Digitale Resilienz: Wie DORA Unternehmen gegen Cyber-Angriffe schützt

Eine starke digitale Resilienz ist mehr als nur ein Schutz gegen Cyberangriffe. Es geht darum, wie schnell und effektiv ein Unternehmen auf unvorhergesehene Ereignisse reagieren kann, sei es eine Naturkatastrophe oder eine Störung im Betrieb. Eine starke digitale Resilienz bedeutet, dass ein Unternehmen in der Lage ist, seine Geschäftsabläufe aufrechtzuerhalten und schnell wieder auf die Beine zu kommen, wenn etwas schiefgeht. Dies ist besonders wichtig in einer Zeit, in der die Abhängigkeit von digitalen Technologien immer größer wird und die Auswirkungen eines Ausfalls schwerwiegend sein können.

Eine starke digitale Resilienz ist in der heutigen Zeit unverzichtbar, um Datenverluste zum Beispiel im Rahmen von Cyberangriffen zu vermeiden. Sie kann für Unternehmen den Unterschied zwischen Erfolg und Misserfolg ausmachen und sollte daher nicht vernachlässigt werden.

2. Welche Rolle spielt jetzt die DORA-Verordnung?

Eine starke digitale Resilienz ist in der heutigen Zeit unverzichtbar, um Datenverluste zum Beispiel im Rahmen von Cyberangriffen zu vermeiden. Die DORA-Verordnung trägt dazu bei, dass Unternehmen effektive Maßnahmen ergreifen, um ihre digitale Infrastruktur zu schützen. Sie beinhaltet unter anderem die Verpflichtung zur Erstellung von Notfallplänen und zur Meldung von Sicherheitsvorfällen an die zuständigen Behörden. Durch die Umsetzung von DORA können Unternehmen nicht nur ihre eigenen Risiken minimieren, sondern auch dazu beitragen, die Gesamtsicherheit ihres digitalen Ökosystems zu erhöhen. Angesichts der steigenden Zahl von Cyberangriffen und Datenschutzverletzungen ist es daher wichtig, dass Unternehmen die Bedeutung der DORA-Verordnung erkennen und entsprechende Maßnahmen ergreifen.

DORA steht für "Digital Operational Resilience Act" und ist eine EU-Verordnung, die Anfang 2023¹ verabschiedet wurde. Sie soll sicherstellen, dass Unternehmen aus den Bereichen Finanzen, Energie, Verkehr und Gesundheit ihre IT-Systeme gegen Cyberangriffe und andere digitale Bedrohungen absichern.

Die Verordnung beinhaltet unter anderem Anforderungen an die Risikomanagementprozesse, die IT-Sicherheitsmaßnahmen sowie an die Meldung von Sicherheitsvorfällen. Unternehmen müssen außerdem über einen Notfallplan verfügen, um im Fall eines Ausfalls ihrer IT-Systeme schnell reagieren zu können.

Die Einhaltung der DORA-Verordnung wird von den nationalen Aufsichtsbehörden überwacht und kann bei Nichteinhaltung zu empfindlichen Strafen führen. Es ist also unverzichtbar, dass Finanzdienstleister und Banken sich mit den Anforderungen der DORA-Verordnung auseinandersetzen und ihre digitale Resilienz stärken.

Um eine starke digitale Resilienz aufzubauen, sollten Unternehmen verschiedene Maßnahmen ergreifen:

Eine Möglichkeit ist die regelmäßige Durchführung von Risikoanalysen, um potenzielle Bedrohungen frühzeitig zu erkennen und Gegenmaßnahmen zu ergreifen. Auch Schulungen und Trainings für Mitarbeiterinnen und Mitarbeiter sind wichtig, um ein Bewusstsein für Cyber-Sicherheit zu schaffen und Verhaltensregeln im Umgang mit sensiblen Daten zu vermitteln.

