Mobile-Menu

Cybersicherheits-Gesetze Schritt für Schritt DORA-konform

Von Barbara Gribl 3 min Lesedauer

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG
DataCore Software GmbH
XOPERO SOFTWARE S.A.

In Europa soll angesichts stetig zunehmender Cyberangriffe die IT-Sicherheit erhöht werden. Eine Reihe von gesetzlichen Regelungen kommt auf die Unternehmen zu. Eine davon, die den Finanzsektor betrifft, ist DORA. Was sollte man über sie wissen?

Der Channel hat DORA auf dem Schirm und ist dran, seine Partner und Kunden gut vorzubereiten.(Bild: chayantorn - stock.adobe.co / KI-generiert)
Der Channel hat DORA auf dem Schirm und ist dran, seine Partner und Kunden gut vorzubereiten.
(Bild: chayantorn - stock.adobe.co / KI-generiert)

Nicht nur, weil eine Verordnung dazu verpflichtet, sondern allein aus Eigeninteresse sollten sich deutsche Unternehmen in Sachen Cybersicherheit stärker aufstellen. Die Bundesregierung reagiert auf eine immer komplexere Cyberangriffslage beispielsweise mit NIS2, dem Cyber Resilience Act (CRA) oder dem Digital Operational Resilience Act (DORA), die peu à peu zur Pflicht werden.

DORA bezieht sich auf die Finanzbranche und ihre Standards für Geschäftskontinuität und Datensicherheit für ihre IT-Dienste und -Anwendungen. Viele Unternehmen sind nicht darauf vorbereitet, diese vollständig einzuhalten. Was sollten Entscheider aber heute schon tun, um DORA-konform zu werden und die IT im Haus besser schützen zu können?

Das Unternehmen HYCU ist Spezialist für Multi-Cloud- und SaaS-basierter Data Protection und stellt auf dem Weg zur DORA-Compliance einen Leitfaden zur Verfügung. Dieser fokussiert sich auf die wichtigsten Bereiche und Schritte, die hierfür umgesetzt werden müssen.

DORA-Konformität beginnt bei Backups

Der Channel hat DORA auf dem Schirm und ist dran, seine Partner und Kunden gut vorzubereiten. HYCU gibt ein paar Tipps:

Unternehmen sollten sich zur DORA-Vorbereitung die vorhandenen Backups nochmal genauer anschauen. Die Backup-Anforderungen für DORA beginnen nämlich mit der Planung von täglichen Backups für jede Instanz und Anwendung in der Umgebung. Erforderlich ist laut den HYCU-Experten insbesondere das Speichern von Backups außerhalb des Unternehmens in einem S3-kompatiblen Speicher, unabhängig von den primären SaaS-Anwendungen. Ebenso sollten Unternehmen sicherstellen, dass Sicherungskopien im Falle eines Ausfalls oder einer Cyberbedrohung zugänglich sind und eine Mindesthäufigkeit für die Backups pro Anwendung festlegen. Es gilt sicherzustellen, dass das Sicherungssystem außerhalb der primären SaaS-Anwendungen läuft und von diesen getrennt ist. Die Aktivierung der Unveränderbarkeit des Backup-Speicherziels im Falle eines Cybersicherheitsvorfalls ist eine weitere wichtige Anforderung. Der Standort des Backup-Speichers muss die Anforderungen des entsprechenden Landes erfüllen – raten die Experten. Zum Schutz der Integrität und Vertraulichkeit von Backups soll zudem die Implementierung und Aufrechterhaltung von Multi-Faktor-Authentifizierung, Verschlüsselung und Netzwerksegmentierung entscheidend sein.

Schnell wieder auf die Beine kommen und dies beweisen

Unternehmen sollten Recovery-SLAs festlegen, die der Bedeutung der jeweiligen Anwendung angemessen sind. Ebenso gilt es, Disaster-Recovery-Pläne, die Vorlagen für verschiedene Vorfallszenarien enthalten, zu entwickeln und regelmäßig zu aktualisieren. Auch empfiehlt HYCU den Unternehmen sicherzustellen, dass diese Pläne umfassend und auf die geschäftlichen Bedürfnisse zugeschnitten sind. Die Durchführung regelmäßiger Schulungen und Simulationen sei erforderlich, um die Effektivität der Mitarbeiter bei einem kritischen Vorfall zu optimieren. Der Schwerpunkt liegt dabei auf klar definierten Rollen, Verantwortlichkeiten und Maßnahmen für ein effektives Störungsmanagement.

Für die nachvollziehbare Wiederherstellung ist eine Berichterstattung erforderlich. Diese umfasst die Dokumentation und Aufzeichnung aller Prozesse, um die Einhaltung der DORA-Anforderungen nachzuweisen und sich für Audits und Inspektionen zu wappnen. Hier bietet sich der Einsatz von fortschrittlichen Tools für die kontinuierliche Überwachung und Echtzeit-Berichterstattung von Sicherungs- und Wiederherstellungsaktivitäten an, um die Entscheidungsfindung und die Möglichkeiten der Reaktion auf Vorfälle zu verbessern.

Risiken im Blick behalten

Zur Risikobewertung empfiehlt es sich, einen Rahmen zu erstellen, um alle ICT-Services zu identifizieren und abzubilden (zum Beispiel Atlassian Cloud, AWS, Salesforce etc.). Dazu können sie Audit-Templates nutzen oder erstellen, um jede IT-Technologie in Zusammenhang mit Sicherheit, Erkennung, Reaktion und Geschäftskontinuität zu bewerten. Für alle genutzten SaaS-Anwendungen sollten Unternehmen zudem Verantwortliche für den Datenschutz bestimmen. Hier können Tools für die kontinuierliche Überwachung der genutzten Technologien und die regelmäßige Dokumentation von Änderungen im Tech-Stack helfen.

(ID:50234408)

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte

Jobs