Titelbild Expertenbericht DORA IAM

DORA:
Stärkung der Resilienz
im europäischen Finanzwesen
durch IAM

DORA: Stärkung der Resilienz im europäischen Finanzwesen

Täglich verarbeiten Finanzinstitute enorme Mengen an sensiblen Daten, was sie zu begehrten Zielen für Cyberkriminelle macht. Trotzdem haben viele dieser Institute keine einheitlichen Maßnahmen zur Gewährleistung der Cybersicherheit. Nach einer Umfrage des IWF fehlen 56 % der Zentralbanken im Finanzsektor eine nationale Cyberstrategie, und 42 % verfügen über keinerlei Richtlinien für Cybersicherheit und Risikomanagement.

DORA-Verordnung: worum geht es?

Die Digitale Betriebs Resilienz-Verordnung (Digital Operational Resilience Act, DORA) ist eine Regelung der Europäischen Union mit dem Ziel, die betriebliche Widerstandsfähigkeit des europäischen Finanzsektors zu stärken. Ihr Zweck besteht darin, Finanzinstitute zu befähigen, ihren Schutz vor Cyberbedrohungen, IT-Zwischenfällen und betrieblichen Risiken zu verbessern und ihnen zu ermöglichen, im Notfall schnell wieder handlungsfähig zu sein.

Die Einführung von DORA hatte nicht nur präventiven Charakter, sondern war eine Reaktion auf die zunehmende Abhängigkeit von digitalen Technologien im Finanzwesen, die eine proaktive Risikominderung notwendig macht. Da Cyberangriffe den Finanzsektor anhaltend ins Visier nehmen, gewinnt das Risikomanagement zunehmend an Bedeutung.
Tag für Tag verarbeiten Finanzinstitute beträchtliche Mengen an sensiblen und vertraulichen Daten, darunter personenbezogene Finanzinformationen, Kontodaten und Sozialversicherungsnummern, um nur einige Beispiele zu nennen. Es ist längst kein Geheimnis mehr, dass dies sie zu attraktiven Zielen für Cyberkriminelle macht. Während einige Organisationen bereits verschiedene Maßnahmen zur Cybersecurity umgesetzt haben, trifft dies bei weitem noch nicht auf alle zu. 

Eine Umfrage des Internationalen Währungsfonds (IWF) ergab Folgendes:

  • 56 % der Zentralbanken und Aufsichtsbehörden haben keine nationale Cyberstrategie für den Finanzsektor.
  • 42 % der Länder fehlen die erforderlichen Richtlinien für Cybersicherheit und Risikomanagement.
  • In 64 % der Länder sind Sicherheitsüberprüfungen nicht verpflichtend.
  • 54 % haben kein festes System zur Meldung von Sicherheitsvorfällen.
  • Schockierende 48 % haben keine Richtlinien für Cybersecurity.

DORA: was sind die betroffenen Sektoren?

Die DORA-Verordnung gilt für mehr als 22.000 Finanzinstitute und IKT-Dienstleister, die innerhalb der EU tätig sind, sowie für die IKT-Infrastruktur, die sie von außerhalb der EU unterstützt. Die Verordnung führt spezifische und präskriptive Anforderungen für alle Teilnehmer am Finanzmarkt ein, einschließlich:

  • Banken
  • Zahlungsdienstleister
  • Versicherungen
  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Vermögenswerten
  • Datenmeldedienstleister und Cloud-Dienstleister

Welche Richtlinien zur Einhaltung beinhaltet DORA für Finanzinstitute?

Die DORA Verordnung setzt fünf Hauptaspekte um:

  1. IKT-Risikomanagement: DORA schreibt umfassende Rahmenwerke für das IKT-Risikomanagement vor, die sich an internationalen Standards ausrichten. Dies erfordert Strategien zur digitalen Resilienz, Risikokennzahlen und Kommunikationspläne für den Fall von Vorfällen.
  2. Berichterstattung von Vorfällen: Organisationen müssen IKT-Vorfälle klassifizieren und melden. Umfassende Systeme ermöglichen die Analyse, die Behandlung der Hauptursachen und die Vorbeugung von Wiederholungen.
  3. Prüfung der digitalen operativen Resilienz: Regelmäßige unabhängige Tests bewerten die Abwehrmaßnahmen gegen IKT-Sicherheitsvorfälle anhand verschiedener Beurteilungen und Szenarien.
  4. Risikomanagement für IKT-Drittanbieter: Institutionen, die mit Drittanbieter-IKT-Diensten zusammenarbeiten, benötigen Strategien zur Bewältigung der damit verbundenen Risiken, inklusive Maßnahmen zur Vertragsbeendigung bei Bedarf.
  5. Informationsaustausch: DORA ermöglicht den Austausch relevanter Informationen über IKT-Risiken zwischen vertrauenswürdigen Finanzgemeinschaften, um die Widerstandsfähigkeit zu stärken und Risiken zu mindern.

