Cybersicherheit & IT-Steuerung

Herausforderungen in der Umsetzung

Trotz einer generellen guten Vorbereitung der Institute in Deutschland – vor allem, weil viele sich einige Aspekte von DORA, wenn auch mit anderer Perspektive, in bereits bestehenden Regelungen wie z.B. der BAIT, MaRisk und den EBA-Leitlinien zu Auslagerungen wiederfinden – zeichnen sich insbesondere im Herzstück von DORA, dem IKT-Risikomanagement und dem Management von IKT-Drittparteirisiken große Herausforderungen ab. Diese Bereiche erfordern erhebliche Erweiterungen bestehender Maßnahmen - und dies mit einem sehr knappen Zeitrahmen.

Im Bereich des IKT-Risikomanagements müssen Risikobewertungen für alle IKT-Assets durchgeführt werden. DORA setzt hier keine Wesentlichkeitsschwellen, sondern verfolgt bewusst einen weiten IKT-Begriff, der digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, erfasst. Daher müssen beispielsweise auch Quellcodes analysiert und Software zumindest auf Schwachstellen und Anomalien überprüft werden. Einige Institutionen, die bereits Anomalieprüfungen durchführen, sind hier im Vorteil. Generell lässt sich festhalten, dass die Anzahl der IKT-Assets DORA-bedingt um ein Vielfaches steigt, da viele IT-Anwendungen, die früher unter den sonstigen Fremdbezug vielen nun neu eingewertet werden.

Große Herausforderungen bereitet zahlreichen Instituten im Folgeschritt die Einwertung, ob die IKT-Dienste eine kritische oder wichtige Funktion bereitstellen oder zumindest unterstützen. Dies sind Funktionen, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würden oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würden. Der Gesetzgeber hat sich hier bewusst für einen risikoorientierten und verhältnismäßigen Ansatz entschieden, um u.a. den verschiedenartigen Geschäftsmodellen, Größen und Organisationsformen gerecht zu werden. Viele Häuser gehen in ihrer eigenen Methodik den Weg der Business Impact-Analyse und ihrer entsprechenden Einwertung auf Ebene der Prozesse, ehe sie dann auf die Systeme und im nächsten Schritt auf die Dienstleister übergehen.

Gerade die saubere Einwertung der Kritikalität ist eine wichtige Voraussetzung für das Management von IKT-Drittparteirisiken und der umfangreichen Anforderungen an vertraglichen Vereinbarungen für die erforderliche DORA-Compliance. Als herausfordernd wird dabei u.a. empfunden, dass entgegen der Ankündigung in Art. 30 (v) DORA bisher nicht auf die Verwendung von Standardvertragsklauseln, die von Behörden für bestimmte Dienstleistungen entwickelt werden sollten, zurückgegriffen werden kann. So sind die Institute sowohl in den Inhalten als auch in ihren Vorgehensmodellen auf sich gestellt – und auch die IKT-Dienstleister müssen sich mit einer Fülle von “Standards” auseinandersetzen. Eine vollständige Anpassung aller Verträge bis zum Stichtag ist in der Praxis kaum realistisch.

Die Unklarheiten in diesen vorgelagerten Schritten wirken sich auch auf die interne Revision der Finanzinstitute aus, die gerade diese neuen Anforderungen entsprechen prüfen muß. Der dreijährige Prüfungsrahmen gilt grundsätzlich weiter, so dass Hoffnung besteht, dass man im Verlauf dieses Turnus’ entsprechend Erfahrung sammeln, seine Prozesse anpassen und entsprechend prüfen konnte.

