Die EU-Richtlinie DORA diktiert das Lastenheft für Cyber Resilience, meint Uli Simon, Director Sales Engineering bei Commvault. The EU’s DORA directive dictates cyber resilience specifications, says Uli Simon, director of sales engineering at Commvault.
Ab dem 17. Januar 2025 tritt der Digital Operational Resilience Act (DORA) der EU in Kraft. Ziel von DORA ist es, die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Investmentgesellschaften zu stärken und sicherzustellen, dass die betroffenen Unternehmen in Europa im Falle einer schwerwiegenden Betriebsstörung resilient bleiben können.

Backup, Recovery und Datensicherheit stehen bei Finanzdienstleistern auf der Tagesordnung. Denn sie sind Kriterien, um die Anforderungen von DORA erfüllen zu können.

DORA harmonisiert die Anforderungen an die betriebliche Ausfallsicherheit für 20 verschiedene Arten von Finanzunternehmen und Informations- und Kommunikationsdienstleistern (IKT). Dazu gehören unter anderem Kredit- und Zahlungsinstitute, Investmentgesellschaften, Anbieter von Kryptoassets, Organisationen im Versicherungs- und Rentensektor und sogar Crowdfunding-Dienste.

DORA zielt darauf ab, ein hohes gemeinsames Niveau an digitaler betrieblicher Widerstandsfähigkeit zu erreichen, Cyberbedrohungen zu mindern und einen widerstandsfähigen Betrieb im gesamten EU-Finanzsektor zu gewährleisten. Viele der im Gesetzestext enthaltenen Anforderungen erfordern eine effiziente Datensicherheit und Datensicherung.

Datensicherheit und Datensicherung sind Themen für DORA

Und diese Forderungen sind sehr konkret und werden im Text auch wörtlich umgesetzt. So verlangt DORA in Art. 9, 3 c) von Finanzunternehmen den Einsatz von Lösungen, die „mangelnde Verfügbarkeit, Beeinträchtigung der Authentizität und Integrität, Verletzung der Vertraulichkeit und Verlust von Daten“ verhindern. Artikel 10 fordert die Fähigkeit, Anomalien zu erkennen, was in der Praxis auch Anomalien in Sicherungsdaten einschließt.

Solch auffälliges Verhalten von Backups kann nicht nur auf fehlerhafte Backups, sondern unter Umständen auch auf Angriffe hindeuten. Denn Angreifer versuchen auf Backup-Volumes zuzugreifen, in denen Daten gebündelt zur Verfügung stehen und deren Verfügbarkeit oft die einzige Möglichkeit ist, eine Lösegeldzahlung im Falle einer Ransomware-Erpressung zu umgehen. Artikel 11 – „Richtlinien und Verfahren für die Datensicherung sowie Verfahren und Methoden für die Datenwiederherstellung und -wiederbeschaffung“ – fordert, dass Ablaufpläne für den Fall einer Unterbrechung der Verfügbarkeit von Daten und Systemen definiert und regelmäßig getestet werden. Dazu sollen die Unternehmen auch Testszenarien für Angriffe auf redundante Kapazitäten, Backups und Systeme in ihre Testpläne aufnehmen. Artikel 12 enthält ein umfangreiches Pflichtenheft mit allgemeinen Vorgaben zu Backup und Recovery.

IT-Verantwortliche, die diese Vorgaben erfüllen wollen, sollten sich nicht nur nach geeigneten Technologien umsehen, sondern auch juristischen Rat einholen.

Eine KI-gestützte Cloud-Backup- und Cyber-Resilience-Plattform kann Unternehmen bei der Einhaltung von DORA unterstützen:

– Für das Testen von Cyber-Wiederherstellungsplänen und einen sauberen Ort für die Wiederherstellung nach einem Angriff sollte die Plattform über eine Cleanroom-Wiederherstellungslösung verfügen, gepaart mit automatisierter Disaster- und Cyber-Wiederherstellung, um Finanzunternehmen bei der schnellen Bewältigung potenzieller Unterbrechungen zu unterstützen.

– Eine Cyber-Resilienz-Lösung sollte eine Risikoanalyse ermöglichen, um sensible Dateien zu identifizieren, zu überwachen und Risiken zu minimieren, sowie einen Threat Scan und eine proaktive Anomalie-Erkennung, um verdächtige Vorgänge in Workloads sofort zu erkennen und darauf zu reagieren.

– Für die Meldung von IKT-Vorfällen gemäß den Artikeln 17 bis 23 sollte die Plattform alle signifikanten Vorfälle und Cyber-Bedrohungen aufzeichnen und relevante Protokollinformationen über Backups und ungewöhnliche Aktivitäten an die Sicherheitsabteilung übermitteln. Um die Berichterstattung über Vorfälle zu rationalisieren und Frühwarnindikatoren und Informationen bereitzustellen, die die Schnelligkeit und Qualität der Reaktion verbessern, sollte die Lösung auch mit SIEM-Tools und -Konnektoren integrierbar sein.

