DORA verstehen: Was es für Finanzinstitute bedeutet und wie enclaive unterstützt

Einführung in DORA

Der Digital Operational Resilience Act (DORA) ist nicht nur eine weitere regulatorische Anforderung, sondern eine zentrale Verordnung der Europäischen Union zur Stärkung der IKT-Resilienz von Finanzinstituten. Ab dem 17. Januar 2025 gilt DORA als einheitlicher Rahmen, der sicherstellt, dass Finanzinstitute IKT-bezogene Störungen bewältigen, darauf reagieren und sich davon erholen können. Dieser umfassende Ansatz dient sowohl der finanziellen Stabilität als auch dem Schutz von Verbrauchern in einer zunehmend digitalen Wirtschaft.

In diesem Blog erklären wir, was DORA beinhaltet, welche Herausforderungen es mit sich bringt und wie die Confidential Computing-Lösungen von enclaive sowohl die Compliance als auch die betriebliche Effizienz unterstützen.

‍

Die 5 zentralen Anforderungen von DORA

DORA definiert fünf wesentliche Anforderungen und bietet damit einen soliden Rahmen für das IKT-Risikomanagement:

1. IKT-Risikomanagement
   Entwicklung und kontinuierliche Pflege umfassender Rahmenwerke zur Identifikation, Bewertung und effektiven Minderung von IKT-Risiken.
2. Meldepflicht für Vorfälle
   Einführung detaillierter Protokolle zur Klassifizierung und schnellen Meldung von IKT-bezogenen Vorfällen an die zuständigen Behörden.
3. Resilienz-Tests
   Regelmäßige Tests der Widerstandsfähigkeit von IKT-Systemen, um sicherzustellen, dass der Betrieb auch unter Belastung aufrechterhalten bleibt.
4. Risikomanagement für Drittanbieter
   Etablierung strenger Kontroll- und Risikomanagementprozesse für IKT-Dienstleister, um Compliance und Sicherheit in der Zusammenarbeit mit externen Anbietern zu gewährleisten.
5. Austausch von Bedrohungsinformationen
   Aktive Teilnahme am Austausch von verwertbaren Bedrohungsinformationen innerhalb des Finanzsektors.

‍

Herausforderungen für Finanzinstitute

Finanzinstitute stehen vor erheblichen Herausforderungen bei der Umsetzung von DORA:

1. Verantwortung der Führungsebene

DORA überträgt die Verantwortung für das IKT-Risikomanagement direkt auf die Führungsebene eines Unternehmens. Vorstandsmitglieder und Führungskräfte müssen Strategien zur Risikosteuerung definieren, deren Umsetzung überwachen und sicherstellen, dass diese mit den operativen Zielen übereinstimmen. Da regelmäßige Updates zu neuen IKT-Risiken erforderlich sind, wird die Verantwortung der Führungsebene zu einem zentralen Thema.

2. Vielfältige IKT-Landschaft

DORA stellt strenge Anforderungen an das Management von Drittanbieter-Risiken, was insbesondere Finanzinstitute mit heterogenen IT-Umgebungen betrifft. Diese bestehen oft aus On-Premises-, Private- und Public-Cloud-Infrastrukturen. Eine durchgängige Sicherheit und Compliance über diese verschiedenen Systeme hinweg zu gewährleisten, ist eine große Herausforderung. Unternehmen müssen ihre IKT-Dienstleister aktiv überwachen, um sicherzustellen, dass sie die DORA-Vorgaben erfüllen. Dazu gehören vertragliche Regelungen für Exit-Strategien, Audits und Leistungsziele hinsichtlich Verfügbarkeit, Integrität und Sicherheit. Finanzinstitute können sich nicht auf Anbieter verlassen, die diese Anforderungen nicht erfüllen, was die operative Resilienz zusätzlich erschwert.

3. Risikomanagement und Governance

DORA macht das IKT-Management zur direkten Verantwortung der Unternehmensleitung. Vorstandsmitglieder und Führungskräfte müssen umfassende Risikomanagementstrategien definieren, deren Umsetzung überwachen und sich kontinuierlich über neue Bedrohungen informieren. Dies umfasst die Entwicklung robuster Rahmenwerke zur Identifikation, Minderung und Meldung von Risiken, um operative Störungen und Cyberangriffe zu vermeiden. Die klare Verantwortung der Führungsebene stellt sicher, dass das IKT-Risikomanagement auf allen Unternehmensebenen oberste Priorität hat.

