.0 (Microservices, Big Data) und Cloud 3.0 (Multi Cloud Management, Big Compute) kennen.

Event 06.05.20

Webcast: Versicherung und Data Science

Marc Bastian zeigt Ihnen ein Beispiel einer analytischen Infrastruktur für KI Anwendungsfälle, praktische Projekterfahrung und Erfolgsfaktoren.

Event

Webcast: Das kognitive Versicherungsunternehmen

Lernen Sie von Dr. Jürgen Huschens das Konzept des Kognitive Enterprise kennen, die Adaption auf die Versicherungsindustrie und vieles mehr.

Event

Webcast: Smarte Erkennung von Kostennoten

Unsere Speaker Madeline Jolk und Frank Trila von der TIMETOACT berichten Ihnen alles rund um das Thema Erkennung von Kostennoten.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!