DORA gegen Ransomware – DORA against ransomware

DORA definiert spezifische Anforderungen an das Risikomanagement von Finanzdienstleistern und enthält gesetzliche Regelungen zu zentralen Bereichen wie der präzisen Meldung von IKT-Vorfällen und dem Risikomanagement durch Dritte. Im Falle eines Angriffs auf einen Finanzdienstleister sind die unmittelbar getroffenen Entscheidungen und Maßnahmen entscheidend und können erhebliche rechtliche Konsequenzen für das Unternehmen haben.

Vorbeugen ist besser als Heilen

Finanzinstitute sollten die Chance nutzen, Ransomware-Angriffe zu verhindern, anstatt im Ernstfall den Schaden begleichen zu müssen. Das bedeutet, dass IT-Teams darauf vorbereitet sein sollten, wirksame betriebliche Resilienzmaßnahmen einzuführen, um Daten zu schützen und möglichen Angriffen zuvorzukommen. Dazu sind kontinuierliche Schulungen der IT- und Business-Teams sowie die Einführung von Tools zur Datenidentifikation und -transparenz unerlässlich. Nur so können die verschiedenen gesetzlichen Anforderungen erfüllt werden.

Als Teil des Risikomanagementprozesses und zur Einhaltung der DORA-Vorschriften sollte auch ein spezielles Audit durchgeführt werden. Diese hilft, alle Speicherorte, Klassifizierungen und Arten von Daten, die sich im Unternehmen befinden, sowie die Speicherinfrastruktur zu identifizieren – eine wesentliche Voraussetzung für Finanzunternehmen, um IKT-bedingte Störungen und Bedrohungen zu managen, darauf zu reagieren und sich davon zu erholen. IT-Teams können auf einen Blick sehen, welche Daten im Unternehmen vorhanden sind, in welcher Umgebung sie gespeichert sind und Verluste schnell und präzise melden. Um die Compliance zu gewährleisten, müssen diese Richtlinien ständig aktualisiert werden. Nur so kann sichergestellt werden, dass sie auch angesichts der neuesten und sich ständig weiterentwickelnden Bedrohungen relevant und widerstandsfähig bleiben.

Der frühe Vogel sichert die Widerstandsfähigkeit

Cybersicherheitsexperten wissen, dass kritische Daten ein Hauptziel für Angriffe sind. Daher müssen die Zugriffs- und Nutzungsmuster von Datensätzen kontinuierlich überwacht werden, um den europäischen Aufsichtsbehörden alle relevanten Informationen zur Verfügung stellen zu können.

Werden Angriffe nicht rechtzeitig erkannt, können die Kerndaten des Opfers beschädigt werden. Cyberkriminelle schleusen Codes in die Datenbank ein, um sie später unbemerkt zu verändern oder zu beschädigen. Auf diese Weise können sie den Kern der Backups infizieren und die Wiederherstellung der Unternehmensdaten gefährden sowie die Tür für weitere Angriffe zu einem späteren Zeitpunkt öffnen. Die betroffenen Finanzinstitute wissen in der Regel nicht, welche Daten verändert oder beschädigt wurden, bis die Auswirkungen spürbar werden und die Daten nicht mehr vertrauenswürdig sind. Die einzige Lösung besteht darin, Kopien der Daten sicher und verifiziert aufzubewahren und zu 100 Prozent sicherzustellen, dass sie unzerstörbar und schnell wiederherstellbar sind.

Mit Hilfe von KI-Tools können Veränderungen im Nutzerverhalten kontinuierlich überwacht und Kompromittierungen frühzeitig erkannt werden. Erkennt die KI verdächtige Aktivitäten, kann sie automatische Wiederherstellungsprozesse einleiten und Sofortmaßnahmen vorschlagen. Die Isolierung von Backups, die Malware enthalten, minimiert zudem die Auswirkungen erfolgreicher Angriffe. Damit Backups auch im Falle eines Angriffs robust und zuverlässig bleiben, müssen die Systeme (wie Server und Metaserver) jederzeit sicher miteinander kommunizieren können.

Für den Fall, dass Backup-Dateien nach einem Ransomware-Angriff verschlüsselt wurden, ermöglichen unveränderbare Speichersysteme eine fälschungssichere Wiederherstellung der Daten. Schließlich sollten Finanzinstitute auch auf den physischen Standort der Backups achten und den Wiederherstellungsprozess regelmäßig testen.

Wachsam sein und schnell reagieren

Wenn ein Angriff gemeldet wird, zählt jede Minute, um die Auswirkungen auf das Unternehmen zu begrenzen. Das IT-Team muss sofort eingreifen und sicherstellen, dass betroffene Endnutzer und Systeme vom Netzwerk isoliert werden. Dazu können Datenmanagement-Tools eingesetzt werden, um schnell herauszufinden, auf welche Daten welche Benutzer zugreifen. Die Analyse dieser Informationen zeigt dann, welche Daten infiziert sind oder fehlen. Solange die Backups des Unternehmens gut geschützt sind, können die Informationen wiederhergestellt werden, ohne dass Lösegeld gezahlt werden muss.