4. Anforderungen an die Datensicherheit

DORA fordert den Schutz von Daten im Ruhezustand, während der Übertragung und bei der Verarbeitung (Artikel 9). Finanzinstitute müssen eine durchgängige operative Resilienz gewährleisten. Dazu gehört die Einführung robuster IKT-Risikomanagement-Frameworks, Echtzeit-Überwachungssysteme und strukturierter Meldeprozesse für Vorfälle. Neben der Sicherstellung der Integrität und Vertraulichkeit ihrer IKT-Systeme müssen Unternehmen Bedrohungen kontinuierlich überwachen und sich anpassen. Der regulatorische Fokus auf operative Resilienz unterstreicht die Notwendigkeit proaktiver Maßnahmen, um Störungen zu vermeiden, Vorfälle effektiv zu managen und kritische Geschäftsprozesse zu schützen.

‍

Wie enclaive die DORA-Compliance vereinfacht

Die Einhaltung von DORA erfordert innovative Lösungen, die sowohl regulatorische als auch betriebliche Anforderungen erfüllen. Die Technologien von enclaive basieren auf Confidential Computing und 3D-Verschlüsselung, die gemeinsam das technologische Fundament unserer Lösungen bilden – darunter die Multi-Cloud-Plattform (eMCP).

Confidential Computing: Schutz sensibler Daten in untrusted Umgebungen

Confidential Computing beschreibt eine neue Sicherheitsarchitektur, die sensible Daten und Berechnungen selbst in nicht vertrauenswürdigen Umgebungen schützt. Während herkömmliche IT-Modelle davon ausgehen, dass Rechenzentren oder Cloud-Server inhärent sicher sind, erkennt Confidential Computing potenzielle Schwachstellen wie Insider-Bedrohungen, externe Angriffe und missbräuchlichen Zugriff durch privilegierte Akteure an.

Durch den Einsatz von hardwarebasierten Sicherheitsfunktionen werden isolierte Enklaven geschaffen. Diese bieten eine geschützte Ausführungsumgebung, in der sensible Daten auch während der Verarbeitung sicher bleiben. Die kryptografische Isolation reduziert das Risiko eines unautorisierten Zugriffs auf kritische Systeme wie Kontrollinstanzen oder Worker Nodes. Unternehmen profitieren durch:

• Sichere Verarbeitung sensibler Daten in untrusted Umgebungen
• Vertrauliche Analyse, Speicherung und Verarbeitung von Daten bei gleichzeitiger Wahrung der Integrität
• Schutz von geistigem Eigentum und datenschutzrelevanten Informationen
• Sichere Multi-Party-Computing-Prozesse und geschützte Machine-Learning-Anwendungen

3D-Verschlüsselung: Schutz von Daten während der Speicherung, Übertragung und Verarbeitung

3D-Verschlüsselung stellt sicher, dass Daten jederzeit verschlüsselt bleiben – im Ruhezustand, während der Übertragung und bei der Verarbeitung. Dieser durchgehende Schutz entspricht direkt den DORA-Anforderungen und bildet eine zentrale Sicherheitskomponente der enclaive-Lösungen.

eMCP: Multi-Cloud-Plattform für Compliance und betriebliche Effizienz

Die Multi-Cloud-Plattform (eMCP) ist ein vollständig verwalteter Dienst, der sich nahtlos in bestehende IT-Infrastrukturen integriert und Finanzinstituten ermöglicht, DORA-Compliance zu erreichen, ohne die betriebliche Effizienz zu beeinträchtigen. Die wichtigsten Funktionen von eMCP:

• Vereinfachte Compliance: Vorgefertigte Compliance-Templates, die speziell auf die DORA-Anforderungen abgestimmt sind, reduzieren den manuellen Aufwand für regulatorische Anpassungen.
• Einheitliches Management: eMCP gewährleistet konsistente Sicherheitsrichtlinien in hybriden und Multi-Cloud-Umgebungen und bietet Tools zur Überwachung und Minderung von Drittanbieter-Risiken.
• Erweiterter Datenschutz: Durch die Integration von Confidential Computing und 3D-Verschlüsselung schützt eMCP sowohl Daten als auch Workloads und erfüllt die höchsten Sicherheitsanforderungen.

