Der Digital Operational Resilience Act (DORA) verlangt, dass Finanzinstitute IT-Störungen schnell identifizieren, beheben und daraus lernen. Mit einem gut eingespielten Incident Response Management können Unternehmen dieser EU-Verordnung gerecht werden.
Ab Januar 2025 müssen Finanzdienstleister laut dem Digital Operational Resilience Act (DORA) dafür sorgen, dass ihr Betrieb auch nach einem IT-Vorfall weiterläuft. Die wichtigsten Systeme müssen nach eine Cyberattacke schnellstmöglich wieder anlaufen. Da bei Nichteinhaltung hohe Strafen drohen, ist es wichtig, dass Unternehmen und ihre Drittanbieter Störungen ohne Zeitverzug identifizieren und beseitigen können.
Grundvoraussetzung für die Einhaltung des Digital Operational Resilience Act (DORA) ist ein gut eingespieltes Incident Response Management. Finanzdienstleister sollten daher mithilfe von Plänen die Weichen stellen, damit sie kritische Infrastrukturen nach einem Störfall rasch wiederherstellen können. Die drei nachgenannten Tipps erleichtern das Implementieren der dazugehörigen Abläufe.
- Einen Plan für den Ernstfall aufsetzen
Eine der wichtigsten Anforderungen der neuen Digital Operational Resilience Act (DORA)-Verordnung ist das Klassifizieren von Vorfällen nach Schweregrad, Auswirkung und Dauer. Um einzuschätzen, ob eine Störung als signifikant, bedeutsam oder geringfügig einzustufen ist, bedarf es einer vorausschauenden Planung und der passenden Lösung. Für die Analyse und das Bewerten von Störfällen hilft es, im Voraus Incident-Response-Pläne zu erstellen. Ein solcher Plan sollte den gesamten Incident-Lifecycle abdecken und jede Phase eines Zwischenfalls berücksichtigen: vom Identifizieren des Problems über das Eindämmen der Auswirkungen und das Beseitigen der Ursachen bis hin zur Reparatur der betroffenen Infrastruktur. Drastische Ereignisse müssen unverzüglich an die zuständigen Behörden berichtet werden.
Das Klassifizieren stellt sicher, dass bei einem Zwischenfall die vorhandenen Ressourcen effizient eingesetzt und zuerst die wichtigsten Systeme schnell wieder zum Laufen gebracht werden. Das vermeidet langfristige Schäden. So lassen sich beispielsweise kritische Datenbanken oder Kundensysteme bei der Lösung des Problems bevorzugt behandeln. Darüber hinaus helfen Incident Response Pläne auch beim Dokumentieren von Zwischenfällen. Alle Schritte und Maßnahmen sollten schriftlich festgehalten sein. Da sich Bedrohungsszenarien und Ereignismuster ständig ändern, empfiehlt es sich, die Konzepte regelmäßig zu überprüfen und zu aktualisieren. Ein Incident Management Tool hilft dabei, diese Prozesse effizient und nachvollziehbar zu gestalten.
- Krisenkommunikation definieren
Um die Anforderungen von DORA erfolgreich umzusetzen, ist ein klarer Informationsaustausch wichtig. Jedes Unternehmens sollte eindeutige Abläufe definieren, damit im Notfall jeder Mitarbeiter und jede Abteilung informiert ist. Nur wenn alle Beteiligten wissen, wer in einer Krisensituation welche Aufgaben übernimmt, geht keine Zeit verloren.
Auch außerhalb der eigenen Organisation sind gut organisierte Meldeprozesse wichtig. Schließlich müssen Unternehmen Informationen schnell und präzise an die zuständigen Behörden sowie an Partner und Dienstleister weitergeben. In dieser Zusammenarbeit ist Transparenz gefragt. Es geht darum, mit allen beteiligten Akteuren – Mitarbeitern, Kunden, Partnern und Behörden – offen und klar zu kommunizieren. Nur, wenn alle auf dem gleichen Stand sind, lassen sich Probleme zügig lösen.
- Simulieren statt spekulieren
Da Störfälle im besten Fall sehr selten sind, lohnt es sich, regelmäßig Testläufe und Simulationen durchzuführen. So stellen die Unternehmen sicher, dass die Incident Response Pläne auch greifen. Sollten Lücken oder Probleme auftauchen, lassen sich diese frühzeitig ausmerzen, bevor der Ernstfall eintritt.
Ein Simulationslauf stellt einen Incident in einer kontrollierten Umgebung nach. Derartige Tests lassen sich sowohl für IT-Systeme als auch für Prozesse durchführen. Dabei übt das zuständige Team die Reaktionen im Notfall. Die Netzwerke werden überwacht, um sicherzustellen, dass sie wie geplant wieder anlaufen. Ziel der Übungen ist es, die Ausfallzeiten auf ein Minimum zu reduzieren und den Betrieb schnell zu reaktivieren.
Testläufe garantieren die Wiederherstellung
DORA verpflichtet Finanzinstitute dazu, Kontinuitäts- und Wiederherstellungspläne zu entwickeln. Unternehmen müssen garantieren, dass kritische Anlagen nach einer Störung schnell wieder anlaufen. Diese Vorgehensweisen sind regelmäßig zu überprüfen und anhand der neuesten Erkenntnisse aus realen Vorfällen oder Überprüfungen anzupassen.
Damit Finanzdienstleister nicht an dieser Regulierung scheitern, lohnt sich ein Incident Response Management, das den gesamten Incident Lifecycle abdeckt. So werden Störungen systematisch bewertet, die schnelle Kommunikation und Fehlerbehebung im Team gewährleistet und alle Schritte lückenlos dokumentiert. Mit Werkzeugen, die alle Prozesse abdecken, lassen sich Wiederherstellungspläne testen und an aktuelle Bedrohungsszenarien anpassen. Das optimiert die Reaktionen und fördert die Kommunikation und Zusammenarbeit mit Behörden und Partnern. So sind Finanzdienstleister für den Ernstfall gewappnet. jf
Der Autor
Birol Yildiz ist CEO und Mitgründer des Kölner IT-Anbieters ilert. Dessen Web-basierte Plattform steuert das Incident-Response-Management vom Erkennen von Vorfällen über die Analyse des Schadens bis hin zum Wiederherstellen der IT-Systeme.