– Zur Unterstützung der in den Artikeln 24 bis 27 beschriebenen umfassenden digitalen operationellen Widerstandsfähigkeitstests sollte die Lösung Netzwerksicherheitsbewertungen durch die Sammlung von Erkenntnissen durch Bedrohungsverschleierung im Netzwerk und durch eine Cleanroom Recovery-Lösung für regelmäßige Tests und Cyberforensik ermöglichen.

– Um das in den Artikeln 28 bis 30 beschriebene Risiko von IKT-Drittanbietern zu managen, sollte die Plattform auch in der Lage sein, die Migration von Workloads zwischen Cloud- und On-Premise-Umgebungen zu orchestrieren. Dies trägt dazu bei, die Kontinuität der IKT-Dienste auch bei Unterbrechungen durch Drittanbieter zu gewährleisten. Frühwarnfunktionen sollten Sicherheitsteams auch dabei unterstützen, potenzielle Angriffe auf die Lieferkette oder verdächtige Aktivitäten zu erkennen, die von IKT-Drittanbietern ausgehen könnten.

– Wichtig ist auch die Unveränderbarkeit von Backups – ihre Authentizität und Integrität. Isolierte Backups – z. B. durch Air Gap Technologien – stellen sicher, dass Angreifer Backups nicht manipulieren oder korrumpieren können.

Notwendige Schritte zur Compliance

Um den Anforderungen gerecht zu werden, müssen Unternehmen ihre IT-Prozesse und die IT-Sicherheit organisieren. Nachfolgend sind fünf grundlegende Punkte für den notwendigen Kulturwandel aufgeführt, um für DORA gewappnet zu sein:

  1. Abteilungsübergreifende Zusammenarbeit: Führungskräfte, Experten und Stakeholder aus Bereichen wie IT, Cybersicherheit, Compliance, Risiko und Recht werden an einen Tisch gebracht, um die für eine erfolgreiche Strategieentwicklung erforderliche Zusammenarbeit zu gewährleisten.
  1. Unterstützung durch das Top-Management: Im Idealfall hat das Top-Management die Relevanz und Bedeutung von DORA bereits seit langem verstanden und unterstützt. Dies kann einen entscheidenden Unterschied hinsichtlich der eingesetzten Befugnisse, Ressourcen und Dringlichkeit machen, um Compliance-Verstöße und damit verbundene potenziell hohe Bußgelder zu vermeiden.
  2. Bewertung der aktuellen Prozesse, Fähigkeiten und potenziellen Schwachstellen: Es ist entscheidend, mögliche Lücken zwischen den aktuellen Sicherheits- und Resilienz-Fähigkeiten des Unternehmens und den von DORA definierten Anforderungen frühzeitig zu erkennen, um Defizite proaktiv und rechtzeitig zu beheben.
  3. Klare Resilienzziele: Das Herzstück jeder effektiven Sicherheits- und Resilienzstrategie sind klare, erreichbare Ziele. DORA wird die Wirksamkeit dieser Ziele in den Vordergrund stellen und die Unternehmen dazu anregen, sie kontinuierlich zu überprüfen. Dadurch können die Teams auch Prioritäten für die Einhaltung der Vorschriften setzen und sicherstellen, dass Investitionen in Cybersicherheit und -resilienz so früh wie möglich mit DORA in Einklang gebracht werden.
  4. Überwachung der Vorschriften: Es ist wahrscheinlich, dass die EU-Behörden DORA im Laufe der Zeit anpassen werden, um sicherzustellen, dass die Verordnung für das dynamische Ökosystem, das sie schützen soll, voll relevant bleibt. Unternehmen sollten daher einen Prozess einrichten, der sicherstellt, dass sie über alle Entwicklungen auf dem Laufenden bleiben und neue Anforderungen entsprechend integrieren.

In einem Umfeld, in dem Vorschriften zunehmend die Richtung der Cybersicherheitsstrategie bestimmen, ist es wichtig, dass Unternehmen ihren Compliance-Ansatz insgesamt verbessern. Unternehmen, die sich jetzt auf DORA vorbereiten, vermeiden nicht nur das Risiko hoher Bußgelder, sondern stärken auch ihre Cyber-Resilienz gegenüber einer wachsenden Bedrohungslandschaft. Diese Anforderungen zu ignorieren ist keine Option.

Verstöße können je nach Schwere des Falls zu Strafen von bis zu zwei Prozent des weltweiten Jahresumsatzes führen. Das Beispiel der Datenschutzgrundverordnung hat gezeigt, dass die europäischen Regulierungsbehörden die Regeln langfristig durchsetzen wollen: Seit 2018 wurden mehr als vier Milliarden Euro gegen Unternehmen verhängt, die gegen die DSGVO verstoßen haben.

