Wie der Digital Operations Resilience Act (DORA) der EU die betriebliche Resilienz in der Finanzdienstleistungsbranche stärken soll
Während sich Cyberbedrohungen auf der ganzen Welt stetig weiterentwickeln, werden im Finanzsektor neue Gesetze erlassen, um diese Cyberrisiken zu bekämpfen. Das vielleicht effektivste Gesetz zu diesem Zweck ist der Digital Operational Resilience Act (DORA) der Europäischen Union (EU). Die Verordnung soll die betriebliche Resilienz von Finanzunternehmen (Financial Entities, FEs) und ihren externen IKT-Anbietern (Informations- und Kommunikationstechnologie) steigern.
Im Folgenden untersuchen wir, was genau DORA ist, warum die Verordnung so wichtig ist und wie Snowflake Ihre DORA-Compliance unterstützen kann.
Die zweite Gruppe von DORA-Standards, die Kontrolle und Risikomanagement für externe IKT-Anbieter stärken sollen, befindet sich derzeit noch in Entwicklung. Snowflake wird weitere Informationen bereitstellen, sobald diese zweite Gruppe der Gesetzesanforderungen im Juli 2024 bekannt gegeben wurde.
DORA: Schaffung eines sichereren Finanzsystems
DORA, das im Januar 2023 in Kraft getreten ist, geht über reine Reaktionsmaßnahmen hinaus. Stattdessen müssen FEs und ihre Serviceanbieter proaktiv Schwachstellen erkennen, Unterbrechungen verhindern und Pläne für eine schnelle Wiederherstellung nach Vorfällen erstellen. DORA sieht hierbei einen Lebenszyklus-Ansatz mit fünf Schritten vor:
Identifizieren: kritische Funktionen ermitteln, die anfällig für Unterbrechungen sind
Bewerten: potenzielle Risiken dieser Funktionen bewerten
Vorbeugen: zuverlässige Maßnahmen implementieren, um diese Funktionen zu schützen
Reagieren: klare Pläne entwickeln, um Vorfälle effektiv zu bewältigen und ihre Auswirkungen zu minimieren
Wiederherstellen: Prozesse für eine schnelle Wiederherstellung nach Vorfällen einrichten, um Geschäftskontinuität zu gewährleisten
Hieraus ergeben sich einige wichtige Anforderungen, die jeweils eigene Vorteile mit sich bringen:
- Strengere technische und prozessorientierte Sicherheitsmaßnahmen steigern den Schutz sowohl für FEs als auch für ihre externen IKT-Anbieter.
- Das Erkennen potenzieller Gefahren mittels Datenanalysen und Risikobewertungen ermöglicht ein proaktives Risikomanagement.
- Die Zusammenarbeit zwischen den europäischen Aufsichtsbehörden (European Supervisory Authorities, ESA) und den zuständigen nationalen Behörden fördert die konsequente Durchsetzung von Cybersicherheitsvorschriften sowie ein resilienteres Finanzökosystem.
Die fünf Eckpfeiler von DORA
1. IKT-Risikomanagement-Framework und -Governance
FE-Führungsteams müssen eine Risikomanagement-Strategie definieren, die nicht nur intern verwaltete kritische Systeme, sondern auch die Risiken ihrer IKT-Anbieter abdecken. Diese Strategie muss neben Analysen von Geschäftsauswirkungen auch Sicherungs- und Wiederherstellungspläne umfassen, um auf Sicherheitsvorfälle oder blockierten Datenzugriff zu reagieren.
2. Meldung von IKT-Vorfällen
FEs müssen einen Managementprozess für die Überwachung, Verwaltung, Protokollierung, Klassifizierung und Meldung IKT-bezogener Vorfälle einrichten. Je nach Schweregrad des Vorfalls gibt DORA Fristen, Formulare und Anforderungen für die Meldung bei zuständigen Behörden sowie bei betroffenen Kund:innen und Partner:innen vor.
3. Tests der digitalen betrieblichen Resilienz
FEs müssen ihr IKT-Risikomanagement-Framework regelmäßig testen, um zu bewerten, wie gut ihre Verfahren und Prozesse Schwachstellen standhalten können. Die Ergebnisse dieser Tests sowie etwaige Verbesserungspläne für erkannte Schwachstellen müssen auf Anforderung der zuständigen Behörde bereitgestellt werden.
4. Management von Drittanbieter-Risiken
FEs müssen IKT-Drittanbieter-Risiken als integralen Bestandteil des IKT-Risikos innerhalb ihres IKT-Risikomanagement-Frameworks managen. FEs müssen geeignete Verträge aushandeln, wenn sie Funktionen an ihre IKT-Dienstanbieter outsourcen.
Die europäischen Aufsichtsbehörden werden die Liste der kritischen IKT-Anbieter im Januar 2025 bekanntgeben. Alle Serviceanbieter auf dieser Liste werden daraufhin der direkten Aufsicht dieser Behörden unterliegen.
5. Vereinbarungen über Informationsaustausch
FEs sind angehalten, Informationen über Cyberbedrohungen (Threat Intelligence) auszutauschen, um ihr gesammeltes Wissen und ihre praktischen Erfahrungen auf strategischer, taktischer und betrieblicher Ebene einzusetzen. Indem sie entsprechende Vereinbarungen mit anderen Unternehmen eingehen, können sie Cyberbedrohungen besser bewerten, überwachen, abwehren und auf diese reagieren.
Wie kann Snowflake hierbei helfen?