Chancen

Natürlich sind die obigen Herausforderungen für die Häuser eine große Belastung, auch wenn wir dabei nicht außer Acht lassen dürfen, dass die langfristigen Chancen von DORA enorm sind. Gerade durch die Definition standardisierter Anforderungen für den Umgang mit IT-Risiken und Cyber-Sicherheit in der gesamten EU können Finanzinstitute und Drittdienstleister ihre Sicherheitsvorkehrungen besser aufeinander abstimmen und gezielter verbessern. Gerade der besondere Fokus auf Drittdienstleister, die oft eine Schwachstelle im Sicherheitsnetz darstellen, ist essentiell, damit Finanzinstitute überhaupt sicherstellen können, dass auch deren Lieferanten robuste Sicherheitsmaßnahmen implementieren, was die Gesamtsicherheit in der Wertschöpfungskette stärkt. Dafür ist die verpflichtende Einführung von Notfallplänen, Testszenarien und regelmäßigen Simulationen von Cyberangriffen besonders wichtig, um die Fähigkeit von Organisationen zu erhöhen, um auf Cyber-Bedrohungen zu reagieren, so dass die Reaktionszeit und die Schadensbegrenzung bei Vorfällen verbessert wird. Sogenannte verpflichtende "Threat-Led Penetration Tests" (TLPT), die von externen Anbietern durchgeführt werden, können dazu beitragen, dass Schwachstellen systematisch aufgedeckt und behoben werden.

Von diesen Maßnahmen ist es kein weiter Schritt zu der in DORA verankerten zentralen Überwachung der kritischsten IKT-Dienstleister, um systemische Risiken besser zu identifizieren und frühzeitig zu adressieren. Und das nützt am Ende nicht nur der Finanzindustrie, sondern dem gesamten Wirtschaftsraum.

Wir hätten uns sicherlich klare und vereinfachte Anforderungen im Bereich des IKT-Risikomanagements mit angemessenen Übergangsfristen gewünscht, die die Belastungen. Angesichts der Herausforderungen ist eine vollständige Anpassung aller ICT-Outsourcing-Verträge bis Januar 2025 nicht umsetzbar. Die neuen Anforderungen an Kontroll- und Managementaufgaben führen zu verlängerten Verhandlungen und zusätzlichen Kosten für die Institute.

Re-Zertifizierungen von IT-Produkt- oder Dienstanbietern, insbesondere für Cloud-Dienste, könnten eine sinnvolle Entlastung darstellen – insbesondere für Standardsoftware. Wir empfehlen zudem, dass die Aufsichtsbehörden für den Übergangszeitraum nach Inkrafttreten von DORA angemessene Übergangsregelungen und Leitlinien bereitstellen, die von Prüfungsgesellschaften und dem IDW im Rahmen ihrer Prüfungen herangezogen werden können

Des Weiteren betonen wir die Notwendigkeit, das Verhältnismäßigkeitsprinzip, das in DORA verankert ist, in allen delegierten Rechtsakten und in der praktischen Anwendung zu berücksichtigen. Ohne diese Differenzierung würden die Regelungen gleichermaßen auf alle Institute angewandt, ohne die individuellen Umstände ausreichend zu würdigen, was zu unverhältnismäßigen Belastungen führen könnte.

Wir wollen hiermit aufzeigen, dass trotz der bereits laufenden Vorbereitungen im deutschen Finanzsektor dringender Handlungsbedarf besteht. Insbesondere bei der Vertragsgestaltung und dem Risikomanagement bleibt viel zu tun. Die von uns vorgeschlagenen Maßnahmen zielen darauf ab, die Umsetzung von DORA praktikabler zu gestalten und gleichzeitig die betroffenen Institutionen nicht übermäßig zu belasten.

