DORA erhöht den Transformationsdruck auf Banken und Finanzdienstleistende: Wie wirkt sich die Forderung nach digitaler Resilienz auf deren IT-Infrastrukturen aus?
Kaum eine andere Branche ist in ihrer Kerntätigkeit so abhängig von Konnektivität und IT wie Banken, Versicherungen und Zahlungsdienstleistende. Damit wirft der „Digital Operational Resilience Act“ die Frage auf, welche Auswirkungen er auf das Management von Informationen, IT-Risiken und Cloud-Services hat. Denn bisher haben Banken diese Themen stark von der Infrastrukturseite her gesteuert – mit DORA müssen sie nun Ende-zu-Ende und bis zum Anwendenden gedacht werden.
Dabei ist es nicht nur DORA, sondern es sind auch die KRITIS-Anforderungen, die Banken zu erfüllen haben. Mit der Herausforderung, dass beide Regularien in vielen Dingen zwar ähnlich, in einigen aber fast schon kontrovers sind.
Dennoch wirft der Zwang, die Themen nun Ende-zu-Ende denken zu müssen, auch neue Chancen auf: Für die Automatisierung, Dokumentation, Security-Risiko-Minimierung, mehr Transparenz und damit auch Resilienz der eigenen Systeme.
Komplexeres Auslagerungsmanagement
Erhebliche Teile der Banken-IT sind heute ausgelagert und werden von IKT-Dienstleistenden aus externen Rechenzentren und zunehmend der Cloud bereitgestellt. Dabei muss sich auf der Bankenseite mindestens ein spezialisierter Mitarbeitender nur ums Auslagerungsmanagement kümmern.
Mit DORA wird es in puncto Outsourcing enorme Änderungen geben. Es geht vor allem um Fragen, wie Dienstleistende in Zukunft gesteuert, Risiken gemanaged, Audits gemacht oder Tests durchgeführt werden. Denn obwohl auch die dienstleistenden Dritten für die Einhaltung der DORA-Anforderungen verantwortlich sind, wird es deutlich komplexer werden, sie zu steuern und zu kontrollieren. Und damit gewinnt auch das Erkennen und Mitigieren der verbundenen Risiken an Komplexität.
Widerstandsfähigkeit testen, testen und testen
Bei den KRITIS-Anforderungen ist man sehr nah am ISO Standard 27001, bei dem es meist schon reicht, ein Informationssicherheits-Managementsystem (ISMS) einzuführen und die umgesetzten Maßnahmen zu dokumentieren. Bei DORA steht hingegen die Umsetzung der geforderten Resilienz im Mittelpunkt. Wir haben auch die Erfahrung gemacht, dass sich die Dokumentation und Risikoanalyse gut mit GenAI-Lösungen abbilden lässt und so den entstehenden Aufwand in Grenzen hält.
Damit ist je nach Unternehmensgröße und Risikoprofil der Geschäftstätigkeiten klar: Die betroffenen Organisationen werden mit DORA verpflichtet, ihre digitale Resilienz via Penetrationstests, Zuverlässigkeitsprüfungen, End-to-End-Tests u. v. m. regelmäßig im Betrieb zu überprüfen. Und gerade, was das Testing-Thema betrifft, haben viele Banken und Finanzinstitute noch erheblichen Nachholbedarf. Aber auch das Potenzial ist riesig, denn die betroffenen Organisationen können:
Mehr Transparenz schaffen, indem Sie Prozesse und Tests dokumentieren.
Eine End-to-End-Verantwortung auch für Daten einführen und damit die Prozessqualität verbessern.
Manuelle Tätigkeiten automatisieren und damit die Resilienz und Produktivität steigern.Und falls sie Anwendungen in der Cloud haben, sogar Kosten sparen in dem sie FinOps Practices mit den DORA Regularien verbinden.
Digitalen Reifegrad erhöhen
Um die Anforderungen an DORA einigermaßen managen zu können, müssen Banken ihre Systeme auf einen neuen technologischen und prozessualen Reifegrad bringen. Sonst nimmt die Verwaltung Überhand und das Verhältnis von produktiven zu steuernden IT-Mitarbeitenden zu.
Dabei ist es nicht nur der regulatorische Aufwand, der zu bewältigen ist, sondern vor allem geht es darum, vorhandene Sicherheitsprozesse zu verbessern. Sprich: Das Netzwerk mit seinen Konnektivitätsthemen, das Datacenter oder die genutzten Cloud-Services, der darüberliegende Entwicklungslayer, die Daten und der Anwendungslayer müssen gegen Cybergefahren gewappnet sein. Dabei bleiben wir hier immer noch auf der Systemebene, so dass die Güte der Daten noch gar nicht mit im Scope ist.
