Sie sind hier: Startseite » Fachartikel » Grundlagen

EU-DORA-Compliance sicherstellen


Finanzinstitute sollten den Anforderungen der neuen EU-DORA-Verordnung in den Bereichen Cyberrisiko-Management, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität entsprechen
Wie Finanzinstitute mit einer einheitlichen Datenplattform ihre Cyberresilienz steigern


Von Benjamin Bohne, Group Vice President Sales DACH und Osteuropa bei Cloudera

Die neue EU-DORA-Verordnung soll die digitale operative Widerstandsfähigkeit des Finanzsektors stärken. Dazu gehören überarbeitete Vorschriften und Richtlinien in Bezug auf Cyberrisiko-Management, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität. Eine einheitliche, sichere und hybride Datenplattform ist dabei essentiell, um den neuen Anforderungen in Zeiten von Drittanbieter-Cloud-Infrastrukturen gerecht zu werden. Auf sich allein gestellt, werden die Finanzinstitute ein solch komplexes Unterfangen nur schwer stemmen können, doch externe Partner helfen beim Aufbau und Betrieb.

Die Stabilität des Finanzsektors ist die Basis für eine funktionierende Gesellschaft. So ist es kein Wunder, dass die EU bestrebt ist, diesen mit Regularien und Vorschriften abzusichern. Die Absicht hinter den Maßnahmen: eine übermäßige Risikobereitschaft verhindern, eine angemessene Kapitalausstattung sicherstellen und die Wahrscheinlichkeit von Insolvenzen oder Finanzkrisen verringern. Nur wenn Bürger, Unternehmen, Ämter und weitere Organisationen Finanzinstituten vertrauen, funktionieren Wirtschaft und Warenkreislauf.

In diesem Zusammenhang ist der Einfluss digitaler Technologien wie etwa Hybrid- und Multi-Cloud-Infrastrukturen kritisch zu prüfen. In der Vergangenheit haben diese bereits Abläufe gestrafft, Innovationen angeregt und Kostenoptimierung beschleunigt. Trotzdem wären die Behörden unvorsichtig, wenn sie sich nicht mit den inhärenten Cyber-Risiken befassen würden, die mit digitalen, internetbasierten Technologielösungen von Drittanbietern verbunden sind.

Die EU unternimmt aus diesem Grund wichtige Schritte, um den Umgang mit Daten zu vereinheitlichen und fokussiert sich auf eine Reduzierung von Cyberrisiken im Finanzsektor. Die Einführung des Digital Operational Resilience Act (DORA) wird sich sowohl auf die Finanzunternehmen als auch auf die Technologiedienstleister in der Finanzbranche auswirken. Doch was beinhaltet DORA eigentlich?

Das Wichtigste zu DORA
DORA ist eine Verordnung der Europäischen Kommission, die im Januar 2023 in Kraft trat und bis Januar 2025 umgesetzt werden muss. Da der Finanzsektor bei der Erbringung von Finanzdienstleistungen zunehmend von Informations- und Kommunikationstechnologien (ICT) und ICT-Serviceprovidern (ICTSP) abhängig ist, soll DORA die operative Widerstandsfähigkeit des EU-Finanzsektors gegen Cyber-Bedrohungen und -Vorfälle verbessern. DORA konzentriert sich darauf, die Stabilität digitaler Dienstleistungen von Finanzunternehmen (FI) wie Banken, Aktiengesellschaften und Marktinfrastruktur-Bereitstellern sicherzustellen.

Die wichtigsten Ziele und Anforderungen von DORA sind:
>> Durchsetzung: Cyber-Risikomanagement im Finanzsektor umfassend anwenden und EU-weit einschlägige Vorschriften harmonisieren.
>> Risikomanagement: FIs müssen konstant Cyber-Risiken identifizieren, bewerten und managen, Strategien zum Schutz von Systemen und Daten entwickeln sowie Pläne zur Aufrechterhaltung des Geschäftsbetriebs erstellen.
>> Reporting: Berichterstattung über Vorfälle, Belastbarkeitstests und Risikomanagement durch Dritte für FIs sind verpflichtend.
>> Controlling: Einrichtung eines Überwachungsrahmen für kritische ICT-Serviceprovider wie Cloud-Plattformen und Datenanalysedienste.
>> Kooperation: Informationsaustausch über Cyber-Bedrohungen bei Einhaltung der gängigen Datenschutzgesetze ermöglichen.

