Die EU setzt mit DORA neue Maßstäbe für die IT im Finanzsektor

Autoren: Thibaud Kehler (Team Manager Financial Services), Dennis Bastian (IT Security Consultant), Christoph Ritter (Head of Red Teaming)

Seit mehr als einem Jahr nimmt die Europäische Union das Finanzwesen wieder verstärkt in den Blickpunkt. Neben der Einführung eines "Digitalen Euros" und der Regulierung der neu aufkommenden Kryptowährungen zielt die EU auch darauf ab, den "klassischen" Finanzsektor durch eine einheitliche Aufsicht anzugleichen und insbesondere die Resilienz gegenüber Cyberangriffen zu stärken. Bereits im Jahr 2020 begann die Europäische Kommission deshalb mit der Arbeit an einer Verordnung über digitale Betriebsstabilität (Digital Operational Resilience Act (DORA)), die für den gesamten Finanzsektor europaweit die Anforderungen an die eingesetzten Informations- und Kommunikationstechnologien insbesondere auch mit Blick auf die Netzwerk- und Informationssicherheit regeln soll.

DORA ergänzt die zeitgleich verhandelte Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2) und die Richtlinie über die Resilienz kritischer Einrichtungen, welche die Netzwerk- und Informationssicherheit allgemein und für kritische Systeme betreffen. Nachdem am 23. Juni 2022 in den Trilog-Verhandlungen eine Einigung zwischen EU-Rat und EU-Parlament erzielt werden konnte, kann mit einer Verabschiedung Ende 2022 und Anwendung bis 2024/2025 gerechnet werden.

Die SySS hat den aktuellen Diskussionsstand studiert und für Sie herausgearbeitet, was sich durch die DORA-Verordnung für das Pentesting und das Red Teaming im Finanzsektor voraussichtlich ändern wird.

Wen betrifft DORA?

Die neue Verordnung betrifft zunächst alle Finanzunternehmen, die bis heute schon unter der Aufsicht der BaFin stehen (Kreditinstitute, Versicherungen, Kapitalverwaltungsgesellschaften und Elektronische Zahlungsanbieter). Da in Deutschland bereits heute hohe Anforderungen an die IT und die IT-Sicherheit dieser Unternehmen gestellt werden und in zahlreichen Rundschreiben der BaFin (BAIT, VAIT, ZAIT, KAIT, MaRisk) ausgestaltet wurden, sind viele der Unternehmen aus diesen Branchen schon gut aufgestellt. Die in 2021 erst novellierte BAIT greift zum Beispiel jetzt schon zahlreiche Bestandteile von DORA auf. Durch die DORA-Verordnung werden jedoch die bisher freiwilligen TIBER-Tests zum Teil verpflichtend. Finanzunternehmen sollten dies bereits jetzt schon bei ihrer Budgetplanung berücksichtigen.

Artikel 2 des aktuellen Diskussionsstandes listet auch viele weitere Arten von Finanzunternehmen auf, wie beispielsweise Anbieter von Buchhaltung, Kreditratings, Bonitätsprüfungen oder Crowdfundings.

Die neue Richtlinie betrifft indirekt aber auch Drittanbieter von sogenannten Informations- und Kommunikationstechnologien (IKT) – wobei der Begriff sehr weit gefasst ist –, sofern sie in einer der oben genannten Branchen eine beherrschende Stellung haben. Hierzu zählen Entwickler von Banking-Apps, Hersteller von Geldautomaten und Betreiber von Kernbankensystemen, genauso wie Cloud-Anbieter und Rechenzentren.

Vom Anwendungsbereich werden aber auch manche Unternehmen ausgeschlossen, zum Beispiel Hardwareproduzenten und elektronische Kommunikationsdienste. Viele Vorgaben der neuen Verordnung gelten für mittlere Unternehmen außerdem nur eingeschränkt und für kleine (weniger als zehn Mitarbeiter:innen und unter 10 Mio. € Bilanzsumme/Jahresumsatz) gar nicht.

Sehr viele Unternehmen, die bisher nicht unter der Aufsicht der BaFin standen, sollten also bald prüfen, ob für sie die neuen Anforderungen der Verordnung gelten und ob Umsetzungsbedarf besteht.

Pentests in DORA

Die DORA-Verordnung sieht in den Artikeln 21 bis 25 explizit vor, dass Finanzunternehmen ein umfassendes Programm zur Prüfung ihrer digitalen Betriebsstabilität entwickeln, um

1. die Abwehrbereitschaft zu bewerten,
2. Schwachstellen, Mängel oder Lücken in ihrer digitalen Betriebsstabilität zu erkennen und
3. Korrekturmaßnahmen frühzeitig umsetzen zu können.

Der gesamte Prüfrahmen soll sich an der Größe sowie dem Geschäfts- und Risikoprofil des Unternehmens orientieren. Bei der Durchführung soll ein risikobasierter Ansatz verfolgt werden, das heißt, dass sich der Umfang und die Frequenz der Prüfung am Schutzbedarf und dem ausgesetzten Risiko der einzelnen IKT-Systeme ausrichten soll. Mindestens müssen Finanzunternehmen jedoch kritische IKT-Systeme einmal jährlich prüfen. 

