EU-Sicherheitsstandard DORA soll für Cyber-Resilienz im Finanzsektor sorgen

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Der Finanzsektor stellt schon immer ein bevorzugtes Ziel für Cyberangriffe dar. Der erwartbare finanzielle Gewinn und die große Angriffsfläche macht diese Art von Organisationen zu einem äußerst attraktiven Ziel für Cyberkriminelle. Der „State of the Internet“-Bericht von Akamai zeigt, dass rund 80 Prozent aller Cyberattacken auf die Kundschaft von Finanzdienstleistungen abzielen. In diesem Zusammenhang fällt mir ein altes niederländisches Sprichwort ein, das auf Deutsch ungefähr so lautet: „Große Bäume fangen viel Wind ein“. Der Anstieg der Angriffe auf APIs und Webanwendungen kann auf die zunehmende Nutzung und Abhängigkeit in Unternehmen zurückgeführt werden. Beide werden primär dafür eingesetzt bestehende Geschäftsprozesse zu automatisieren, um Dienste zu skalieren und zu erneuern. Zumal die meisten Webanwendungen und APIs immer noch mit Blick auf die Funktionalität implementiert werden, während bei dieser Entwicklung der Sicherheit oftmals nicht die notwendige Bedeutung beigemessen wird.

 

Digital-Operational-Resilience-Act – DORA

Die europäischen Regulierungsbehörden sehen mit großen Bedenken, dass die Banken wichtige Prozesse in großem Umfang auf Cloud-Umgebungen verlagern, die von Tech-Giganten wie Amazon, Microsoft, Google und IBM verwaltet werden. Aufgrund dieser Abhängigkeiten und dem enormen Bedrohungspotenzial durch Cyberattacken wurde DORA von der EU verabschiedet. Die darin enthaltenen Vorschriften sollen die operative Widerstandsfähigkeit im sicherheitskritischen Finanzwesen stärken und vor zukünftigen Angriffen besser schützen. DORA wird, nach der bereits erfolgten Verabschiedung durch das EU-Parlament und die Zustimmung des EU-Rates am 28. November 2022, bald geltendes Recht in den Mitgliedsstaaten. Gemäß der Gesetzgebung müssen Finanzinstitute sicherstellen, dass sie über robuste Mechanismen für die Meldung größerer technologischer Sicherheitsvorfälle, für die Geschäftskontinuität und für die Notfallwiederherstellung verfügen. Sie müssen auch nachweisen, wie schnell sie sich von einem potenziellen Cyberangriff erholen könnten.

Fazit

Die EU-weiten Regularien und Mindestanforderungen in Bezug auf Cyber-Resilienz im Finanzsektor bilden eine wichtige Säule in der Sicherheitsarchitektur der Organisationen. Jedoch zeigen das Ausmaß und die steigende Komplexität der Phishing-Angriffe auf Banken und deren Kunden, dass die Einhaltung von Vorschriften allein keinen effektiven Schutz bieten kann. Immer öfter kommen Techniken zum Einsatz, die auch die Zwei-Faktor-Authentifizierung umgehen, wodurch das Risiko für Kompromittierungen enorm ansteigt. Umso wichtiger sind präventive Maßnahmen zur Vorbeugung dieser Art von Angriffen. Eine weitere Säule der Sicherheitsstrategie sollte deshalb ein umfassendes Security Awareness Training bilden. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing Mails die Aufmerksamkeit und Sensibilität von Nutzern zu testen. Das Ziel ist, ein gesteigertes Bewusstsein für die Gefahren und dem Erkennen solcher Attacken zu erreichen. Die Anzahl der erfolgreichen Phishing-Angriffe auf eine Organisation kann dadurch sehr stark reduziert werden.

#KnowBe4