Und so wird DORA zumindest in reiferen Organisationen dazu führen, dass der Fachbereich mehr digitale Verantwortung und Datenverantwortung übernimmt, weil die eigene IT dafür meist nicht gerüstet ist.
Veraltete IT-Systeme modernisieren
Oft sind Banken auf eine vielfältige und über Jahrzehnte individuell entwickelte Anwendungsstruktur mit älteren Legacy-Systemen angewiesen. Und oft wurde nur kurzfristig in neue Features investiert, anstatt die IT grundlegend zu modernisieren. Dabei bildet gerade die IT-Modernisierung einen enormen Effektivitätshebel, der mittel- bis langfristig wirken kann.
Spätestens mit DORA fällt dieses Denken in Jahresinvestitionsscheiben vielen Banken auf die Füße. Aber wenn der initiale Investitionsstau auch groß ist – er muss nicht via Big Bang auf einmal abgetragen werden. Sinnvoller und vor allem deutlich machbarer ist es, bei der Modernisierung kleine Schritte zu machen und iterativ vorzugehen.
Resilienz steigern, neue Chancen nutzen
Leider beschränken sich viele Banken bei der Erfüllung von Regularien darauf, nur das Nötigste zu tun – der Aufwand, alles ordnungsgemäß zu erledigen, ist vielen Instituten einfach zu groß.
Hier bietet DORA auch Chancen: Wenn mit der zunehmenden Nutzung cloudbasierter Dienste und Ressourcen die Angriffsfläche steigt, sollten Banken verstehen, wie sich andere Tech-Giganten gegen die täglich neu auftretenden Angriffsmethoden und -techniken wehren. Sprich: Wie sie die Anforderungen von DORA an einen widerstandsfähigen IKT-Betrieb für ihre Kundschaft erfüllen und potenzielle Ausbreitungen im Falle eines Angriffs vermeiden.
So können Banken ihre eigene IT-Landschaft auf einen vernünftigen Industriestandard heben, der auch ihnen eine erhöhte Resilienz verschafft. Nicht nur gegenüber Cyberangriffen, sondern auch gegenüber den disruptiven Energien, die in einem immer härter umkämpften Markt von Mitbewerbenden ausgehen.
Vier DORA-Maßnahmen, die wir empfehlen
1. Anwendende sensibilisieren
Eine Transformation, die die beteiligten Menschen nicht abholt, ist von Vornherein zum Scheitern verurteilt. Das gilt auch für DORA: Die eigenen bankfachlichen Mitarbeitenden müssen die neuen Anforderungen verstehen, neuen Systeme verinnerlichen und in neuen prozessualen Strukturen denken. Dabei gilt es für alle, mehr Verantwortung zu übernehmen.
2. Datensicherheit und -qualität gewährleisten
Ob es darum geht, Daten abzuschirmen, einen Data Lake einzuführen oder Daten für GenAI nutzbar zu machen: Da es zu viel Aufwand wäre, jetzt die komplette Anwendungslandschaft umzustellen, gilt es für DORA zunächst, die geforderte Datensicherheit und -qualität über alle Ebenen zu gewährleisten.
3. IT schrittweise modernisieren
Die betroffenen Organisationen sollten die in DORA aufgestellten Anforderungen an das IKT-Risikomanagement, das Testen der digitalen operationalen Resilienz und das IKT-Drittanbieter-Risikomanagement bereits jetzt erfassen. Anschließend gilt es, die in einer Gap-Analyse identifizierten Lücken sukzessive zu schließen und die eigene IT schrittweise zu modernisieren.
4. Auslagerungsmanagement aktualisieren
Mit Blick auf DORA sollte man das eigene Auslagerungsmanagement auf den neuesten Stand bringen. Denn zukünftig reicht es nicht mehr aus, die Dienstleistenden nur zu steuern. Stattdessen muss man selbst in die Rolle des Product Owners schlüpfen, was vor allem neues Know-how erfordert.
Kommen Banken mit einem blauen Auge davon?
Neben unseren Empfehlungen gilt: Von DORA betroffene Organisationen sollten innerhalb eines Bewertungsprozesses frühzeitig identifizieren, wo akuter Handlungsbedarf besteht. Und zwar in engem Zusammenhang zwischen Management, der Informationssicherheit und betrieblichen Kontinuität. Eine entscheidende Rolle spielt dabei das Risikomanagement im Bereich Informations- und Kommunikationstechnologie, insbesondere wenn Dritte mit einbezogen sind.
Am Ende kommt es darauf an: Die Government-Struktur muss passen, die Systeme müssen passen und die Datenstruktur muss passen. Über alle Ebenen, intern als auch über die externen Anbietenden hinweg. Spannend bleibt dann noch die Frage, ob die Banken wie schon bei anderen Regularien mit einem blauen Auge davonkommen? Oder ob die BaFin wirklich ernst macht, wenn sie ihre Audits durchführt?