Welche Art der Prüfung wann angemessen ist, liegt hierbei im Ermessen des Finanzunternehmens. Die DORA-Verordnung nennt hier nicht abschließend:

• Source-Code-Analysen
• Bewertung der Netzsicherheit
• Automatisierte Schwachstellenscans
• Fragebögen
• Gap-Analysen
• Analyse/Überprüfung der physischen Sicherheit
• Szenariobasierte Tests
• Kompatibilitätstests
• Leistungstests
• Penetrationstests

Das Team "Financial Services" der SySS berät Sie gerne bei der Aufstellung eines jährlichen Prüfplans, bei der Auswahl einer angemessenen Prüfungsart und natürlich bei der Prüfung selbst. Wenden Sie sich dazu gerne an thibaud.kehler(at)syss.de.

Der bedrohungsorientierte Penetrationstest: das Red Teaming

Alle drei Jahre müssen alle kritischen Systeme sogar im Rahmen eines "bedrohungsorientierten Penetrationstests" einer "erweiterten Prüfung" am Liveproduktionssystem unterzogen werden. Die genaue Prüfmethodik muss noch von den europäischen Aufsichtsbehörden (ESAs, EZB) definiert werden, wobei diese im Einklang mit dem bereits existierenden TIBER-EU-Standard für Red Teaming stehen soll. Die SySS hat bereits heute mehrere TIBER-DE-Tests durchgeführt und viel Erfahrung auf diesem Gebiet vorzuweisen. Sie ist damit bestens vorbereitet, um Sie bei der Durchführung von den neuen bedrohungsorientierten Penetrationstests zu unterstützen.

SySS ist Ihr Dienstleister für DORA

Alle eben genannten Prüfungen müssen von unabhängigen Dienstleistern wie der SySS durchgeführt werden, an die ebenfalls hohe Anforderungen gestellt werden. Die SySS genießt als Marktführer für Penetrationstests seit 24 Jahren im DACH-Raum ein höchstes Ansehen und hat ihre technischen und organisatorischen Fähigkeiten bei zahlreichen Projekten auch im Finanzsektor nachgewiesen. Bereits 2009 entwarf Inhaber und Geschäftsführer Sebastian Schreiber eine der ersten Ethiken für Penetrationstester, die von allen Mitarbeiter:innen der SySS aktiv gelebt wird. Die SySS verfügt ebenfalls über eine notwendige Betriebshaftpflichtversicherung und schließt mit Ihnen ein Non Disclosure Agreement (NDA) und einen Auftragsverarbeitungsvertrag (AVV) ab, falls nötig. Durch die mehrfache Zertifizierung (ISO 27001, TISAX) kann die SySS auch eine unabhängige Gewähr vorweisen, dass Ihre Daten und Geschäftsgeheimnisse sowie etwaige identifizierte Schwachstellen stets professionell und mit minimiertem Risiko gehandhabt werden.

Der aktuelle Entwurf sieht gegebenenfalls auch neue Zertifizierungen und Akkreditierungen für Pentest-Dienstleister vor, die jedoch noch zwischen der Verabschiedung und der Anwendung von den Mitgliedsstaaten und ihren Aufsichtsbehörden ausgestaltet werden müssen. Die SySS wird sofort eine solche Zertifizierung anstreben, um Ihnen frühestmöglich bei der Umsetzung von DORA zur Verfügung zu stehen.

Außerdem neu: Meldepflichten und Strafen

Neu durch die DORA-Verordnung sind neben einem Risiko- und Business Continuity Management außerdem umfassende Meldepflichten. Die Aufsichtsbehörden, in Deutschland die BaFin, müssen über Prüfberichte ebenso informiert werden wie über gravierende IT-Ausfälle und -Sicherheitsvorfälle. Bei gravierenden oder wiederholten Verstößen sollen die Aufsichtsbehörden empfindliche Geldstrafen bis zu 1 % des weltweiten Tagesumsatzes verhängen können.

Quellen

• Pressemitteilung: https://www.consilium.europa.eu/de/press/press-releases/2022/05/11/digital-finance-provisional-agreement-reached-on-dora/
• DORA – endgültiger Kompromisstext: https://data.consilium.europa.eu/doc/document/ST-10581-2022-INIT/en/pdf  (2022-06-23, englisch, PDF)
• DORA-Vorschlag der EU-Kommission: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0595 (2020-09-06, mehrsprachig, Text)
• Zeitleiste: https://eur-lex.europa.eu/procedure/EN/2020_266
• Gesetzgebungsverfahren des EU-Parlaments: https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=en&reference=2020/0266(OLP)
• https://www.haufe.de/compliance/recht-politik/eu-digital-operational-resilience-act-dora_230132_571156.html
• BaFin-Rundschreiben BAIT: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/Aenderung_am_Rundschreiben_1017_BA.html