Mit einer einheitlichen Datenplattform zur DORA-Compliance
Die neuen Verpflichtungen für Finanzinstitute, die sich durch DORA ergeben, können mit einer einheitlichen Datenplattform erfüllt werden. Diese bietet in erster Linie eine Shared Data Experience (SDX) für konsistente Datensicherheit, Governance und Kontrolle über den gesamten Datenlebenszyklus und alle Umgebungen hinweg – ganz gleich ob Public Cloud, Private Cloud oder On-Premises. Mit SDX können FIs einmalig Datenzugriffskontrollen und -richtlinien festlegen, die dann automatisch für Daten und Analysen in hybriden und Multi-Cloud-Implementierungen durchgesetzt werden, selbst wenn Daten und Workloads zwischen ihnen verschoben werden. Dies hilft den Finanzunternehmen, die Anforderungen von DORA in Bezug auf solides Cyberrisiko-Management und den Schutz von Systemen und Daten zu erfüllen.

Diese Datenflexibilität trägt weiterhin dazu bei, Bedenken in Bezug auf die Abhängigkeit von Cloud-Anbietern zu zerstreuen. Zudem garantiert sie eine hohe Ausfallsicherheit im laufenden Betrieb.

Die einheitliche Datenplattform ermöglicht, die einfache Verwaltung und Kontrolle des gesamten Datenlebenszyklus durch die Integration von Streaming, Analyse-Tools und maschinellem Lernen auf einer einzigen Oberfläche. Dies ist eine wichtige Unterstützung bei der Entwicklung kritischer Anwendungen für aktuelle und zukünftige Anforderungen. Ein solcher Ansatz unterstützt zudem die durch DORA festgelegten Ziele für das Cyberrisiko-Management.

Eine solche Plattform eigenständig umzusetzen, ist wenig ratsam. Es handelt sich um ein komplexes und langfristiges IT-Projekt, das für die ausgelasteten IT-Abteilungen der Finanzinstitute kaum zu stemmen ist. Hier können externe Partner Abhilfe schaffen. Diese beraten bei der Auswahl von Lösungen, helfen bei der Implementierung und unterstützen auf Wunsch den laufenden Betrieb.

Fazit: Einheitliche Plattform – volle Übersicht
Auch wenn die neuen DORA-Anforderungen auf den ersten Blick einschüchternd wirken, so ist DORA-Compliance kein Hexenwerk. Als erstes braucht es eine einheitliche, sichere und flexible hybride Datenplattform. Diese unterstützt die Finanzinstitute dabei, die Schlüsselanforderungen der EU-DORA-Verordnung in Bezug auf Cyberrisiko-Management, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität zu erfüllen. Externe Partner wiederum helfen bei der Auswahl und Implementierung der geeigneten technischen Lösung und liefern damit ebenso ihren Beitrag, die digitale operative Widerstandsfähigkeit des Finanzsektors zu verbessern. (Cloudera: ra)

eingetragen: 02.08.24
Newsletterlauf: 24.09.24


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Grundlagen

  • Unveränderlicher Speicher für permanenten Schutz

    Fast alle Unternehmen sind heute stark von Daten abhängig; Daten fördern die Entscheidungsfindung, verbessern die Effizienz und helfen Unternehmen, ihren Mitbewerbern einen Schritt voraus zu sein. Dabei müssen Organisationen jedoch sorgfältig mit der riesigen Menge der gesammelten und gespeicherten Daten umgehen.

  • Keine Angst vor der Cloud

    Immer mehr IT-Dienstleister bieten ihre Lösungen und Tools im Cloud-Betrieb an. Gerade im Bereich Software-as-a-Service (SaaS) ist der Trend zu Cloud-Lösungen ungebrochen. Dennoch zögern viele Unternehmen bei der Nutzung der Cloud. Sie sorgen sich um die Sicherheit ihrer Daten und setzen weiterhin auf den Betrieb im eigenen Rechenzentrum.