Obwohl die öffentlichen Banken insgesamt nicht von kritischen Auswirkungen betroffen waren, steht das Thema Konzentrationsrisiken und die Bewertung dieser auch für Banken und Sparkassen auf der Tagesordnung – insbesondere auch bei Weiterverlagerungsdienstleistern. Hierbei ist allerdings insbesondere zu berücksichtigen, dass mit der Anwendung des Digital Operational Resilience Acts (DORA) in der gesamten EU ab 17. Januar 2025 die Konzentration auf wenige große Dienstleister weiter steigen dürfte. Nur größere und sehr große Dienstleister sind bei einer bedeutenden Anwendungsbreite in der Lage die Regulierungsanforderungen zu erfüllen, welche mit DORA durch Banken und Sparkassen an diese gestellt werden. Dazu kommt noch die Prüfung / Auditierung von IT- bzw. Cloud-Dienstleistern bei wesentlichen Auslagerungen durch Banken und Sparkassen, die Einbindung bei bedrohungsorientierten Tests (Threat-led Penetration Testing -. TLPT) sowie der benötigte umfassende Support. Wir erwarten, dass sich mit DORA zwar der Kreis der unter die Aufsicht fallenden Finanzunternehmen deutlich erhöhen wird, aber gleichzeitig den Umfang der regulatorischen Anforderungen nicht mehr leisten können und ggf. auch keine Dienste ggü. Finanzunternehmen anbieten könnten. Dies verschärft auch Konzentrationsrisiken besonders auf wenige große Anbieter weiter.

Teilweise wird im Zusammenhang der öffentlichen Diskussion über den letzten großen IT-Vorfall auch Kritik an der Nutzung von Cloud-Lösungen geäußert. Das häufig in diesem Zusammenhang geäußerte Konzentrationsproblem auf wenige große Dienstleister dürfte sich mit DORA nochmals verschärfen, da für kleinere Dienstleister der Umfang der Überwachung und Steuerung durch Finanzunternehmen als zu aufwändig betrachtet wird.

Gerade durch die Nutzung von Cloud-Lösungen können Finanzunternehmen verschiedene Resilienzstrategien und Maßnahmen zur Risikominderung umsetzen.  Diese Strategien umfassen die Implementierung von Redundanz- und Backup-Systemen sowie sorgfältig ausgearbeitete Verträge mit IT-Dienstleistern, die Bedingungen für Service Level Agreements (SLAs), Sicherheitsanforderungen und Notfallwiederherstellungsmaßnahmen festlegen. Das Risiko von fehlerhaften Sicherheitspatches – die auch aus aufsichtlicher Sicht immer Vorrang vor anderen Maßnahmen haben sollen – liegt zudem nicht in der Nutzung einer Cloud-Lösung anstelle einer On-Premise-Lösung, sondern in einem stufenweisen Update-Vorgehen bzw. der Anwendung eines umfassenden Testframeworks auch bei agilen Softwareentwicklungs- und Implementierungsmehoden. On-Premise-Lösungen bieten per se zudem hierbei keine Sicherheitsvorteile.

Perspektivisch werden Cloud-Systeme und ein dezentraler Betrieb weiter an Bedeutung gewinnen! Somit wird auch die Cybersicherheit eine Top-Priorität für die Finanzindustrie bleiben, insbesondere auch in Bezug auf die Prozesse bei Dienstleistern und die Reaktionsgeschwindigkeit bei Vorfällen.

Vor dem Hintergrund muss auch die Anpassung nachgelagerter Cloud-Rechtsakte erfolgen. Der EZB-Leitfaden will daher die rechtlichen Anforderungen und Erwartungen der EZB an beaufsichtigte Banken klären. Dabei steht das Management von Drittparteien als eine zentrale Aufsichtspriorität im Mittelpunkt der EZB.

Wesentliche Inhalte betreffen die folgenden Schwerpunkte:

• Risikomanagement

Die Finanzinstitute müssen regelmäßige Risikoanalysen, insbesondere hinsichtlich Konzentrationsrisiken und Abhängigkeiten von einzelnen Dienstleistern vornehmen. Dazu gehören die Bewertung der Abhängigkeit von spezifischen Anbietern, geografischen Standorten und Funktionalitäten und die Schwierigkeiten beim Wechsel des Dienstleisters.

