Durch die steigende Zahl von Cyberangriffen und Systemschwachstellen stoßen viele Cyber-Teams an ihre Grenzen. Papierbasierte Richtlinien und einfache Heatmaps reichen daher längst nicht mehr aus, um den Anforderungen des Digital Operational Resilience Act (DORA) gerecht zu werden. Um die geforderte Schutzwirkung und schnelle Reaktion auf Vorfälle zu gewährleisten, sind optimierte und möglichst automatisierte Verfahren im IKT-Risikomanagement unerlässlich. Doch wie sieht so ein Ansatz in der Praxis aus? Und wie kann er wirklich etwas verändern?
Ob ausgefallene Geldautomaten, gestörtes Online-Banking oder lahmgelegte Handelssysteme – die Anfälligkeit für Systemausfälle und Cyberangriffe wächst kontinuierlich. DORA stellt höhere Anforderungen an das Management von IKT- und Cyberrisiken, nicht nur innerhalb des eigenen Unternehmens, sondern auch bei externen Partnern und Dienstleistern in der Wertschöpfungskette. Digitale Resilienz wird damit für Finanzdienstleister genauso wichtig wie finanzielle Stabilität.
Viele Unternehmen fragen sich, wie sie bis Januar 2025 alle Vorgaben erfüllen sollen. Doch die eigentliche Herausforderung beginnt im Grunde erst danach. Dann geht es nicht mehr nur um das Abhaken von Compliance-Checklisten, sondern darum, die digitale Resilienz effektiv zu verbessern. Denn die Frage lautet bekanntlich nicht, ob ein Cyberangriff kommt, sondern wann er erfolgt. Und spätestens in der Retrospektive nach einem Angriff stellen sich viele sehr praktische Fragen: Waren Sie auf die Bedrohungen vorbereitet? Wie wirksam waren Ihre Abwehrmaßnahmen? Konnten Sie schnell reagieren und die Auswirkungen eindämmen? Diese Verschiebung von der bloßen Einhaltung von Vorschriften hin zu echter betrieblicher Widerstandsfähigkeit zeigt, warum ein Umdenken in der Mitigation von Cyberrisiken so dringend erforderlich ist.
Die betriebliche Infrastruktur (OT) gerät immer stärker unter Druck, weil kritische Systeme und sensible Daten häufig auf veralteten Technologien oder bei verschiedenen Drittanbietern verteilt sind. Oft fehlt den Unternehmen der genaue Überblick darüber, wer Zugriff auf ihre Daten hat und wo diese gespeichert sind. Bei einem großflächigen Angriff lauten die ersten Fragen der Geschäftsführung: „Sind wir betroffen?“ und „Wie schnell können wir die Sicherheitslücke schließen?“ In solchen Fällen stehen der Ruf des Unternehmens und finanzielle Verluste auf dem Spiel. Ein „Wir wissen es nicht“ ist daher nicht akzeptabel.
Eine weitere wichtige Frage ist, ob Ihr Unternehmen über ausreichende Ressourcen verfügt, um Cyberrisiken zu managen und die betriebliche Widerstandsfähigkeit zu gewährleisten. Oft sind es kleine interne Cyber-Teams, die all diese Risiken überwachen und steuern sollen. Regulierungen wie DORA könnten die ohnehin schon wachsende Belastung der Teams noch weiter verschärfen.
DORA erfordert Technologien und automatisierte Prozesse, um ein höheres Maß an Erkennung, Schutz und Reaktionsfähigkeit sicherzustellen. Dies erfordert erhebliche Investitionen in Technologien und Personal – nicht nur in der Implementierungsphase, sondern auch im laufenden Betrieb. DORA stellt zudem neue zusätzliche Anforderungen an die Überwachung und Sicherung eines umfangreichen digitalen Ökosystems von Drittanbietern.
Die benötigten risikobasierten Lösungen für diese betriebliche Herausforderung müssen strategisch durchdacht und zugleich schnell sowie in großem Umfang umgesetzt werden können.
DORA fordert die Verbesserung von bestehenden Abwehrmechanismen. Somit könnte das Gesetz als Katalysator für einen proaktiveren, resilienteren und anpassungsfähigeren Ansatz im Management von Cyber- und anderen betrieblichen Risiken dienen.
Bei PwC unterstützen wir Finanzdienstleister dabei, effektive Cyber-Abwehrmaßnahmen zu entwickeln und mit den sich ständig verändernden Cyberbedrohungen umzugehen. Dabei wird oft eine deutliche Kluft zwischen Strategie und Umsetzung sichtbar, insbesondere bei kleinen und mittleren Unternehmen, die nicht über die Ressourcen großer Konzerne verfügen.
Für viele Unternehmen ist eine Managed-Service-Lösung ein effizienter Weg, um DORA-Anforderungen zu erfüllen und in den Alltag zu integrieren. PwC verfügt über Hunderte qualifizierter Managed-Cyber-Services-Experten in Deutschland, EMEA und weltweit. Gemeinsam mit einer Vielzahl von Kunden erarbeiten wir bereits jetzt Schutzmaßnahmen und helfen gleichzeitig auch bei deren effektiver Umsetzung. Mit dem Outcome-Based Modell von PwC haben wir für uns eine Definition unseres Services entwickelt, welche das erwartet, was unsere Kunden sehen wollen: Volles Commitment, hohe Verantwortung und gemeinsames Managen der Cyberrisiken.
Unsere Lösungen decken alle DORA-Säulen ab: IKT-Risikomanagement, IKT-Vorfallsmanagement und -meldung, Tests der digitalen Resilienz und das Management von Risiken bei Drittanbietern. Managed Services von PwC bieten echte Abwehrmaßnahmen und nicht nur reaktive Compliance.