Die EU hat über die Jahre zahlreiche Verordnungen erlassen, die speziell den Finanzsektor regulieren. Das ist grundsätzlich gut: Sie sorgen für einen stabilen und sicheren Finanzmarkt, schützen Verbraucher*innen und schaffen faire Wettbewerbsbedingungen.

Nun kommt DORA, der Digital Operational Resilience Act. Diese Verordnung konzentriert sich auf die Stärkung der Cybersicherheit und digitalen Widerstandsfähigkeit des Finanzsektors. Ihr Ziel ist es, Finanzinstitute in der EU besser gegen Cyberangriffe und digitale Risiken zu wappnen. Dadurch soll die Stabilität des Finanzsystems gesichert werden.

DORA gilt ab dem 17. Januar 2025. Sie betrifft alle Finanzinstitute wie Banken, Sparkassen, Versicherungen, Vermögensverwalter und Finanzdienstleister. Dazu zählen Factoring- oder Leasinggesellschaften sowie Kontoinformationsdienstleister wie wealthAPI.

Cyberangriffe im Finanzsektor: Eine wachsende Bedrohung

Das Interesse von Cyberkriminellen an Finanzinstituten ist nicht überraschend. Schließlich arbeiten Unternehmen aus dem Finanzsektor mit zwei besonders attraktiven Gütern: Geld und sensiblen Daten. Schon heute ist der Finanzsektor hochgradig digitalisiert und damit anfällig für Cyberangriffe. 2023 gingen bei der Bafin 235 Meldungen von Banken über schwerwiegende IT-Probleme ein, fünf Prozent davon waren Cyberangriffe. Die Zahlen für 2024 liegen noch nicht vor, dürften aber über denen des Vorjahres liegen. Aber um die Dimensionen zu verdeutlichen: Die größte amerikanische Bank JP Morgan erklärte im Frühjahr 2024, dass sie bis zu 45 Milliarden verdächtige Cyberereignisse registriert – pro Tag.

Mit DORA will die EU nun die digitale Zukunft des Finanzsektors sicherer machen und den Schutz vor Cyberangriffen verbessern. Finanzinstitute werden verpflichtet, ihre digitalen Schutzvorkehrungen zu verstärken. Damit soll das Risiko von Datenlecks, Erpressungen und Betriebsunterbrechungen minimiert werden. Entsprechend hoch wird der Schutz sensibler Kundendaten wie Kontoinformationen, Zahlungsdaten und persönliche Informationen eingeschätzt.

Der Grund für diese umfassenden Anforderungen ist die Sicherung der Stabilität des Finanzsystems. Denn ein Cyberangriff auf ein einzelnes Finanzinstitut kann weitreichende Folgen für das gesamte Finanzsystem haben. Auch hier ein Beispiel aus der Vergangenheit: Im November 2023 wurde die US-Tochter der größten chinesischen Bank, der Industrial and Commercial Bank of China, angegriffen. Der Angriff führte zu einer kurzzeitigen Unterbrechung des Handels mit US-Staatsanleihen. Das Clearing musste manuell durchgeführt werden.

Cyberangriffe können nicht nur ganze Systeme lahmlegen, sondern auch das Vertrauen in diese Systeme untergraben. Und uns allen ist klar: Ohne sicheren Geld- und Datenschutz sind Kund*innen nicht bereit, digitale Finanzdienstleistungen zu nutzen. Dann ist der Sparstrumpf unter der Matratze plötzlich wieder der sicherste Ort.

DORA: Das Fundament für eine sichere digitale Finanzwelt

DORA fordert Finanzinstitute heraus, stärkt jedoch ihre digitale Widerstandsfähigkeit, wodurch sie langfristig profitieren. Aber worum geht es genau? Was müssen Finanzdienstleister tun? Was sind ihre Aufgaben?  Die Anforderungen lassen sich in verschiedene Bereiche unterteilen:

Umfassendes IKT-Risikomanagement

Finanzinstitute müssen alle ihre IT-Systeme, -Prozesse und -Daten genau erfassen und auf mögliche Risiken hin untersuchen. Dies bedeutet neben der Identifizierung potenzieller Schwachstellen auch die Bewertung jener Eintrittswahrscheinlichkeit. Zusätzlich müssen mögliche Auswirkungen bewertet werden. Darauf basierend müssen Finanzinstitute konkrete Maßnahmen zur Minimierung dieser Risiken ergreifen, beispielsweise durch zusätzliche technische Sicherheitsmaßnahmen oder durch Mitarbeiterschulungen.

