Die EU-Verordnung DORA (Digital Operational Resilience Act) rückt die Widerstandsfähigkeit digitaler Systeme im Finanzsektor in den Fokus. Sie fordert unter anderem, dass Informations- und Kommunikationstechnologien (IKT) so betrieben und abgesichert werden, dass Institute auch bei Cyberangriffen, Fehlkonfigurationen oder Systemausfällen stabil bleiben.
Für viele Organisationen wird damit eine bislang vernachlässigte Disziplin zur regulatorischen Pflicht: die systematische Rezertifizierung bestehender Firewall-Regeln. Denn sie sind oft historisch gewachsen, verteilen sich auf unterschiedliche Systeme und Hersteller – und enthalten nicht selten Regeln, die veraltet, überflüssig oder nicht dokumentiert sind. Für CISO- und Security Organisationen bedeutet das: Wer hier Transparenz schafft, reduziert Risiken und stärkt die Resilienz – weit über reine Compliance hinaus.
Der Druck wächst – und mit ihm die Chance zur Verbesserung
Ein vollständiges, dokumentiertes und regelmäßig überprüftes Firewall-Regelwerk ist unter DORA keine Kür mehr, sondern Pflicht. Die Herausforderung: In der Praxis verwalten Institute teils mehrere tausend Regeln – verteilt über Systeme von Cisco, Fortinet, Palo Alto und anderen. Redundanzen, widersprüchliche Regeln oder vergessene Freigaben können dabei schnell zu Schwachstellen werden. DORA verlangt einen klaren Überblick über die IKT-Landschaft – inklusive der Absicherung durch aktuelle und begründete Firewall-Regeln.
Was eine zukunftsfähige Rezertifizierung auszeichnet
Eine moderne Rezertifizierung geht weit über eine einmalige Bestandsaufnahme hinaus. Drei Aspekte sind entscheidend:
Tool-gestützt, prozessorientiert, risikobasiert
Gerade bei komplexen Infrastrukturen mit vielen tausend Regeln ist der Einsatz geeigneter Tools entscheidend. Sie ermöglichen eine automatisierte Auswertung, vereinfachen die Identifikation von Auffälligkeiten und schaffen die Basis für fundierte Entscheidungen. Wichtig ist dabei: Die Einführung eines Tools allein reicht nicht. Es braucht ein Verfahren zur Validierung, Bewertung und Entscheidungsfindung – gemeinsam mit den relevanten Stakeholdern im Institut.
Governance schließt Prozesse ein
Die nachhaltige Steuerung von Firewall-Regeln endet nicht bei der technischen Prüfung. Firewall-Änderungen sollten in bestehende Change-Management-Prozesse eingebettet und mit Service-, Asset- oder Anwendungsdaten verknüpft sein. Nur so lässt sich sicherstellen:
- wer eine Regel genehmigt hat,
- welchem Dienst sie dient,
- wann sie zuletzt rezertifiziert wurde,
- und ob sie noch erforderlich ist.
Eine solche prozessuale Verankerung schafft nicht nur Sicherheit, sondern auch Transparenz und Revisionssicherheit – zentrale Anforderungen aus DORA.
Handlungsimpuls für CISOs
CISOs sollten die DORA-Anforderungen zur Firewall-Dokumentation und -Überprüfung als strategische Gelegenheit nutzen:
- um bestehende Altlasten zu bereinigen,
- um Transparenz über sicherheitskritische Konfigurationen zu schaffen,
- und um die Governance rund um Firewall-Änderungen zukunftssicher aufzustellen.
So wird aus einer regulatorischen Verpflichtung ein nachhaltiger Beitrag zur digitalen Resilienz.
Fazit
DORA zwingt den Finanzsektor zu einem ehrlichen Blick auf seine IKT-Risiken – auch dort, wo diese bislang kaum systematisch erfasst wurden. Die Rezertifizierung des Firewall-Regelwerks ist ein gutes Beispiel: Wer hier jetzt strukturiert vorgeht, schafft nicht nur regulatorische Sicherheit, sondern stärkt die operative Widerstandsfähigkeit der gesamten Organisation.
Die Autoren