Zeitrahmen für die Umsetzung der DORA-Anforderungen

Am 16. Januar 2023 trat die endgültige Fassung der DORA-Verordnung in Kraft. Für die Umsetzung wurde eine Frist von 24 Monaten festgelegt. Die betroffenen Finanzunternehmen müssen die erforderlichen Maßnahmen bis zum 17. Januar 2025 umsetzen.

Jetzt, da die Verordnung in Kraft getreten ist, haben die zuständigen Aufsichtsbehörden die Möglichkeit, technische Regulierungsstandards (Regulatory Technical Standards, RTS) zu erarbeiten. Obwohl der anfängliche Zeitrahmen großzügig erscheinen mag, sollten Finanzunternehmen nicht zu lange zögern, die Richtlinie umzusetzen, und stattdessen rasch Schritte zur Erfüllung der Vorgaben unternehmen.

Wie IAM zur Einhaltung von DORA beiträgt

Bedrohungsakteure nutzen Schwachstellen und unzureichend verwaltete Identitäten, um Unternehmen zu stören, Daten zu stehlen oder Erpressungen durchzuführen. Diese Angriffe betreffen nicht nur das Unternehmen selbst, sondern auch Kunden, Stakeholder und den Finanzmarkt insgesamt.

Identitätsbasierte Cyberangriffe, die hauptsächlich auf kompromittierte Benutzerzugangsdaten abzielen, sind gängige Methoden von Cyberkriminellen, da Identitäten der effektivste Weg sind, um die IT-Infrastruktur zu kontrollieren. Um DORA-konform zu sein, müssen Finanzorganisationen alle Vereinbarungen im Zusammenhang mit dem DORA-Risikomanagement definieren, genehmigen, überwachen und verantworten. Hier spielt IAM eine zentrale Rolle.

IAM ist eine Sicherheitsdisziplin, die in kritische Geschäftsprozesse integriert wird, um sicherzustellen, dass nur berechtigte Personen zum richtigen Zeitpunkt auf die richtigen Informationen zugreifen können. Dies gilt für Mitarbeiter, Kunden (oft als Customer Identity Access Management oder CIAM bezeichnet) und Lieferanten. Dieses Zugangsmanagement kann auf Abteilungs- und individueller Rollenebene eingerichtet werden, um den Zugriff auf Daten und Systeme an die jeweiligen Aufgaben anzupassen.

Mit zunehmender Nutzung von Software-as-a-Service und Cloud-Infrastrukturen wird die IT- und Identitätslandschaft komplexer. Zur Einhaltung von DORA und anderen Datenschutzbestimmungen benötigen Unternehmen klare Einblicke, wie menschliche und maschinelle Identitäten auf geschützte Daten zugreifen. Dank DORA rückt die IKT-Widerstandsfähigkeit in den Fokus der EU-Finanzdienstleister, und IAM ist eine zentrale Disziplin zur Unterstützung der Compliance.

DORA-Compliance: wie IPG Sie unterstützen kann

Bei IPG stehen unsere Experten zur Verfügung, um sowohl bei der Klärung der neuen Anforderungen von DORA zu unterstützen als auch bei der Umsetzung von IAM, um diese Anforderungen zu erfüllen. Wir können bei der Entwicklung einer IAM-Strategie und eines Betriebsmodells helfen, Identitätsanalysen, das Management des Identitätslebenszyklus, Zugriffsrechteverwaltung und mehr. Am wichtigsten ist, dass wir dazu beitragen, die IKT-Widerstandsfähigkeit zu stärken, um das Geschäft, die Kunden und den Finanzmarkt zu unterstützen.

* Pflichtfelder
DSGVO
Wenn Sie die im Kontaktformular eingegebenen Daten durch Klick auf den nachfolgenden Button übersenden, erklären Sie sich damit einverstanden, dass wir Ihre Angaben für die Beantwortung Ihrer Anfrage bzw. Kontaktaufnahme verwenden. Eine Weitergabe an Dritte findet grundsätzlich nicht statt, es sei denn geltende Datenschutzvorschriften rechtfertigen eine Übertragung oder wir dazu gesetzlich verpflichtet sind. Sie können Ihre erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Im Falle des Widerrufs werden Ihre Daten umgehend gelöscht. Ihre Daten werden ansonsten gelöscht, wenn wir Ihre Anfrage bearbeitet haben oder der Zweck der Speicherung entfallen ist. Sie können sich jederzeit über die zu Ihrer Person gespeicherten Daten informieren. Weitere Informationen zum Datenschutz finden Sie auch in der Datenschutzerklärung dieser Webseite.