Stärkung der digitalen Widerstandsfähigkeit

Finanzinstitute müssen sicherstellen, dass sie auch im Falle von Störungen ihre kritischen Geschäftsfunktionen aufrechterhalten können. Detaillierte Notfallpläne müssen erstellt und regelmäßig getestet werden, um schnell und effektiv auf Störungen zu reagieren. Durch diese regelmäßigen Stresstests soll die Widerstandsfähigkeit der IT-Systeme gegen verschiedene Arten von Angriffen überprüft werden.

Transparente Meldung von Vorfällen

Mit DORA unterliegen Finanzinstitute einer Meldepflicht. Sie müssen bestimmte IT-Vorfälle an die Aufsichtsbehörde, also die Bafin, melden. Solche IT-Vorfälle können Cyberangriffe oder der Ausfall kritischer Systeme sein. Zudem müssen die Vorfälle nach ihrer Schwere und ihren potenziellen Auswirkungen klassifiziert werden. 

Stärkere Zusammenarbeit mit Dritten

Finanzinstitute müssen ihre Beziehungen zu externen Dienstleistern sorgfältig managen und deren Einhaltung der Sicherheitsstandards sicherstellen. Die Verträge mit Drittparteien müssen klare Anforderungen an die Cybersicherheit und die Zusammenarbeit im Falle von Vorfällen enthalten.

 

Die Umsetzung von DORA erfordert eine umfassende Betrachtung der gesamten IT-Landschaft und eine enge Zusammenarbeit aller beteiligten Bereiche. DORA stellt Finanzinstitute vor eine Reihe anspruchsvoller Anforderungen, die jedoch langfristig zu einem höheren Sicherheitsniveau führen.

Durch die erhöhte Widerstandsfähigkeit, die DORA einfordert, sind Finanzinstitute besser gerüstet, um auf Störungen und Cyberangriffe zu reagieren. Dies führt zu einem geringeren Risiko von Datenverlusten und schützt somit die sensiblen Kundendaten. Das gesteigerte Sicherheitsniveau führt zu einem höheren Vertrauen sowohl bei Kunden als auch bei Geschäftspartnern. Finanzinstitute, die DORA erfolgreich umsetzen, können ihre Reputation stärken und sich von ihren Wettbewerbern abheben.

Konkrete Maßnahmen zur Umsetzung von DORA

DORA schreibt zwar keine konkreten technischen Maßnahmen vor, da diese von der individuellen Situation des jeweiligen Finanzinstituts abhängen. Allerdings definiert die Verordnung klare Anforderungen an die Cybersicherheit, die sich in folgenden konkreten Maßnahmen niederschlagen können:

• Datenverschlüsselung: Alle sensiblen Daten, sowohl im Ruhezustand als auch während der Übertragung, müssen verschlüsselt werden, um unbefugte Zugriffe zu verhindern.
• End-to-End-Verschlüsselung: Für besonders sensible Kommunikation wie Online-Banking sollte eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommen.
• Rollenbasierte Zugriffskontrolle (RBAC): Jede*r Mitarbeiter*in erhält nur die Zugriffsrechte, die für die Aufgaben unbedingt erforderlich sind.
• Multi-Faktor-Authentifizierung (MFA): Für den Zugriff auf kritische Systeme ist neben dem Passwort eine zusätzliche Authentifizierung, wie ein SMS-Code oder Sicherheits-Token, nötig.
• Echtzeitüberwachung: IDPS-Systeme überwachen das Netzwerk kontinuierlich auf verdächtige Aktivitäten und können Angriffe in Echtzeit erkennen und blockieren.
• Schutz vor unbefugtem Zugriff: Firewalls filtern den Netzwerkverkehr und blockieren unerwünschte Verbindungen.
• Regelmäßige Updates: Software und Systeme müssen regelmäßig auf dem neuesten Stand gehalten werden, um bekannte Schwachstellen zu schließen.
• Mitarbeiter sensibilisieren: Regelmäßige Schulungen sensibilisieren Mitarbeiter für die Risiken von Cyberangriffen und zeigen ihnen, wie sie sich schützen können.

Herausforderungen bei der Umsetzung

Die Liste zeigt: Die Herausforderungen bei der Umsetzung von DORA sind erheblich. Die EU hatte die Verordnung bereits im Dezember 2022 beschlossen und am 16.01.2023 im Amtsblatt der Europäischen Union veröffentlicht. Finanzdienstleister hatten damit 24 Monate Zeit, um die Anforderungen umzusetzen. 

