Cyber-Angriffe: Die große Hoffnung namens DORA
Der Verband der Digitalindustrie, Bitkom, schlägt Alarm. „Cyber-Attacken sind aktuell eine der größten Bedrohungen für die deutsche Wirtschaft und Gesellschaft“, warnt Verbandspräsident Ralf Wintergerst. Anlass für seine Worte war eine Pressekonferenz Mitte Februar, auf der der Verband seine aktuelle Schätzung zur Cyber-Kriminalität im vergangenen Jahr bekannt gab. Demnach haben der Diebstahl von IT-Ausrüstung und Daten, digitale und analoge Industriespionage sowie Sabotage im Jahr 2023 Schäden von insgesamt 206 Milliarden Euro verursacht. Fast drei Viertel dieser Summe – rund 148 Milliarden – gingen demnach auf Cyber-Angriffe zurück.
Weil eine Entspannung der Bedrohungslage derzeit nicht absehbar ist, fordert Wintergerst, der hauptamtlich Vorstandsvorsitzender des Sicherheitstechnik- und Banknotenherstellers Giesecke+Devrient ist: „IT-Sicherheit muss ganz oben auf die Agenda in den Unternehmen gesetzt und mit den notwendigen Ressourcen ausgestattet werden.“
Ziel: Harmonisierung des Sicherheitsniveaus im EU-Finanzsektor
Ein zusätzlicher Impuls kommt in diesem Jahr von DORA. Damit verfolgt die Europäische Kommission das Ziel, den betroffenen Unternehmen in den Mitgliedsländern einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cyber-Sicherheitsrisiken sowie Risiken bei der Informations- und Kommunikationstechnologie (IKT) auf den Finanzmärkten zu geben. Der Fokus liegt darauf, die finanzielle Widerstandsfähigkeit speziell von Finanzunternehmen und deren kritischen Dienstleistern zu gewährleisten. Der Gedanke dabei: Eine schwerwiegende Betriebsunterbrechung in Folge eines Cyber-Angriffs könnte die Sicherheit des gesamten Finanzsektors gefährden.
Die Vorgaben zielen daher darauf ab, den (IT-)Betrieb der Unternehmen widerstandsfähiger gegenüber potenziellen Hackerangriffen zu machen, sodass im Ergebnis die Wahrscheinlichkeit eines kompletten oder teilweisen Produktionsstopps signifikant sinkt. „Die Zahl digitaler Störaktionen und Cyber-Angriffe nimmt nachweislich zu“, sagt auch Stefan Weddemar, Senior Manager, IT Advisory Financial Services and Sustainability bei Forvis Mazars in Deutschland. „DORA bietet Finanzdienstleistungsunternehmen die Chance, ihre digitale Resilienz zu stärken sowie ihre Informations- und Cyber-Sicherheit zu verbessern und so ein neues Sicherheitsniveau zu erreichen. Diese Gelegenheit gilt es zu nutzen – nicht nur, um die regulatorische Compliance sicherzustellen, sondern auch, um damit das Vertrauen bei den Stakeholdern zu stärken.“
DORA ist bereits am 16. Januar 2023 in Kraft getreten. Es gilt eine Übergangsfrist bis zum Januar 2025. Stefan Weddemar beobachtet aber bereits jetzt starken Druck bei Finanzunternehmen, ihre Handlungsbedarfe aus den DORA-Anforderungen zu identifizieren und umzusetzen. DORA führt einen ganzheitlichen Rahmen für ein effektives Risikomanagement ein – mit IKT- und Cyber-Sicherheitsfunktionen für die Behandlung und Meldung von Störungen sowie für das Management von Drittanbietern. Damit zielt die Richtlinie darauf ab, eine konsistente Bereitstellung von Dienstleistungen über die gesamte Wertschöpfungskette hinweg zu gewährleisten.