Zudem sollten Unternehmen ihre IT-Infrastruktur regelmäßig überprüfen und aktualisieren, um Schwachstellen zu beseitigen.

Unternehmen, die die aktuellen regulatorischen Anforderungen umsetzen, sind wahrscheinlich besser in der Lage, die Anforderungen von DORA zu erfüllen. Es gibt jedoch neue Sicherheitsmaßnahmen, die besonders ins Auge fallen: Threat-led Penetration Tests und Threat Intelligence. Diese erfordern eine höhere Sensibilität und Aufmerksamkeit, um angemessen umgesetzt zu werden.

Eine weitere Notwendigkeit ist die Implementierung von Notfallplänen, um im Falle eines Angriffs schnell reagieren und den Schaden minimieren zu können. Eine starke digitale Resilienz ist somit unverzichtbar, um sich gegen Cyber-Angriffe zu schützen und langfristig erfolgreich am Markt agieren zu können.

4. Was kostet eine starke digitale Resilienz, was bringt sie?

Wie bei jeder Investition gibt es auch bei der Umsetzung von DORA Kosten, die berücksichtigt werden müssen. Die Implementierung einer digitalen Resilienz erfordert in der Regel eine Umstrukturierung von IT-Systemen und -Prozessen, bis hin zu Neuanschaffungen von Hard- und Software sowie Schulungen für Mitarbeitende. Auch regelmäßige Updates und Wartungen sind notwendig, um die Sicherheit aufrechtzuerhalten. Die Dokumentation der Tätigkeiten wird aufwändiger.

Allerdings sind diese Kosten im Vergleich zu den möglichen Schäden, die durch einen erfolgreichen Cyberangriff entstehen können, vergleichsweise gering. Eine Investition in die digitale Resilienz ist somit nicht nur eine Frage der Sicherheit, sondern auch der Wirtschaftlichkeit.

Wer einen Angriff von außen erlebt, hat nicht nur die daraus resultierenden direkten Kosten zu tragen (Zerstörung der Daten und Unerreichbarkeit). Es gibt auch später daraus resultierende Kosten (Strafen in Sachen Datenschutz, Kapitalzuschläge der Aufsicht). Genauso entstehen Kosten durch die Handelsunfähigkeit (Verluste durch unterlassene Positionsanpassungen – wie im Wertpapierbereich, Verpassen von anderen Terminen – wie im Zusammenhang mit Gerichtssachen) sowie auch durch den nicht direkt messbaren Reputationsverlust, der eine Refinanzierung schon deshalb teurer macht, weil abzusehen ist, dass das Rating wegen der schlagend gewordenen Schwachstellen gesenkt wird. Das Erdbeben dürfte sich nicht auf den IT-Bereich beschränken, sondern auch ganz andere Bereiche des Unternehmens in Mitleidenschaft ziehen. Ein Rating und das Vertrauen steigen nicht selbständig, ein SREP-Zuschlag und damit die Geschäftsbeschränkungen bleiben einige Zeit erhalten.

Den Kosten steht der Nutzen gegenüber. Dabei geht es nicht nur darum, die Vorschriften der DORA-Verordnung einzuhalten, sondern auch um den Schutz des Unternehmens selbst:

Eine gut aufgestellte IT-Abteilung kann schnell auf Störungen reagieren und sicherstellen, dass der Geschäftsbetrieb weiterläuft. Zudem können durch eine starke digitale Resilienz Datenverluste vermieden werden, was sowohl finanzielle als auch zeitliche Verluste minimiert.

Nicht zuletzt trägt eine solide digitale Resilienz dazu bei, das Vertrauen von Kunden und Partnern in das Unternehmen zu stärken. Kurz gesagt: Eine starke digitale Resilienz ist wie eine Versicherung für das Unternehmen – nur wichtiger.

Um Umsetzungsrisiken zu vermeiden, ist es wichtig, dass Unternehmen eine umfassende Strategie entwickeln. Diese sollte unter anderem eine regelmäßige Überprüfung und Aktualisierung der IT-Infrastruktur (Soft- und Hardware) sowie Schulungen für alle Beteiligten auch in den Fachabteilungen beinhalten.

