Im Sommer 2023 nutzte die Hackergruppe Clop eine Schwachstelle im Datentransferprogramm MoveIT aus. Weltweit waren tausende Unternehmen und deren Kundinnen und Kunden von Datenlecks betroffen. Darunter befanden sich auch zahlreiche deutsche Finanzinstitute und Versicherer, die mit Dienstleistern im Kundenservice zusammenarbeiten, die dieses Programm nutzen.

Das Beispiel zeigt, wie stark die Abhängigkeiten in der Finanzbranche gewachsen sind. Hausgemachte IT-Pannen oder eine Cyber-Attacke können gravierende Folgen haben, die weit über das unmittelbar von ihnen betroffene Unternehmen hinausreichen. Solche Störungen müssen nicht einmal bei einem Finanzinstitut selbst auftreten. So steigt die Bedeutung von kritischen Dienstleistern. Sie übernehmen wichtige Aufgaben für einen großen Kreis an Unternehmen des Finanzsektors. Dadurch entstehen hohe Konzentrationsrisiken.

Cyberrisiken im Fokus der Aufsicht

Die Finanzaufsicht BaFin hat solche Risiken schon länger im Fokus – und entsprechende Anforderungen an die IT von Banken, Versicherern, Kapitalverwaltungsgesellschaften und Zahlungsdienstleistern gestellt. Auf europäischer Ebene gibt der Digital Operational Resilience Act (DORA) nun einheitliche Vorgaben für den Umgang mit Cyberrisiken und der IKT-Sicherheit im Finanzsektor.

Die wichtigste Errungenschaft von DORA: Die Verordnung schafft ein „single rulebook“, also europaweite Regeln für das Management von Risiken der Informations- und Kommunikationstechnologie (IKT). DORA betrifft Schätzungen zufolge mehr als 20.000 Finanzunternehmen in Europa. So gut wie alle bereits heute beaufsichtigten Institute und Unternehmen und auch zahlreiche andere Anbieter müssen die Vorgaben beachten. In Deutschland gilt DORA für mehr als 3.600 Unternehmen des Finanzsektors.

Fahrplan bis zur Anwendung

Die EU-Verordnung ist im Januar 2023 in Kraft getreten, die Institute und Unternehmen müssen den Anforderungen von DORA ab Januar 2025 nachkommen (siehe Grafik 1). Die drei Europäischen Aufsichtsbehörden – die Europäische Bankenaufsicht (European Banking Authority – EBA), die Europäische Wertpapieraufsicht (European Securities and Markets Authority – ESMA) und die Europäische Versicherungsaufsicht (European Insurance and Occupational Pensions Authority – EIOPA) – erarbeiten gemeinsam technische Regulierungsstandards, Durchführungsstandards und Leitlinien, die DORA weiter konkretisieren.

Grafik 1: DORA – Entwicklung und weiterer Zeitplan

Quelle: BaFin

IKT-Risikomanagement: Verantwortung lässt sich nicht delegieren

Kern von DORA sind die Anforderungen an das IKT-Risikomanagement (siehe Grafik 2). Sie sollen dazu beitragen, dass die Unternehmen widerstandsfähig gegen Cybergefahren werden und ihre Prozesse auch während und nach einem Störungsfall aufrechterhalten können.

In der Verordnung wird betont, dass die Unternehmensleitung – also etwa die Geschäftsführung oder der Vorstand – verantwortlich ist für das Management der IKT-Risiken.
Und nicht nur das: Sie muss auch die Strategie für die digitale operationale Resilienz festlegen, genehmigen und hierfür ein angemessenes Budget einplanen. Das erforderliche Know-how muss immer auf dem neuesten Stand sein. Zusätzlich müssen die Unternehmen des Finanzsektors eine IKT-Risikokontrollfunktion einrichten. Sie enthält Elemente des bereits heute in den Anforderungen an die IT vorgeschriebenen Informationssicherheitsbeauftragten, ist aber nicht deckungsgleich.

Ein solides, umfassendes und gut dokumentiertes IKT-Risikomanagement ist das A und O, um IKT-Risiken zu begegnen. Die konkreten Anforderungen daran orientieren sich an internationalen, nationalen und branchenspezifischen bewährten Praxisverfahren (best practices) sowie an Standards. DORA ist insgesamt standard- und technikneutral: Die Unternehmen des Finanzsektors sollen die Anforderungen risikoorientiert und proportional umsetzen können.