• Geschäftsfortführung und Notfallwiederherstellung

Es werden regelmäßige Tests der Notfallwiederherstellungspläne der Cloud Service Provider (CSP) verlangt inklusive unangekündigter Spot-Checks. Es sind Mitarbeiterschulungen des Personals vorgesehen, das in Notfallwiederherstellungsverfahren involviert ist. Identifizierte Mängel müssen dokumentiert und analysiert werden, um daraus einen Sanierungsplan zu entwickeln.

• IT-Sicherheit und Datenintegrität

Es werden hohe Verschlüsselungsstandards für Daten bei der Übertragung („in transit“), Speicherung („at rest“) und wenn möglich auch bei der Verwendung („in use“) gesetzt. Die Speicherung und Verarbeitung von Daten soll unter Berücksichtigung rechtlicher und politischer Risiken in akzeptablen Ländern erfolgen.

• Vertragsgestaltung

Es sollen Standardvertragsklauseln für Cloud-Computing-Dienstleistungen genutzt werden, die von Behörden entwickelt werden (wo vorhanden und wenn möglich): Vertragliche Bestimmungen zur Überwachung und Verbesserung der Dienstleistungsqualität werden verlangt. Aus den Verträgen solle klare und transparente Darstellungen der Kosten für Vor-Ort-Audits hervorgehen.

• Compliance und Regulierung

Regelmäßig ist die Einhaltung von regulatorischen Anforderungen und internen Sicherheitsrichtlinien zu überprüfen, alle relevanten Prozesse und Sicherheitsmaßnahmen sind zu dokumentieren. Eine enge Zusammenarbeit mit den zuständigen nationalen und europäischen Aufsichtsbehörden wir erwartet.

Wir haben uns in die Konsultation direkt und auch über die Deutsche Kreditwirtschaft, die European Banking Federation und die European Association of Public Banks mit folgenden Petita eingebracht:

Harmonisierter Ansatz: Der EZB-Leitfaden sollte klar auf DORA abgestimmt sein und keine zusätzlichen Anforderungen einführen, die in der Verordnung nicht enthalten sind. Konsistenz und Kohärenz zwischen DORA und dem EZB-Leitfaden sind notwendig, um eine reibungslose Umsetzung und eine verbesserte digitale Resilienz sicherzustellen.

Umsetzbarkeit: Die Umsetzung verschiedener Anforderungen, wie z.B. der Analyse und Tests vor der Auslagerung oder die Vertragsanpassungen, ist im Entwurf herausfordernd, da die Einhaltung von der Bereitschaft der Anbieter abhängt, die relevanten Daten bereitzustellen. Hier wäre die Nutzung der von DORA bereitgestellten Aufsicht über IKT-Drittanbieter hilfreich.

Risikobasierter Ansatz, Proportionalität: Die DORA und die ergänzenden Standards der ESAs stellen umfangreiche und strenge Anforderungen an alle Finanzunternehmen. Es ist wichtig, dass der EZB-Leitfaden eine risikoorientierte Umsetzung und die Geltung der Verhältnismäßigkeit klar betont.

Verfügbarkeit und Resilienz von Cloud-Leistungen: Die EZB empfiehlt, für die Datensicherung nicht denselben Cloud-Anbieter zu nutzen und fordert Sicherungs- und Wiederherstellungsverfahren. Ein risikobasierter Ansatz sollte holistisch alle relevanten Aspekte berücksichtigen, zudem es auch andere Sicherheitsmaßnahmen jenseits der Einschaltung eines weiteren Cloud-Anbieters gibt.

Rückführung von Daten „on premise“: Gemäß DORA identifizieren Finanzinstitute bereits alternative Lösungen und entwickeln Übergangspläne. Eine Klausel, die die Rückführung von Daten „on premise“ vorschreibt, würde die Vorteile der Cloud in Frage stellen und finanziell nicht tragbar machen.