Cybersicherheitsexperten wissen, dass kritische Daten ein Hauptziel für Angriffe sind. Daher müssen die Zugriffs- und Nutzungsmuster von Datensätzen kontinuierlich überwacht werden, um den europäischen Aufsichtsbehörden alle relevanten Informationen zur Verfügung stellen zu können.

Werden Angriffe nicht rechtzeitig erkannt, können die Kerndaten des Opfers beschädigt werden. Cyberkriminelle schleusen Codes in die Datenbank ein, um sie später unbemerkt zu verändern oder zu beschädigen. Auf diese Weise können sie den Kern der Backups infizieren und die Wiederherstellung der Unternehmensdaten gefährden sowie die Tür für weitere Angriffe zu einem späteren Zeitpunkt öffnen. Die betroffenen Finanzinstitute wissen in der Regel nicht, welche Daten verändert oder beschädigt wurden, bis die Auswirkungen spürbar werden und die Daten nicht mehr vertrauenswürdig sind. Die einzige Lösung besteht darin, Kopien der Daten sicher und verifiziert aufzubewahren und zu 100 Prozent sicherzustellen, dass sie unzerstörbar und schnell wiederherstellbar sind.

Mit Hilfe von KI-Tools können Veränderungen im Nutzerverhalten kontinuierlich überwacht und Kompromittierungen frühzeitig erkannt werden. Erkennt die KI verdächtige Aktivitäten, kann sie automatische Wiederherstellungsprozesse einleiten und Sofortmaßnahmen vorschlagen. Die Isolierung von Backups, die Malware enthalten, minimiert zudem die Auswirkungen erfolgreicher Angriffe. Damit Backups auch im Falle eines Angriffs robust und zuverlässig bleiben, müssen die Systeme (wie Server und Metaserver) jederzeit sicher miteinander kommunizieren können.

Für den Fall, dass Backup-Dateien nach einem Ransomware-Angriff verschlüsselt wurden, ermöglichen unveränderbare Speichersysteme eine fälschungssichere Wiederherstellung der Daten. Schließlich sollten Finanzinstitute auch auf den physischen Standort der Backups achten und den Wiederherstellungsprozess regelmäßig testen.

Wachsam sein und schnell reagieren

Wenn ein Angriff gemeldet wird, zählt jede Minute, um die Auswirkungen auf das Unternehmen zu begrenzen. Das IT-Team muss sofort eingreifen und sicherstellen, dass betroffene Endnutzer und Systeme vom Netzwerk isoliert werden. Dazu können Datenmanagement-Tools eingesetzt werden, um schnell herauszufinden, auf welche Daten welche Benutzer zugreifen. Die Analyse dieser Informationen zeigt dann, welche Daten infiziert sind oder fehlen. Solange die Backups des Unternehmens gut geschützt sind, können die Informationen wiederhergestellt werden, ohne dass Lösegeld gezahlt werden muss.

Um das Risiko von Bußgeldern bei Nichteinhaltung von Vorschriften zu minimieren, ist es außerdem notwendig, so viele Details wie möglich über die Ransomware, die für den Angriff verantwortlich ist, zu sammeln und mit den zuständigen Behörden zu teilen. Auch hier ist ein umfassendes Datenmanagement- und Reporting-Tool ein Schlüsselelement für die operative Widerstandsfähigkeit.

Vorbeugende Strafverfolgung

Um Cybersicherheit und echte operative Widerstandsfähigkeit gegen Ransomware zu gewährleisten, müssen Finanzinstitute ihre Abwehrmaßnahmen im Voraus vorbereiten. Das DORA-Gesetz macht dies zu einer regulatorischen Anforderung. Bei Nichteinhaltung drohen empfindliche Strafen von bis zu 2 Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens.

Die Angst vor Bußgeldern sollte jedoch nicht die Hauptmotivation der Unternehmen sein: Sie müssen die Herausforderungen der Cybersicherheit voll und ganz verstehen. Finanzdienstleister, die hier Transparenz zeigen und die volle Kontrolle über ihre Daten behalten, können sicher sein, dass sie die Vorschriften einhalten. Ein gut ausgearbeiteter interner Aktionsplan hilft dabei. Dieser sollte regelmäßig getestet und an neue Bedrohungen angepasst werden. Der Aufbau einer effektiven Disaster-Recovery-Strategie ist ein umfassendes Projekt und muss alle Aktivitäten des Unternehmens berücksichtigen.

„Sicherlich ist die Einhaltung von DORA – und ähnlicher Vorschriften – für Unternehmen im Finanzsektor mit Kosten und Investitionen in Technologie und Personal verbunden. Finanzinstitute sollten dies aber vor allem als Chance sehen, Risiken zu reduzieren und die eigene Profitabilität zu steigern“, erklärt Ralf Bauman, Country Manager bei Veritas. „Wenn sie die Sicherheit und Zuverlässigkeit der eigenen ICT-Systeme nachweisen können, vermeiden sie langfristig hohe Kosten für Krisenmanagement und machen das Beste für sich und ihre Kunden.