  • Herausforderung: Cloud Bursting

    Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es den Betrieb einer Anwendung in einem privaten Rechenzentrum, mit bekannten, festen Investitionskosten, vollständiger Kontrolle über die Umgebungen und organisatorischem Fachwissen für deren Betrieb. Auf der anderen Seite wird sie in einer öffentlichen Cloud genutzt, die auf Abruf verfügbar ist und über nahezu unbegrenzte Ressourcen verfügt.

  • SASE-Transformation in drei Schritten

    Der KPMG Global Tech Report 2022 bestätigt, was viele IT-Experten bereits in ihrer täglichen Praxis beobachten: Der Einsatz von Cloud-Anwendungen ist nicht länger das Kennzeichen von digitalen Vorreitern und Marktführern, sondern schlicht die logische Weiterentwicklung digitaler Technologien.

  • Datensicherheit in Microsoft 365

    Während Microsoft 365 Unternehmen eine hervorragende Skalierbarkeit und Redundanz bietet, um Störungen durch Naturereignisse und mechanische Ausfälle Störungen zu vermeiden, ist das Hosten von Daten in der Cloud mit gewissen Risiken verbunden. Anwenderverursachte absichtliche oder versehentliche Datenverluste sind nach wie vor ein Problem für Unternehmen.

  • Die Krux mit dem Outsourcing

    Rund 850.000 Stellen sind laut Statista in Deutschland unbesetzt. Der akute Personalmangel, aber auch ein zu schnelles Wachstum oder Kosteneinsparungen sind Gründe, warum Unternehmen einzelne Bereiche outsourcen. Den Kundenservice externen Experten zu überlassen, hilft dabei, sich auf die eigenen Kernkompetenzen zu konzentrieren oder das gewünschte Service-Level zu erreichen. Vor allem wenn die Kundenanzahl steigt, aber die nötigen Mitarbeiter nicht schnell genug eingestellt werden können.

  • Es muss nicht immer Cloud sein

    Seit Jahren dreht sich in der IT alles um "die Cloud". Wobei es die eine Cloud eigentlich gar nicht gibt. Von Private über Hybrid und Multi bis zur Public Cloud ist heute so gut wie jede Infrastruktur Cloud-fähig - inklusive physischer Server. Analog nutzen die meisten Unternehmen heute in der Praxis eine Kombination aus zahlreichen verschiedenen Infrastrukturen, die alle ihre eigenen Vor- und Nachteile haben.

  • Fehlkonfiguration von Cloud-Ressourcen

    Kaum hat sich CASB als Abkürzung für Cloud Access Security Broker im Markt durchgesetzt, klopft schon die nächste Sicherheitslösung an: Cloud Security Posture Management oder kurz CSPM. Der von Gartner-Analysten geprägte Name steht für einen neuen Sicherheitsansatz, um der hohen Dynamik von Cloud-Infrastrukturen und ihrer immer komplexeren, zeitaufwändigeren Administration gerecht zu werden.

  • Multi-Cloud handhaben

    Die Nutzung der Cloud hat in den letzten Jahren rasant zugenommen, vor allem mit der Gewöhnung an die Fernarbeit müssen die Unternehmen nun in der Lage sein, ihre externen Mitarbeiter zu unterstützen und ihnen wichtige Dienste anzubieten.

  • Vertrauen gut: Cloud-verwaltete Kontrolle besser

    Die viel zitierte Weissagung, wonach das Leben die Zuspätkommenden bestrafe, scheint auch in der IT-Netzwerk-Sicherheit ihre Wahrheit zu finden. Viele Unternehmen sahen sich mit Beginn der Pandemie gezwungen, von Büroarbeit auf Homeoffice umzustellen - oft mit lückenhafter Sicherheit die IT-Infrastruktur betreffend. Ein Fest für Hacker! Nun ist Fernarbeit nicht wirklich etwas Neues; neu war seinerzeit allerdings die Geschwindigkeit, die der bereits angelaufene Trend zum mobilen Arbeiten zwangsläufig aufgenommen hatte. So manche IT-Abteilung war in puncto IT-Security ziemlich überfordert, da eiligst ein zufriedenstellendes Sicherheitsniveau zu gewährleisten war.

Grundlagen KI-gestütztes Datenmanagement

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen