Der Finanzsektor zählt zu den am meisten von Cyberattacken betroffenen Branchen. Um den europäischen Finanzunternehmen zu mehr digitaler Betriebsstabilität zu verhelfen und systemische IT-Risiken zu reduzieren, hat die EU den Digital Operational Resilience Act (DORA) verabschiedet. Die damit verbundenen erhöhten Sorgfalts- und Berichtspflichten stellen die Branche vor Herausforderungen: Revisionssichere Dokumentation von Auslagerungen, sichere Verträge, die den spezifischen rechtlichen Vorgaben entsprechen, sowie jederzeitige Auskunftsfähigkeit. Wie lassen sich diese EU-Vorgaben effizient und zuverlässig umsetzen? Wie kann die Digitalisierung dabei helfen? Dazu diskutierten beim Presse #nextlevel-Talk:
- Dr. Anna Muri, Senior Spezialistin IT-Risiko-Aufsicht, Finanzmarktaufsicht (FMA)
- Florian Polt, Head of Group Security, UNIQA Insurance Group AG
- Gerald Kogler, Leiter des Branchenteams für Versicherungen, EY Österreich
- Robin Schmeisser, Geschäftsführer, Fabasoft Contracts GmbH
Zunehmend KI-gestützte Cyberattacken
Cyberangriffe haben in Österreich vergangenes Jahr um 201 % zugenommen, so die KPMG-Studie „Cybersecurity in Österreich 2023“¹. Rund 60.000 angezeigte Fälle lagen den Behörden 2022 vor, die Dunkelziffer dürfte noch deutlich höher liegen.² Dabei entwickeln Hacker immer professionellere Methoden, um zu den gewünschten Daten zu gelangen – unter anderem durch Nutzung künstlicher Intelligenz. So sind dank Large Language Models (LLM) mittlerweile keine Sprachkenntnisse mehr erforderlich, um glaubhafte E-Mails zu verfassen. Dies geht so weit, dass die KI sogar fertige HTML-Codes für Schadsoftware liefert. 22 % der österreichischen Unternehmen waren in den vergangenen zwölf Monaten bereits von sogenannten Deepfakes betroffen¹.
Unterschiedliche Regulatorik je Branche
Je nach Art und Größe der Finanzunternehmen unterschied sich die Rechtslage vor DORA teilweise stark. „Banken und Versicherungen haben früh begonnen zu digitalisieren und Dienstleistungen auszulagern“, so Florian Polt. Diese Abhängigkeit von IT-Systemen sei auch der Grund, weshalb Banken und große Versicherungen in der Vergangenheit schon von diversen Regulierungen zur IKT-Sicherheit und zum Outsourcing betroffen waren (Leitlinien der EBA und EIOPA). Andere Finanzdienstleister, beispielsweise kleinere Wertpapierfirmen, hatten erst wenige Berührungspunkte u. a. mit Resilienztests oder Berichtspflichten. „Die Kunst von DORA ist es, durch eine einheitliche Regulierung ein sogenanntes Level Playing Field für den gesamten europäischen Finanzsektor zu schaffen“, erklärt Anna Muri, was gleiche und faire Wettbewerbsbedingungen für alle Marktteilnehmer:innen bedeutet.
Neue Herausforderungen
„Wie gut der Finanzsektor auf die Vorgaben vorbereitet ist, hängt von der Cyber-Maturity, sprich dem Reifegrad, des jeweiligen Unternehmens ab“, meint Muri. Neben bekannten Themenfeldern wie dem IT-Risikomanagement, halten dabei speziell neue Inhalte der Verordnung Herausforderungen für die Branche bereit.