DORA defines specific requirements for the risk management of financial service providers and contains legal regulations in key areas such as accurate reporting of ICT incidents and risk management by third parties. In the event of an attack on a financial services firm, the decisions and actions taken immediately are critical and can have significant legal consequences for the firm.

Prevention is better than cure

Financial institutions should seize the opportunity to prevent ransomware attacks rather than paying for the damage after the fact.

This means that IT teams should be prepared to implement effective operational resilience measures to protect data and prevent potential attacks. This requires ongoing training of IT and business teams and the implementation of data discovery and visibility tools. This is the only way to meet the various regulatory requirements.

As part of the risk management process and to comply with DORA regulations, a special audit should also be performed. This helps identify all the locations, classifications, and types of data stored within the organization, as well as the storage infrastructure-essential for financial organizations to manage, respond to, and recover from ICT-related disruptions and threats. IT teams can see at a glance what data exists in the organization, in what environment it is stored, and report on losses quickly and accurately. To ensure compliance, these policies must be constantly updated. This is the only way to ensure they remain relevant and resilient in the face of the latest and evolving threats.

The Early Bird Ensures Resilience

Cybersecurity experts know that critical data is a prime target for attack. Therefore, access and usage patterns of data sets must be continuously monitored in order to provide all relevant information to European regulators.

If attacks are not detected in time, the victim’s core data can be damaged. Cyber criminals inject code into the database to modify or corrupt it later without being detected. In this way, they can infect the core of backups, jeopardizing the recovery of corporate data and opening the door to further attacks at a later date. Financial institutions are often unaware of what data has been altered or corrupted until the impact is felt and the data becomes untrustworthy. The only solution is to keep copies of the data secure and verified, with 100% assurance that they are indestructible and quickly recoverable.

AI tools can continuously monitor changes in user behavior and detect compromises early. When AI detects suspicious activity, it can initiate automated recovery processes and suggest immediate action.

Isolating backups that contain malware also minimizes the impact of successful attacks. To ensure that backups remain robust and reliable in the event of an attack, systems (such as servers and metaserver) must be able to communicate securely at all times.

In the event that backup files are encrypted following a ransomware attack, immutable storage systems enable tamper-proof recovery of data. Finally, financial institutions should also pay attention to the physical location of backups and regularly test the recovery process.

Be vigilant and respond quickly

When an attack is reported, every minute counts to limit the impact on the business. The IT team must take immediate action to ensure that affected end users and systems are isolated from the network. Data management tools can be used to quickly identify what data is being accessed by which users. Analyzing this information then reveals what data is infected or missing. As long as the organization’s backups are well protected, the information can be recovered without paying a ransom.

Cybersecurity experts know that critical data is a prime target for attack. Therefore, access and usage patterns of data sets must be continuously monitored in order to provide all relevant information to European regulators.

If attacks are not detected in time, the victim’s core data can be damaged. Cyber criminals inject code into the database to modify or corrupt it later without being detected. In this way, they can infect the core of backups, jeopardizing the recovery of corporate data and opening the door to further attacks at a later date. Financial institutions are often unaware of what data has been altered or corrupted until the impact is felt and the data becomes untrustworthy. The only solution is to keep copies of the data secure and verified, with 100% assurance that they are indestructible and quickly recoverable.

AI tools can continuously monitor changes in user behavior and detect compromises early. When AI detects suspicious activity, it can initiate automated recovery processes and suggest immediate action.

To minimize the risk of fines for non-compliance, it is also necessary to collect as much detail as possible about the ransomware responsible for the attack and share it with the relevant authorities. Again, a comprehensive data management and reporting tool is a key element of operational resilience.

Preventive Law Enforcement

To ensure cybersecurity and true operational resilience against ransomware, financial institutions must prepare their defenses in advance. The DORA Act makes this a regulatory requirement. Failure to comply could result in severe penalties of up to 2 percent of the affected company’s annual global revenue.

However, the fear of fines should not be the main motivation for companies: they need to fully understand the challenges of cybersecurity. Financial services firms that are transparent and maintain full control over their data can be confident that they are compliant. A well-developed internal action plan will help. This should be regularly tested and adapted to new threats. Building an effective disaster recovery strategy is a comprehensive project and must take into account all of the company’s activities.

„Compliance with DORA – and similar regulations – certainly involves costs and investments in technology and human resources for financial institutions. However, financial institutions should see this as an opportunity to reduce risk and increase their own profitability,“ said Ralf Bauman, Country Manager DACH at Veritas. „If they can demonstrate the security and reliability of their own ICT systems, they can avoid the high costs of crisis management in the long term and do what is best for themselves and their customers.”