Remote Attestation: Nachweisbare Sicherheit für verteilte IT-Architekturen

Ein weiteres zentrales Element der enclaive-Lösungen ist Remote Attestation, eine Technologie, die es ermöglicht, die Sicherheitsintegrität von IKT-Systemen über verteilte Architekturen hinweg zu überprüfen. Dies stärkt das Vertrauen der Stakeholder und stellt sicher, dass alle Systemkomponenten den strengen DORA-Vorgaben entsprechen.

Durch den Einsatz von Confidential Computing und 3D-Verschlüsselung als technologische Basis bietet enclaive mit eMCP eine starke Sicherheitslösung, die Compliance vereinfacht und die operative Resilienz erhöht.

‍

Technische Details der enclaive-Lösungen

• 3D-Verschlüsselung: Daten bleiben während ihres gesamten Lebenszyklus verschlüsselt – im Ruhezustand, während der Übertragung und bei der Verarbeitung.
• Virtuelle HSMs: Sichere Verwaltung kryptografischer Schlüssel zur Einhaltung der strengen Sicherheitsanforderungen von DORA.
• Confidential Kubernetes: Schutz containerisierter Anwendungen durch Laufzeitverschlüsselung und sichere Orchestrierung.
• Remote Attestation: Fernverifizierung der Integrität von Ausführungsumgebungen, um Vertrauen in verteilten Architekturen zu gewährleisten.

Warum enclaive überzeugt

• Regulatorische Konformität: Unsere Lösungen sind gezielt darauf ausgelegt, die DORA-Anforderungen zu erfüllen, und erleichtern damit die Umsetzung komplexer regulatorischer Vorgaben.
• Technologischer Vorsprung: Durch den Einsatz modernster Confidential Computing-Technologien bieten wir höchste Sicherheit für sensible Daten und Workloads.
• Skalierbarkeit und Flexibilität: Von kleinen Finanzinstituten bis hin zu globalen Banken – unsere Plattform skaliert mühelos, um unterschiedliche betriebliche Anforderungen zu erfüllen.
• Nahtlose Integration: Die enclaive-Lösungen lassen sich problemlos in bestehende IT-Infrastrukturen integrieren und minimieren den Aufwand bei der Implementierung.
• Betriebliche Effizienz: Durch die Automatisierung von Resilienz- und Compliance-Prozessen können Finanzinstitute sich auf ihre Kernaufgaben konzentrieren, während sie gleichzeitig sicher und konform bleiben.

Fazit

DORA setzt neue Maßstäbe für die IKT-Resilienz im Finanzsektor. Die Verordnung bringt zwar Herausforderungen mit sich, eröffnet aber gleichzeitig die Möglichkeit, operative Resilienz zu stärken und das Vertrauen der Kunden zu festigen.

Mit den Confidential Computing-Lösungen von enclaive und der eMCP-Plattform können Finanzinstitute die Anforderungen von DORA souverän bewältigen und gleichzeitig Compliance und betriebliche Effizienz sicherstellen.

Bereit für mehr IKT-Resilienz? Kontaktieren Sie enclaive und erfahren Sie, wie wir Sie bei der Umsetzung von DORA unterstützen können.

Über enclaive

Die enclaive GmbH, ein preisgekröntes Start-up mit Sitz in Berlin, Deutschland, unterstützt Unternehmen dabei, ihre sensiblen Daten und Anwendungen in nicht vertrauenswürdigen Cloud-Umgebungen durch Confidential Computing zu schützen. Das umfassende Multi-Cloud-Betriebssystem ermöglicht Zero-Trust-Sicherheit, indem es die verwendeten Daten verschlüsselt und Anwendungen sowohl vor Infrastruktur- als auch Lösungsanbietern schützt.

Mit enclaive können Unternehmen bedenkenlos eine Vielzahl von Cloud-Anwendungen entwickeln, testen und bereitstellen und gleichzeitig die vollständige Kontrolle über ihre vertraulichen Informationen behalten. Das Ziel von enclaive ist es, eine universelle, Cloud-unabhängige Technologie für die Integration anspruchsvoller Multi-Cloud-Anwendungen bereitzustellen, die sich sicher und einfach einsetzen lässt.