„Für kleinere Unternehmen wird es eine Kraftanstrengung, beizeiten mit der Umsetzung fertig zu werden. Der heikelste Punkt wird sein, die Drittanbieter zur Zufriedenstellung des Regulators entsprechend zu verwalten“, vermutet Gerald Kogler. Auch Robin Schmeisser rät, den administrativen Aufwand hinter dem Management der IKT-Drittanbieter nicht zu unterschätzen. Insbesondere, da die Ressourcen in Unternehmen häufig eng und bereits gebunden sind: „Um DORA-konform zu werden, müssen Finanzdienstleister ihre bestehenden Verträge kontrollieren, mit ihren Partnern sprechen, Ergänzungsvereinbarungen schließen und sämtliche Details zu ihren IKT-Dienstleistern inklusive deren Lieferketten im Informationsregister nachweisbar und jederzeit abrufbar vorhalten“, erklärt Robin Schmeisser. Betreffend Lieferketten stellt DORA die Finanzbranche vor die Aufgabe, die gesamte Supply-Chain ihrer IKT-Anbieter abzubilden. „Unternehmen müssen das Risiko kennen“, so Muri. „Die Grundlage für ein gutes IKT-Risikomanagement ist, zu wissen, mit welchen Dienstleistern und wiederum Subdienstleistern ich arbeite und wie kritisch diese sind.“
Auch die bedrohungsorientierten Resilienztests (Threat-Led-Penetration Testing) nach dem Rahmenwerk TIBER sind für viele Betriebe neu. „Die Methode unterscheidet sich grundlegend von bisherigen Tests“, meint Polt. „Diese fanden normalerweise in einer Trainingsumgebung statt. TIBER hingegen sieht das Testen von kritischen oder wichtigen Funktionen auf dem Produktivsystem vor, wodurch im schlimmsten Fall das System tatsächlich lahmliegt.“ Schmeisser sieht die Vorteile der Vorgehensweise: „Unter Stress passieren andere Fehler, als in einer Testumgebung. Daher ist auch der Erkenntnisgewinn deutlich höher. Notfallsituationen wie diese zeigen tatsächliche Schwachstellen auf, wodurch ich die notwendigen Schlüsse ziehen kann.“
Prozessautomatisierung wird zur Notwendigkeit
Um die gesetzlichen Anforderungen sowohl auf technischer als auch administrativer Ebene umzusetzen, sind die unterschiedlichen Abteilungen innerhalb der Finanzunternehmen gefordert, zusammenzuarbeiten und ihr Silodenken zu durchbrechen, meint Polt: „DORA schlägt die Brücke zwischen IT und Geschäft. Bei uns ist DORA kein reines IT- oder Sicherheitsprojekt, sondern ein crossdimensionales Unterfangen.“ Auch Schmeisser betont die Relevanz der Einbindung aller Akteur:innen: „In Unternehmen gibt es verschiedene Stakeholder, die über die benötigten Informationen verfügen. Ein wichtiger Aspekt ist das Abstimmen von Auslagerungs- und Informationsregister, um Synergien zu schaffen und Redundanzen zu vermeiden.“
Damit dies funktioniert, benötigt es die Automatisierung der Prozesse und der Dokumentensteuerung. Da sich die Daten, die es zu reporten gilt, aus den Verträgen ergeben, sieht Schmeisser das digitale Management der Verträge mit IKT-Drittdienstleistern als Schlüssel zur fristgerechten Umsetzung der Berichtspflichten und zur Vorbereitung auf aufsichtsrechtliche Prüfungen: „Wir bieten mit der Fabasoft Contracts DORA-Edition eine standardisierte Solution, die den gesamten Auslagerungszyklus inklusive des aus regulatorischer Sicht erforderlichen Berichtswesens digitalisiert. Mithilfe eines smarten Datenmodells bilden wir digitale Prozesse ab, die sich an der Ablauforganisation des Finanzunternehmens orientieren. Aus der Datenbasis generiert das System automatisiert das Informationsregister gemäß den technischen Implementierungsstandards. Mit anderen Worten: ,Information at your fingertips‘“, erklärt Schmeisser.
Was passiert nach Ende der Umsetzungsfrist?
Bis alle technischen Regulierungs- und Implementierungsstandards erfüllt sein müssen, bleibt dem Finanzsektor nicht mehr viel Zeit. „Der 17. Januar 2025 ist für uns eine harte Deadline, und wir erwarten bis dahin auch die Einhaltung der Bestimmungen“, betont Muri. Die Finanzmarktaufsicht wird DORA bis zur Umsetzungsfrist in ihren aufsichtlichen Überprüfungsprozess überführen und ihre Methodologie dementsprechend anpassen. Unternehmen sollten sich daher darauf einstellen, dass sie im Falle einer Vor-Ort-Überprüfung oder beim Eintreffen einer Anfrage jederzeit auskunftsfähig sind. Dass die Behörden schon am Stichtag vor der Tür stehen, ist laut Muri allerdings unwahrscheinlich.
Fazit: Wird DORA die Finanzwelt sicherer machen?
Auch wenn DORA den betroffenen Unternehmen operativ einiges abverlangt, sind sich die Expert:innen dennoch einig, dass die Regulierung den Finanzmarkt sicherer machen wird. „DORA verbessert nicht nur die eigene Cybersecurity der Finanzunternehmen, sondern rückt auch die makroökonomische Ebene in den Vordergrund“, so Schmeisser. „Durch die vollständige Rückverfolgbarkeit der Lieferketten lassen sich häufig genutzte Dienstleister erkennen, deren Ausfall Folgen für den gesamten Sektor hätte, und damit systemische Risiken verhindern.“
Mehr Informationen über die Fabasoft Contracts DORA-Edition finden Sie unter: www.fabasoft.com/dora
Die Aufzeichnung des #nextlevel-Talks finden Sie hier: Zur Aufzeichnung
1 KPMG & Sicherheitsforum Digitale Wirtschaft des Kompetenzzentrums Sicheres Österreich (KSÖ) 2023: Cybersecurity in Österreich 2023 - KPMG Austria
2 Statista 2022: Statistiken zur Internetkriminalität in Österreich | Statista