Zeit, die benötigt wurde. Denn die Anpassungen der IT-Infrastruktur und die Schulung der Mitarbeiter sind komplex und kostenintensiv. Im schlimmsten Fall musste Geschäftsprozesse grundlegend überarbeitet werden. Dafür ist eine enge Zusammenarbeit zwischen verschiedenen Abteilungen unerlässlich, um die neuen Anforderungen zu erfüllen.

Große Institute wie Banken oder Versicherungen können dem Problem mit viel Expertise und Geld begegnen. Kleinen Unternehmen dürfte die Umsetzung der neuen Anforderungen aufgrund begrenzter Ressourcen und Know-how schwerer fallen. Die höheren Kosten können zu Wettbewerbsnachteilen führen und die Kundenbindung erschweren. Es besteht die Gefahr, dass kleinere Player am Markt benachteiligt werden oder sogar ganz verschwinden.

Besonders kritisch wird es auch für weniger digital affine Unternehmen. Diese werden mit DORA auf eine harte Probe gestellt. Analoge Prozesse müssen umgestellt und angepasst werden. Digitale Unternehmen wie wealthAPI können hingegen gelassen auf die Verordnung blicken. Zwar kann ich nicht für andere sprechen, aber unsere IT-Infrastruktur ist grundsätzlich auf Sicherheit getrimmt. Wir erfüllen schon seit langem die von DORA verordneten Sicherheitsanforderungen. 

Auswirkungen auf Verbraucher: Mehr Sicherheit, aber auch höhere Kosten?

DORA hat aber nicht nur Konsequenzen für Anbieter von Finanzdienstleistungen. Auch die Nutzerinnen und Nutzer werden auf kurz oder lang Auswirkungen bemerken. 

Klar ist: Durch die erhöhte Sicherheit können Kund*innen ihre Finanzgeschäfte mit größerem Vertrauen abwickeln. Sensible Kundendaten wie Kontoinformationen, Zahlungsdaten und persönliche Daten werden besser geschützt. Das reduziert das Risiko von Identitätsdiebstahl und Betrug. Ein stabiles Finanzsystem schützt außerdem die Ersparnisse der Verbraucher und minimiert das Risiko von Verlusten bei Finanzkrisen oder Cyberangriffen. Diese Sicherheit sorgt dafür, dass Verbraucher*innen ihre finanzielle Zukunft besser planen können. Langfristig gesehen profitieren Kund*innen von innovativen Produkten und Dienstleistungen, die durch DORA ermöglicht werden. Das können beispielsweise verbesserte mobile Banking-Apps oder personalisierte Finanzierungsangebote sein. 

Allerdings könnten die höheren Sicherheitsanforderungen indirekt zu höheren Gebühren oder eingeschränkten Dienstleistungen führen. Denn um die Sicherheit zu gewährleisten, könnten bestimmte Services eingeschränkt oder erschwert werden. Das könnten zum Beispiel Überweisungen ins Ausland oder bestimmte Zahlungsmethoden sein. Weniger rentable Produkte oder Dienstleistungen könnten sogar ganz eingestellt werden, wenn sie den neuen Sicherheitsanforderungen nicht entsprechen.

DORA – Ein Meilenstein, aber… 

DORA ist ein wichtiger Schritt, um die Cybersicherheit im Finanzsektor zu erhöhen. Doch der Kampf gegen Cyberkriminelle ist ein Wettlauf gegen die Zeit. Während DORA neue Standards setzt, entwickeln auch Cyberangreifer ihre Taktiken ständig weiter. 

Der Erfolg von DORA hängt letztlich davon ab, wie konsequent die Finanzinstitute die neuen Anforderungen umsetzen und sich an die sich ständig verändernde Bedrohungslage anpassen. Dabei ist neben den technischen Maßnahmen auch der menschliche Faktor entscheidend. Denn Phishing-Angriffe und Social Engineering nutzen gezielt die menschliche Neugier und Sorglosigkeit aus. Nur durch eine Kombination aus robusten IT-Systemen und geschultem Personal können Finanzinstitute sich effektiv gegen Cyberangriffe schützen. Die kontinuierliche Weiterbildung der Mitarbeiter und eine starke Sicherheitskultur sind dabei unerlässlich.