The EU’s Digital Operational Resilience Act (DORA) comes into force on January 17, 2025. The goal of DORA is to strengthen the IT security of financial organizations, such as banks, insurance companies and investment firms, and to ensure that these organizations in Europe can remain resilient in the event of a major business disruption. Backup, recovery and data security are on the agenda for financial services companies. This is because they are criteria for meeting the requirements of DORA.

DORA harmonizes operational resilience requirements for 20 different types of financial institutions and information and communications service providers (ICT). These include credit and payment institutions, investment firms, crypto asset providers, insurance and pension organizations, and even crowdfunding services.

DORA aims to achieve a high common level of digital operational resilience, mitigate cyber threats and ensure resilient operations across the EU financial sector. Many of the requirements contained in the legal text require effective data security and data protection.

Data security and privacy issues for DORA

And these requirements are very specific and are implemented literally in the text. DORA requires financial institutions to use solutions that prevent „lack of availability, impairment of authenticity and integrity, breach of confidentiality and loss of data“ (Art. 9, 3 c). Article 10 requires the ability to detect anomalies, which in practice includes anomalies in backup data.

Such anomalous behavior of backups may not only indicate bad backups, but may also indicate attacks.

This is because attackers attempt to access backup volumes where data is bundled, and their availability is often the only way to avoid paying a ransom in the case of ransomware extortion. Article 11 – „Policies and procedures for data protection, and procedures and methods for data recovery and restoration“ – requires that contingency plans be defined and regularly tested in the event of an interruption in the availability of data and systems. To this end, companies should include test scenarios for attacks on redundant capacity, backups and systems in their test plans. Article 12 provides a comprehensive specification of general requirements for backup and recovery.

IT managers who want to meet these requirements should not only look for appropriate technologies, but also seek legal advice.

An AI-powered cloud backup and cyber resilience platform can help organizations comply with DORA:

– To test cyber recovery plans and have a clean place to recover from an attack, the platform should have a clean room recovery solution paired with automated disaster and cyber recovery to help financial organizations quickly address potential disruptions.

– A cyber resilience solution should provide risk analytics to identify, monitor and mitigate risks to sensitive files, as well as threat scanning and proactive anomaly detection to immediately identify and respond to suspicious activity in workloads.

– For ICT incident reporting in accordance with Articles 17 to 23, the platform should record all significant incidents and cyber threats and provide relevant log information on backups and unusual activity to the security department. To streamline incident reporting and provide early warning indicators and information to improve the speed and quality of response, the solution should also integrate with SIEM tools and connectors.

– To support the comprehensive digital operational resilience testing described in Articles 24 to 27, the solution should enable network security assessments by collecting information through network threat obfuscation and a clean room recovery solution for periodic testing and cyber forensics.

– To manage the third-party ICT provider risk described in Articles 28 to 30, the platform should also be able to orchestrate the migration of workloads between cloud and on-premises environments. This helps to ensure the continuity of ICT services even in the event of disruptions from third-party providers. Early warning capabilities should also help security teams identify potential supply chain attacks or suspicious activity that could originate from third-party ICT providers.

– The immutability of backups – their authenticity and integrity – is also important. Isolated backups – for example, using air gap technologies – ensure that attackers cannot tamper with or corrupt backups.

Necessary steps for compliance

To comply, organizations need to organize their IT processes and security. Here are five key points for the cultural change needed to be ready for DORA:

  1. Cross-departmental collaboration: Bring together executives, experts and stakeholders from areas such as IT, cybersecurity, compliance, risk and legal to ensure the collaboration necessary for successful strategy development.
  2. Top management support: Ideally, top management has long understood and supported the relevance and importance of DORA. This can make all the difference in terms of the authority, resources, and urgency to avoid compliance violations and the potentially large fines that come with them.
  3. Assess current processes, capabilities, and potential vulnerabilities: It is critical to identify early on potential gaps between the organization’s current security and resilience capabilities and the requirements defined by DORA in order to proactively address deficiencies in a timely manner.
  4. Clear resilience goals: At the heart of any effective security and resilience strategy are clear, achievable goals. DORA will prioritize the effectiveness of these objectives and encourage organizations to continually review them. This will also allow teams to prioritize compliance and ensure that cybersecurity and resilience investments are aligned with DORA as early as possible.
  5. Monitor regulation: It is likely that EU authorities will adjust DORA over time to ensure that the regulation remains fully relevant to the dynamic ecosystem it is intended to protect. Companies should therefore put a process in place to ensure that they stay abreast of developments and integrate new requirements accordingly.

In an environment where regulations are increasingly driving the direction of cybersecurity strategy, it is important that organizations improve their overall approach to compliance. Organizations that prepare for DORA now will not only avoid the risk of hefty fines, but will also strengthen their cyber resilience against a growing threat landscape. Ignoring these requirements is not an option.

Violations can result in fines of up to two percent of annual global revenue, depending on the severity of the case. The example of the General Data Protection Regulation (GDPR)  has shown that European regulators are committed to enforcing the rules for the long term: Since 2018, more than four billion euros have been fined to companies that violated GDPR rules.

Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten. Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner