DORA scheucht Banken und Versicherer zur IT-Renovierung
Die Ergebnisse einer Untersuchung waren laut BaFin „branchenweit sehr ernüchternd“ (s. PLATOW v. 8.9.). Zuletzt hatte die Signal Iduna eine VAIT-Prüfung; die Axa Krankenversicherung wurde bereits wegen Verstößen bestraft. Nun werden die IT-Anforderungen nochmal verschärft, denn zum 17.1.25 muss der DORA (Digital Operational Resilience Act) umgesetzt sein. Mit DORA will die Europäische Kommission einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken schaffen.
Allein sind die Versicherer mit ihren IT-Sorgen nicht, denn was ihnen die VAIT, sind den Banken die BAIT (Bankaufsichtliche Anforderungen an die IT). Und auch für sie gilt, wie für rd. 3 500 Finanzunternehmen deutschlandweit, bald DORA.
Dass die Aufsicht die IT-Schrauben anzieht, dafür sorgten auch erfolgreiche Hackerangriffe auf deutsche Institute, bspw. Haftpflichtkasse oder ING und Comdirect. Das Einfallstor für Hacker sind oft Dienstleister, weswegen in DORA u. a. der „angemessene Umgang mit der zunehmenden Abhängigkeit des Finanzsektors von Drittanbietern“ adressiert wird. Finanzunternehmen müssen künftig gewährleisten, dass ihre IT-Dienstleister „DORA-konform“ sind.
Die deutsche Finanzbranche hat bereits mit der DORA-Umsetzung begonnen, die Beschäftigung mit VAIT bzw. BAIT hat aus Sicht der BaFin dabei geholfen. Dennoch ist DORA besonders für KMUs und Startups eine Herausforderung, weiß Peter Schöning, CTO beim Rostocker Insurtech Hepster. Er empfiehlt den Firmen die Integration von Compliance- und Sicherheitsdienstleistern sowie die Beschäftigung mit „leichtgewichtigen Frameworks für das Management von Incidents und den Betrieb von Technik.“ Der DSGV hat ein zentrales Umsetzungsprojekt aufgesetzt, in dem Unterstützungsleistungen, Leitlinien und Interpretationshilfen erarbeitet werden. Die Institute sollen so „regulatorisch konforme Handlungsunterstützung erhalten“.
Auch die Genossenschaftsbanken setzen auf Zusammenarbeit, erklärt ihr Verband BVR. Die IT werde überwiegend von zentralen IT-Dienstleistern der genossenschaftlichen Finanz-Gruppe bezogen. Die Leistungen orientieren sich noch an den BAIT, künftig an DORA. Somit werden gerade kleine Genossenschaftsbanken, „die so gut wie keine dezentrale IT einsetzen, umfangreich unterstützt“. Auch die Zurich Deutschland will „auf der VAIT aufbauend“ über die kommenden 14 Monate ein DORA-Projekt aufsetzen.
Die Anforderungen seien sinnvoll, um die Risiken aus der Cyber-Bedrohungslage „zu mitigieren“. In einigen Bereichen erfülle die Zurich bereits einige der neuen Anforderungen. Insgesamt steigt der IT-Aufwand für Finanzunternehmen mit DORA deutlich, erklärt Timo Bernau, Partner bei GSK Stockmann. Doch angesichts der Cyber-Bedrohungen ist das notwendig, wissen auch die Unternehmen. mv