Bitte Captcha lösen!

captcha image
Logo von IPG mit weißem Hintergrund - Experts in IAM
Ihr Kontakt zu IPG
CH: +41 522450474 / DE: +49 3030807135 / AT: +43 72 0512526 IPG Information Process Group AG
Teaserbild KPT Referenz IAM
Referenz 13.11.23

Effizientes IAM für Cloud-Systeme bei der KPT

Mit einer neuen IAM-Lösung behält KPT die Kontrolle über Benutzerkonten und Berechtigungen, um einen effizienten und sicheren Betrieb ihrer Cloud-Systeme zu gewährleisten. ✅ Lesen Sie mehr dazu.

Teaserbild Expertenbericht IAM zu FINMA Rundschreiben
Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.

Blog 30.11.21

Datensouveränität und europäische Lösungen

In den Zielen des Digitalkompass 2030 der EU-Exekutive wird eine Reihe von Vorgaben genannt, die bis zum Ende des Jahrzehnts erreicht werden sollen.

Blog 09.01.25

OVHcloud – die europäische Antwort auf den Daten-Dschungel

In der heutigen Insights!-Folge gibt Falk Weinreich uns spannende Einblicke in die Welt von nachhaltigen Rechenzentren und Gaia X.

DORA 24 Teaserbild
Blog 10.07.24

DORA-Compliance: Was Finanzunternehmen jetzt wissen müssen

DORA und IAG: Wie Finanzinstitute die Anforderungen der neuen Verordnung erfüllen und die IT-Sicherheit verbessern können. Lesen Sie hier mehr.

Kompetenz

New Work & Agile Organization

In Sachen New Work und Agile Organization geht es uns nicht um das Erreichen von Utopien, sondern um wirkliche, nachhaltige Veränderung, die Ihr Business genauso voranbringt wie Ihre Mitarbeitenden.

Kompetenz

Artificial Intelligence & Data Strategy

Jedes Unternehmen erfasst und verwaltet Unmengen an Daten, z. B. aus Produktionsprozessen oder Geschäftstransaktionen.

Service

Analytics, BI & Planning

Leistungsstarke und flexible Lösungen, damit Sie mit Analytics, BI & Planning bessere Entscheidungen treffen, Kundenbedürfnisse erfüllen & Chancen erkennen

Kompetenz

Sourcing Strategy, Spend Management & Compliance

Trotz immer leistungsfähigerer IT steigen die IT-Kosten gemessen am Umsatz / an EBITDA stetig an.

Service

Cloud Transformation

Mit Cloud Transformation Betriebskosten senken, die Effizienz von IT-Services steigern und Innovationen schneller vorantreiben

Kompetenz

Technology Adoption & Integration

IT ist die treibende Kraft hinter der digitalen Transformation.

Service

API Economy, DevOps, Low Code & MACH

Kundenorientierte Lösungen zu den Themen API Economy, DevOps, Low Code und MACH (Microservices, API-first, Cloud-native und Headless Architecture)

Service

IT & Application Modernization

Wir bieten unseren Kunden eine umfassende Unterstützung im Bereich IT & Application Modernization an.

Wissen 02.05.24

Das Potenzial der Datenkultur im Unternehmen ausschöpfen

Haben Sie schon einmal darüber nachgedacht, ob Ihr Unternehmen wirklich das volle Potenzial der Datenkultur ausschöpft? Stellen Sie sich einen Arbeitsplatz vor, an dem jeder Schritt, jede Entscheidung und jede Strategie auf fundierten und datengetriebenen Erkenntnissen basiert. Wo jeder Mitarbeiter das Vertrauen hat, sicher durch die digitale Landschaft zu navigieren. Unser neuer Deep Dive von Dr. Jan Hachenberger (engl. Sprache) beleuchtet die Welt der Datenkultur. Erfahren Sie, wie Sie gängige Mythen rund um datengetriebene Kulturen entlarven, die Grundpfeiler für eine erfolgreiche Datenkultur errichten und wertvolle Einblicke von Experten gewinnen können.

Event Archive

Treffen Sie uns auf der SAMS DACH 2024!

Stellen Sie uns am TIMETOACT GROUP-Stand Ihre Fragen. Spielen Sie mit uns eine Runde Mario Kart. Und: erfahren Sie im Workshop alles über die Rolle von SAM im ESG-Reporting der EU.

Feb 25
Standort

Bern

Finden Sie u.a. catworkx GmbH in Bern: Kramgasse 82, 3011 Bern, Schweiz, Tel.: +41 31 302 60 00, E-Mail: info-ch@catworkx.com

Social 13.05.24

WOMEN IN TECH – Das neue Frauennetzwerk der TIMETOACT GROUP

Letzte Woche versammelten sich rund 60 Kolleginnen in Frankfurt, um den Auftakt des ersten WOMEN IN TECH Frauen-Netzwerks der TIMETOACT GROUP zu feiern.

Blog 13.05.24

99% der Cyberangriffe abwehren: Mit den richtigen Maßnahmen

IT-Sicherheit ist ein zentrales Anliegen für Unternehmen und Organisationen, erfahren Sie in diesem Blogbeitrag, welche 5 Maßnahmen gegen Angriffe schützen.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!