Die gute Nachricht vorweg: Die Finanz Informatik hat erfolgreich umfangreiche Maßnahmen umgesetzt, um die Institute bei der Erfüllung der DORA zu unterstützen. Vorausgegangen waren intensive Wochen und Monate der Vorbereitung, um die DORA-Readiness zu gewährleisten.

Taten statt warten

Der Digital Operational Resilience Act (DORA) zielt darauf ab, einheitliche Standards für die Cybersicherheit im Finanzsektor zu schaffen. Dies betrifft nicht nur die Banken und Sparkassen, sondern auch Versicherungen, Zahlungsdienstleister und IT-Drittanbieter, die Dienstleistungen für Finanzunternehmen erbringen. Die FI hat im übergeordneten DORA-Projekt des DSGV zusammen mit den Instituten 16 gemeinsame Handlungsfelder identifiziert und entsprechende Maßnahmen eingeleitet.

Schutz von kritischen und wichtigen Funktionen

Ein zentraler Begriff von DORA ist die Frage, was für das Institut unternehmenskritische oder -wichtige Funktionen sind. Daher wurden im übergeordneten DSGV-Projekt zunächst die kritischen oder wichtigen Funktionen bestimmt. Im nächsten Schritt wurden in Abstimmung mit dem DSGV und den Gremien der FI zu Beginn von DORA die 17 Anwendungen festgelegt, die kritische oder wichtige Funktionen in den Instituten unterstützen. Für diese Anwendungen sind dann erhöhte Anforderungen zu berücksichtigen, wie z. B. besondere Vertragsanforderungen, automatisierte Schwachstellenscans oder eine Zugangssicherung mit einer 2-Faktor-Authentisierung. DORA hat dabei für die FI und ihre Kunden in unterschiedlichen Themenfeldern für Veränderungen gesorgt. 

Michael Röttgen
Mitglied des Vorstandes
»Die 2-Faktor-Authentisierung der Finanz Informatik mit RSA-Token ist für unser Haus eine gute technische Lösung zur Erfüllung der DORA-Anforderungen zum besseren Schutz unserer Systeme. Die Bereitstellung und Unterstützung der FI hat uns dabei geholfen, fristgerecht zum 17.01.2025 alle anwesenden Mitarbeitenden auf das DORA-konforme Verfahren umzustellen. Nach flächendeckendem Rollout zum 17.01.2025 haben wir uns schnell an den neuen pragmatischen Anmeldeprozess gewöhnt und freuen uns auf künftige Weiterentwicklungen.«
Stadtsparkasse Düsseldorf


Anpassungen im FI-Produktkatalog

Die von DORA geforderten weitergehenden Anforderungen an die Vertragsinhalte zwischen Kunden und der Finanz Informatik wurden durch eine Anpassung des Produktkatalogs umgesetzt. Neben der Anpassung von bestehenden Kapiteln gibt es nun auch ein ganz neues Kapitel »Umsetzung der DORA«. Reinschauen lohnt sich.

Meldung von Vorfällen

Schwerwiegende Vorfälle wie Cyberangriffe oder Systemausfälle müssen den Aufsichtsbehörden – wie von DORA gefordert – gemeldet werden. Daher hat die FI für die Sparkassen einen Meldeprozess etabliert. Damit können Vorfälle von Drittdienstleistern der Informations- und Kommunikationstechnologie (IKT-Vorfälle) und Cyberbedrohungen klassifiziert, protokolliert und gemeldet werden. 

Schmuckbild Dora-Verordnung
Schmuckbild Dora-Verordnung


Informationsregister

DORA verpflichtet Finanzunternehmen auch zur Führung eines Informationsregisters. Es soll eine Übersicht über sämtliche Verträge mit Dienstleistern der Informations- und  Kommunikationstechnologie (IKT) geliefert werden, um mögliche Abhängigkeiten zu erkennen und die daraus resultierenden Risiken gezielt managen zu können. Die FI hat den Instituten daher die notwendigen Informationen für das Informationsregister zentral bereitgestellt. 