Regulativ liegt das Augenmerk von DORA auf fünf Kernthemen: Neben der operativen Resilienz und dem IKT-Riskmanagement sind dies das Management von IKT-Vorfällen und Cyber-Security, das Digital Operational Resilience Testing, die Governance und das Management von Drittparteien und Informationsaustausch. „Generell lässt sich festhalten, dass DORA eine Evolution der bestehenden regulatorischen Anforderungen an die digitale Resilienz darstellt“, stellt Stefan Weddemar fest. „So wird unter anderem das Risikomanagement intensiviert und an einigen Stellen insgesamt komplexer. Aber die regulierten Unternehmen stehen nicht vor einer völlig neuen Ausgangslage. Auch ohne die Direktive wären sie gefordert, ihre IT-Prozesse im Rahmen des digitalen Fortschritts weiterzuentwickeln. Zwar werden sie nun mit DORA voraussichtlich zusätzliche Tools benötigen und Anpassungen durchführen müssen, was in Einzelfällen ein komplettes Neuaufsetzen der IT bedeutet. Diese Belastungen sollten aber nicht den Blick dafür verstellen, dass DORA viele Chancen mit sich bringt – vor allem die, dass Unternehmen ihre Abwehrsicherheit erhöhen.“
Beim Thema Cyber-Resilienz spielt der Aufsichtsrat eine zentrale Rolle
Eine wichtige Funktion hat für den Experten von Forvis Mazars in diesem Zusammenhang der Aufsichtsrat. „Er muss die Projekte zu Beginn des DORA-Weges initiieren“, bekräftigt er. „Dabei ist es hilfreich, wenn zunächst eine GAP-Analyse zur Identifizierung von Lücken und zur allgemeinen Definition von Umsetzungsmaßnahmen durch das Gremium auf den Weg gebracht wird. Des Weiteren sollte der Aufsichtsrat in die Auswahl der Expert*innen, die das DORA-Projekt unterstützen, eingebunden werden und die entsprechenden finanziellen und personellen Ressourcen freigeben.“ Damit das Gremium dieser Aufgabe gerecht werden kann, sind die Mitglieder gefordert, ein gründliches Verständnis dafür zu entwickeln. Nur so können sie die Relevanz und den Umfang der gesetzlichen Anforderungen verstehen.
Dass die Einhaltung der Anforderungen überwacht werden muss, gehört zu den Kernaufgaben des Kontrollorgans. Dessen Mitglieder müssen die Umsetzung von Sicherheitsmaßnahmen und -prozessen, auch in Bezug auf Compliance und Berichterstattung, regelmäßig überwachen. Voraussetzung dafür ist, dass der Aufsichtsrat von der Geschäftsführung kontinuierlich zeitnahe Berichte über die Fortschritte bei der Umsetzung erhält, die er dann prüfen kann.
Doch was ist zu tun im Falle einer digitalen Störung und von schwerwiegenden Sicherheitsvorfällen? Hier sollte das Gremium sicherstellen, dass das Unternehmen über wirksame Pläne und Prozesse für ein Krisenmanagement in solchen Situationen verfügt. „In diesem Zusammenhang geht es darum, eine Sicherheitskultur im Unternehmen zu fördern, die das Bewusstsein der Mitarbeiter*innen für Cyber-Sicherheit und digitale Resilienz stärkt“, ergänzt Stefan Weddemar.
Der Experte von Forvis Mazars empfiehlt, dass der Aufsichtsrat eng mit den zuständigen Aufsichtsbehörden zusammenarbeitet und den Fokus darauf legt, dass die erforderlichen Informationen und Berichte bereitgestellt werden. „DORA erfordert eine umfassende Risikobewertung innerhalb des Unternehmens. Aufsichtsrat und Geschäftsführung müssen dafür Schwachstellen und Abhängigkeiten identifizieren und proaktiv Maßnahmen ergreifen, um sich zu schützen“, fasst er die Auswirkungen der Richtlinie auf digitale Resilienz und Cyber-Sicherheit zusammen. „Der ganzheitliche Ansatz aus etabliertem Krisenmanagement, regelmäßigen Tests und Übungen sowie einer transparenten Berichterstattung hilft den betroffenen Unternehmen ganz entscheidend dabei, digital einfach sicherer und krisenfester zu werden.“