Grafik 2: Die verschiedenen Anforderungen des IKT-Risikomanagements

Quelle: BaFin

Berichtspflichten zu IKT-Vorfällen für gesamten Finanzsektor

DORA verpflichtet die Unternehmen des Finanzsektors IKT-Vorfälle sorgfältig zu managen. Sie müssen diese überwachen, protokollieren und melden. Sämtliche IKT-Vorfälle müssen die Finanzunternehmen gemäß der in Artikel 18 DORA genannten Kriterien klassifizieren. Schwerwiegende Vorfälle müssen sie an die zuständige Aufsichtsbehörde melden.

Neu ist dies für viele beaufsichtige Unternehmen nicht: Ähnliche Berichts- und Meldepflichten gibt es aktuell für Zahlungsdienstleister durch die Zweite Zahlungsdiensterichtlinie (PSD2-Richtlinie). Auch die NIS2-Richtlinie für Finanzunternehmen macht für kritische Infrastrukturen im Sinne des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) solche Vorgaben.

DORA weitet diese Pflichten auf den gesamten Finanzsektor aus, vereinheitlicht diese – und legt fest, dass die BaFin solche Meldungen empfängt. Sie leitet die Meldungen unverzüglich an das BSI, an die jeweilige Europäische Aufsichtsbehörde (EBA, ESMA oder EIOPA) und gegebenenfalls an weitere Akteure weiter, etwa die Europäische Zentralbank. Neben dem Meldewesen für IKT-Vorfälle führt DORA auch ein freiwilliges Meldewesen für erhebliche Cyberbedrohungen ein.

Digitale operationale Resilienz muss getestet werden

DORA verpflichtet alle Finanzunternehmen dazu, ihre Informations- und Kommunikationstechnologie auf Herz und Nieren zu prüfen: mit einem risikobasierten, proportionalen Testprogramm. Ausnahmen im Hinblick auf das Testprogramm, nicht jedoch bezüglich der Testpflicht, gibt es nach Artikel 16 DORA für Kleinst- und wenige andere Unternehmen. Ein solches Testprogramm soll zum Beispiel Open-Source-Software analysieren, die Netzsicherheit und die physische Sicherheit in den Finanzunternehmen prüfen. Hinzu kommen weitere Tests wie szenariobasierte Tests, Kompatibilitätstests oder Penetrationstests.

Ausgewählte bedeutende Unternehmen des Finanzsektors sollen zudem spezielle Penetrationstests (Threat Led Penetration Tests – TLPT) durchführen. Dabei werden Hacker damit beauftragt, IT-Schwachstellen beim Unternehmen aufzudecken. Ziel ist es, diese Sicherheitslücken zu schließen. Wie die Tests konkret ausgestaltet sein sollen, wird durch technische Regulierungsstandards (RTS) festgelegt. Diese lehnen sich eng an das europäische Rahmenwerk TIBER-EU an.

Das bisher freiwillige deutsche Äquivalent, TIBER-DE, wird durch DORA zur Pflicht. Die Aufsicht bescheinigt den Unternehmen, dass sie einen TLPT erfolgreich und aufsichtskonform durchgeführt haben. Diese Bescheinigungen werden grenzüberschreitend anerkannt. Aus Sicht der BaFin sollten die TLPTs aber nicht nur der Aufsicht, sondern vor allem dem Erkenntnisgewinn der jeweiligen Unternehmen dienen.

Drittparteien im Blick

DORA nimmt auch die Risiken in den Fokus, die entstehen können, wenn Unternehmen des Finanzmarkts IKT-Drittdienstleister nutzen. Die Unternehmen, die diese Dienstleistungen nutzen, müssen diese Risiken überwachen – und zwar während des gesamten Lebenszyklus.