Exit-Strategie: Die EZB-Leitlinie beschreibt Veränderungen, die zu einem Kündigungsgrund führen könnten, wie der Umzug eines Datenzentrums oder veränderte nationale gesetzliche Regelungen. Vielmehr sollte mit solchen Klauseln dem CSP die Möglichkeit geben, den Vertrag ordnungsgemäß zu erfüllen.

Bei allen Banken laufen die Vorbereitungen für die DORA-Umsetzung auf Hochtouren – die zeitlichen Vorgaben sind kaum zu schaffen. Vor dem Hintergrund wünschen wir uns für unsere Mitgliedsinstitute klare Vorgaben, damit DORA effizient und wirkungsvoll seine Ziele erreichen kann.

Das neue NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befindet sich in einer fortgeschrittenen Gesetzgebungsphase. Die Europäische Kommission adressiert damit verschiedene Kritikpunkte:

• Unzureichende Cyberresilienz von Unternehmen in der EU.

• Inkonsistente Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren.

• Unzureichendes gemeinsames Verständnis der Bedrohungen und Herausforderungen.

• Fehlende gemeinsame Krisenreaktion.

Bedeutung für die Finanzindustrie

Die Finanzindustrie wird durch das NIS2UmsuCG in mehrfacher Hinsicht beeinflusst:

1. DORA als spezialisierte Regulierung: Der Digital Operational Resilience Act (DORA) regelt Cybersicherheit, IKT-Risiken und digitale Resilienz speziell für den Finanzsektor als lex specialis gegenüber dem NIS2UmsuCG.

2. Anwendungsbereich des NIS2UmsuCG: Finanzunternehmen sind aber zusätzlich wichtige bzw. besonders wichtige Einrichtungen im Sinne des NIS2UmsuCG. Daher fallen aufgrund niedriger Schwellenwerte (50 Mitarbeiter und mindestens 10 Mio. EUR Umsatz oder Bilanzsumme) alle Banken und Sparkassen unter die NIS2UmsuCG-Regulierung.

3. Registrierung beim BSI: Daher müssen sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle benennen - unabhängig von der BaFin. Dies gilt auch unabhängig von festgestellten KRITIS-Diensten.

4. Keine Betreiberstatus: Finanzunternehmen werden durch die Registrierung und Nennung der Kontaktstelle aber keine Betreiber, da es ihnen aufgrund einer bisher ausschließlich für den Sektor Finanzwirtschaft genutzten Definition im Gegensatz zu anderen Betreibern an der tatsächlichen Sachherrschaft fehlt. Vielmehr liegt die tatsächliche Sachherrschaft oft bei IT-Dienstleistern, an die die IT ausgelagert ist. Diese IT-Dienstleister sind gemäß der BSI-KRITIS-Verordnung zuständig für Vorfallsmeldungen.

5. Meldepflichten nach DORA: Finanzunternehmen müssen vielmehr gemäß DORA schwerwiegende IKT-bezogene und Zahlungssicherheitsvorfälle an die BaFin oder die EZB melden. Die BaFin leitet diese Informationen künftig auch an das BSI weiter.

Wir setzen uns für folgende Punkte ein:

• Befreiung von Doppelmeldungen: IT-Dienstleister, die für Finanzunternehmen tätig sind, sollen von direkten Meldepflichten ans BSI befreit werden, um Doppelmeldungen und Doppelregulierung zu vermeiden. Diese Meldungen erfolgen ausschließlich durch die Finanzunternehmen über DORA an die EZB oder BaFin.

• Vereinfachung der Registrierung: Informationen zur Registrierung und Nennung einer Kontaktstelle beim BSI sollen über die BaFin als „single point of contact“ hinterlegt werden können, um parallele Meldungen zu vermeiden.

Durch diese Maßnahmen wollen wir die Komplexität und den bürokratischen Aufwand für Finanzunternehmen minimieren und gleichzeitig den gestiegenen Anforderungen an wirkungsvolle Cyberresilienz gerecht werden.