Auch eine umfassende Notfallplanung ist unverzichtbar, um im Falle eines Angriffs schnell, effektiv und planvoll handeln zu können. Zudem sollten Unternehmen sich über die neuesten Entwicklungen in der IT-Sicherheit auf dem Laufenden halten und gegebenenfalls ihre Strategie anpassen. Eine starke digitale Resilienz kann dabei unterstützen, Schäden durch Cyberangriffe zu minimieren oder sogar komplett zu vermeiden – ein wichtiger Schutz für jedes Unternehmen.

Banken, Versicherern, Versicherungsvermittlern, Wertpapierfirmen, Dienstleistern für Crypto-Assets, aber auch IKT-Drittanbietern bleibt keine Wahl. Die DORA-Verordnung ist eine von der EU verabschiedete Verordnung, welche bei Nichteinhaltung empfindliche Strafen mit sich bringt. Diese Verordnung zielt darauf ab, sicherzustellen, dass Unternehmen ihre digitalen Systeme und Daten vor Bedrohungen schützen und im Falle eines Angriffs schnell wiederherstellen können.

Die Stärkung einer Cyber-Resilienz ist daher unverzichtbar, um den Anforderungen der DORA-Verordnung zu entsprechen und Strafen zu vermeiden. Ferner kann eine starke digitale Resilienz das Vertrauen von Kunden und Geschäftspartnern stärken und den Ruf des Unternehmens schützen.

In einer zunehmend vernetzten Welt, in der Cyberangriffe immer häufiger auftreten, ist eine starke digitale Resilienz ein Muss für jedes Unternehmen, das langfristigen Erfolg anstrebt.

Fazit: Warum eine starke digitale Resilienz unverzichtbar ist

Die DORA-Verordnung ist ein wichtiger Schritt in Richtung einer besseren digitalen Sicherheit. Es ist unvermeidlich, dass Unternehmen auf digitale Angriffe stoßen werden. Wenn dies geschieht, kann es verheerende Auswirkungen auf das Geschäft haben und sogar die Existenz des Unternehmens gefährden.

Angesichts zunehmender Cyberangriffe ist es von größter Bedeutung, sich auf mögliche Bedrohungen vorzubereiten und Strategien zur Verbesserung der Cyber-Resilienz zu implementieren. Selbstverständlich erfordert dies Anpassungen und zusätzliche Investitionen, jedoch ist dies auch eine Chance für Finanzinstitute, ihre Resilienz zu stärken und auf ein höheres Sicherheitsniveau zu gelangen.

Durch die Umsetzung dieser Verordnung können Unternehmen sicherstellen, dass sie über die notwendigen Maßnahmen verfügen, um Angriffen zu widerstehen und ihre Abläufe schnell wiederherzustellen, wenn ein Angriff stattgefunden hat.

Barrus Consulting möchte allen betroffenen Unternehmen dringend empfehlen: "Egal, ob Sie bereits auf einem hohen Niveau digital und betrieblich widerstandsfähig sind oder nicht, lassen Sie DORA zum Auslöser für eine Verbesserung werden. Eine Gap-Analyse und Reifegradbewertung können als Ausgangspunkt dienen.

Unsere Erfahrung bei der Unterstützung zahlreicher Kunden bei Ihren Cyber-Security- und Resilience-Bemühungen zeigt, dass es kein 'zu widerstandsfähig' oder 'zu sicher' gibt. Irgendwann kann es jeden treffen, die Frage ist nur, wie schnell sich das betroffene Unternehmen davon erholt.

Denn je widerstandsfähiger Sie sind, desto größer werden Ihre Wettbewerbsvorteile sein."

¹https://www.haufe.de/compliance/recht-politik/eu-digital-operational-resilience-act-dora_230132_571156.html