Schon vor Vertragsabschluss muss es eine Risikoanalyse geben. Außerdem müssen die Unternehmen eine Due-Diligence-Prüfung durchführen: also die Eignung des Dienstleisters bewerten. Die Unternehmen des Finanzsektors sollen unter anderem berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Für kritische oder wichtige ausgelagerte Funktionen benötigen die Unternehmen des Finanzsektors eine Ausstiegsstrategie. Auch zu den vertraglichen Bestimmungen formuliert DORA Anforderungen: So muss sich der Dienstleister verpflichten, bei IKT-Vorfällen, die seine Dienstleistung betreffen, Unterstützung zu leisten.

Alle IKT-Vertragsbeziehungen müssen in einem Informationsregister dokumentiert werden. Auf dieser Basis kann die Aufsicht kritische IKT-Drittdienstleister bestimmen. Damit liefert das Register einen wesentlichen Beitrag für das europäische Überwachungsrahmenwerk für kritische IKT-Drittdienstleister.

Wann müssen Unternehmen auf Dienstleister verzichten?

Im Fokus dieses völlig neuen Elements der EU-Finanzmarktregulierung stehen die IKT-Drittdienstleister, die von den Europäischen Aufsichtsbehörden als kritisch eingestuft wurden. Eine Betriebsstörung bei solchen Dienstleistern könnte sich stark auf die Stabilität, Kontinuität oder Qualität der Finanzdienstleistungen am Gesamtmarkt auswirken. Bei der Einstufung wird auch berücksichtigt, wie stark kritische oder wichtige Funktionen der Unternehmen des Finanzsektors vom IKT-Drittdienstleister abhängen. Finanziert werden soll die Überwachung durch Gebühren der kritischen IKT-Drittdienstleister.

Die zentrale Rolle spielt die federführende Überwachungsbehörde. Diese Funktion übernimmt stets eine der drei Europäischen Aufsichtsbehörden, also EBA, ESMA oder EIOPA – je nachdem, für welche Branche der IKT-Drittdienstleister schwerpunktmäßig tätig ist. Unterstützt wird die federführende Überwachungsbehörde durch ein Gemeinsames Untersuchungsteam, dem Expertinnen und Experten der nationalen sowie der Europäischen Aufsichtsbehörden angehören.

Die federführende Überwachungsbehörde hat gegenüber dem kritischen IKT-Drittdienstleister Informations-, Kontroll- und Prüfrechte und kann auch Zwangsgelder verhängen. Sie überwacht zum Beispiel, ob der IKT-Drittdienstleister die Anforderungen an das IKT-Risikomanagement einhält. Bei Missständen kann sie Empfehlungen an den kritischen IKT-Drittdienstleister aussprechen. Kommt der Dienstleister diesen nicht nach, können die nationalen Aufsichtsbehörden – also auch die BaFin – die Unternehmen des Finanzsektors dazu auffordern, vorübergehend auf den Dienstleister zu verzichten oder die Zusammenarbeit sogar ganz zu kündigen. Bestimmte Maßnahmen können auch auf den Websites der Europäischen Aufsichtsbehörden veröffentlicht werden.

Ernstfall muss geprobt werden

DORA regt an, dass Unternehmen des Finanzsektors Informationen und Erkenntnisse über Cyberbedrohungen untereinander austauschen, beispielsweise Indikatoren für Beeinträchtigungen. Auch Taktiken, Techniken und Verfahren von Angreifern, Cybersicherheitswarnungen und Konfigurationseinstellungen relevanter Systeme sollten die Unternehmen des Finanzsektors miteinander teilen, um voneinander zu lernen.

Auch die BaFin will diesen Austausch mitgestalten. Da sie künftig die Meldungen zu IKT-Vorfällen erhält, hat sie wertvolle Informationen, wovon der gesamte Finanzmarkt profitieren könnte. Auch Krisenmanagement- und Notfallübungen rücken für die BaFin in Zukunft noch stärker in den Fokus: Denn für den Ernstfall – wenn also alle präventiven Maßnahmen und Verteidigungsmechanismen nicht gegriffen haben – müssen sowohl die Unternehmen des Finanzsektors als auch die Aufsicht gewappnet sein. Am besten bereitet man sich auf solche Extremsituation durch Übungen vor. Dabei können sektorübergreifende Kommunikationskanäle und Reaktionen getestet und die Zusammenarbeit in Krisensituationen optimiert werden.