Großflächige Absicherung mit 2-Faktor-Authentisierung

Das Verhindern von unbefugtem Zugriff auf kritische oder wichtige Funktionen in den Instituten nimmt innerhalb von DORA eine Schlüsselrolle ein. Technisch wird dies über die 2-Faktor-Authentisierung erreicht, mit der neben dem bisherigen User und Passwort, ein weiterer Faktor bei der Anmeldung verlangt wird (z. B. via RSA-Token, Smartcard oder Biometrie). Dafür wurden umfangreiche Möglichkeiten für das OSPlus als auch für eigene Anwendungen in den Instituten entwickelt und die Institute können die Aktivierung selbst vornehmen. Prämisse für die Technik war, so wenig wie möglich den Arbeitsalltag in den Instituten zu verändern. Aus diesem Grund hat die FI mit dem »Komfort-Login« eine Lösung geschaffen, mit der die 2-Faktor-Authentisierung den kompletten Arbeitsplatz absichert und die eigentliche Anmeldung am OSPlus automatisch erfolgt. 

Rainer Liebenow
Vorstandsvorsitzender
»Die Einführung der 2-Faktor-Authentisierung gemäß DORA stärkt unsere Informationssicherheit und schützt die Daten unserer Kunden noch besser vor Cyberrisiken. Gleichzeitig führt die Umstellung zu prozessualen Veränderungen für unsere Mitarbeitenden, die von der Finanz Informatik mit zielgerichteter Kommunikation und benutzerfreundlichen Lösungen begleitet wurden. Das Ziel war, Sicherheit und Komfort in Einklang zu bringen, um auch das Vertrauen unserer Kunden in digitale Finanzdienstleistungen weiter zu stärken.«
Sparkasse Lörrach-Rheinfelden


Schwachstellen scannen, erkennen und beheben

Auch bezüglich der Netzwerksicherheit und Administration wurden die Vorkehrungen verstärkt. Automatische regelmäßige Schwachstellen-Scans unterstützen die Institute, um kritische Stellen frühzeitig zu erkennen, Fehler zu beheben und somit weniger Angriffspunkte zu bieten. Als Reaktion auf mögliche Cyberangriffe können Netze oder Netzkomponenten zusätzlich zeitweise isoliert werden. Dies soll helfen, im Ernstfall eine Ausbreitung einzudämmen.

Was ist noch zu tun?

In den einzelnen Themenfeldern werden in 2025 weitere Optimierungen durchgeführt, unter anderem bei der Schwachstellenanalyse sparkassenindividueller Systeme, bei der starken Authentisierung und bei der Vorauswertung von Schwachstellenscans als Dienstleistung der FI. 

Daniela Friedrich – Leiterin Prozessmanagement Retail & OSPlus
»Die Einführung von 2FA hat reibungslos geklappt und war in der Zusammenarbeit mit Euch (FI) beispielhaft. Super! Wir freuen uns auch hier natürlich auf die nächsten Optimierungsmaßnahmen.«


Fazit: Chancen nutzen

Für die Institute ist DORA nicht bloß eine weitere europaweite Verordnung, die es zu erfüllen gilt, sondern vor allem eine Chance, um die digitale Infrastruktur vor Sicherheitsrisiken und Cyberangriffen zu schützen. DORA sorgt so auch für noch mehr Stabilität, Sicherheit und Vertrauen in das Online-Banking bei den Kundinnen und Kunden der Sparkassen.

2-Faktor Authentisierung

Die 2-Faktor-Authentisierung (2FA) ist eine Sicherheitsmaßnahme zum Schutz von Benutzerkonten. Bei diesem Verfahren muss sich der Nutzer beim Login mit zwei unterschiedlichen und insbesondere voneinander unabhängigen Komponenten (»Faktoren«) anmelden, also zum Beispiel mit einem Benutzernamen und Kennwort und zusätzlich mit einem Einmal-Kennwort (OTP/One Time Passwort).