Die Snowflake Data Cloud kann für FEs ein wertvolles Tool darstellen, um die DORA-Compliance zu unterstützen und ihre betriebliche Resilienz zu steigern – mit leistungsstarken Sicherheitsfunktionen und fortschrittlichen Datenmanagement-Funktionen. Richtig eingesetzt, unterstützt Snowflake seine Unternehmenskunden dabei, ihre vertraulichen Finanzdaten gemäß den gesetzlichen Anforderungen zu schützen.
Datenverschlüsselung: Snowflake verschlüsselt ruhende Daten mit AES-256-Bit-Verschlüsselung (oder besser) und nutzt für die Datenübertragung Transport Layer Security (TLS) 1.2 (oder höher). Mit dem BYOK-Modell (Bring Your Own Key) von Snowflake (das als „Tri-Secret Secure“ bezeichnet wird) können Kunden die vollständige Kontrolle über ihre Verschlüsselungskeys übernehmen und erhalten damit zusätzliche Sicherheit.
Zugriffskontrolle: Bei Snowflake können Kunden präzise Berechtigungen für Nutzerrollen definieren, um die Gefahr eines unbefugten Zugriffs auf sensible Daten zu minimieren. Darüber hinaus können Daten anhand ihrer Vertraulichkeit und ihrer Bedeutung für das Unternehmen klassifiziert und getaggt werden. So werden Sicherheitsmaßnahmen priorisiert und die Datenerfassung vereinfacht.
Data Governance: Snowflake bietet außerdem umfangreiche Data-Governance-Funktionen, darunter Datenmaskierung, Unterstützung für externe Tokenisierung sowie die Protokollierung des Zugriffsverlaufs von Nutzenden. All diese Funktionen verstärken den Schutz sensibler Kundendaten.
Datenresilienz: Bei Snowflake wissen wir, wie wichtig Datenresilienz ist. Deshalb unterstützen integrierte Fehlertoleranz und Datenreplikation den kontinuierlichen Zugriff auf Ihre Daten, selbst wenn die Hardware versagt. Daten werden automatisch in verschiedenen Verfügbarkeitszonen innerhalb derselben Region repliziert. Wenn in der einen Zone ein Problem auftritt, führt das System automatisch einen Failover zur nächsten Zone durch und minimiert so die Ausfallzeit.
Snowflake bietet außerdem fortschrittliche Funktionen für Kontoreplikation und Failover (enthalten in den Editionen „Business Critical“ und „Enterprise“). Mit diesen Funktionen können Kunden ihr gesamtes Snowflake-Konto, einschließlich aller Datenbanken und Metadaten, in einem separaten Konto in einer anderen Region replizieren. So erhalten sie eine vollständige Disaster-Recovery-Lösung. Die Replikation lässt sich konfigurieren, sodass Kunden bei Bedarf auch ältere Daten eines bestimmten Zeitpunkts wiederherstellen können. Indem Snowflake branchenführende Sicherheitsfunktionen mit leistungsstarken Disaster-Recovery-Optionen kombiniert, erhalten Sie eine umfassende Lösung zum Schutz sensibler Finanzdaten.
Drittanbieter-Überwachung: Snowflake hat ein Programm zur Bewertung von Anbieterrisiken eingerichtet, bei dem auch die betriebliche Resilienz seiner Unterverarbeiter (Sub-Processors) untersucht wird – jährlich und auf Ad-hoc-Basis. Snowflake-Kunden können über den oben aufgeführten Link festlegen, dass sie über neue Unterverarbeiter benachrichtigt werden.
Proaktive Sicherheit: Snowflake führt regelmäßig Schwachstellenscans durch und arbeitet mit externen Sicherheitsfirmen zusammen, um Penetrationstests an der Plattform durchzuführen. Darüber hinaus lässt sich Snowflake in beliebte SIEM-Systeme (Security Incident and Event Management) integrieren, wodurch Kunden die Sicherheitsüberwachung zentralisieren und sich über verdächtige Aktivitäten informieren lassen können. Im Falle eines Sicherheitsvorfalls benachrichtigt Snowflake seine Kunden zeitnah über die Art und die Folgen des Vorfalls, über die ergriffenen Maßnahmen und über den Status der Untersuchung gemäß Snowflakes Security Addendum.
* * *
Durch den effektiven Einsatz der Snowflake-Funktionen erhalten FEs ein leistungsstarkes Werkzeug, um DORA-Anforderungen zu erfüllen, wodurch es ihnen möglich ist, eine sicherere und verlässlichere Finanzwelt zu schaffen.
Um mehr darüber zu erfahren, wie wir Sie unterstützen können, kontaktieren Sie uns oder wenden Sie sich direkt an Ihr Snowflake Account Team, um frühzeitigen Zugang zu Informationsmaterial zu erhalten.
Dieser Blogbeitrag dient nur der Information. Es handelt sich hierbei weder um eine rechtsverbindliche Zusicherung noch um eine sonstige Verpflichtung für Snowflake und stellt keine Rechtsberatung dar. Snowflake bedient verschiedenste Kunden mit unternehmensspezifischen Bereitstellungsmodellen und Compliance-Anforderungen. Sie sind selbst dafür verantwortlich, die hierin enthaltenen Informationen eigenständig zu bewerten und zu gewährleisten, dass Sie alle geltenden Gesetze und Vorschriften einhalten. Sprechen Sie mit Ihren Rechtsexpert:innen, um die Compliance-Anforderungen Ihres Unternehmens zu ermitteln. Snowflake aktualisiert die Informationen in diesem Dokument möglicherweise von Zeit zu Zeit und ohne vorherige Ankündigung.