DORA und der neue Standard für die Compliance von Finanzdaten

Der Finanzsektor hat schon immer unter strengen regulatorischen Erwartungen operiert, doch der Digital Operational Resilience Act (DORA) markiert ein neues Kapitel. DORA verlangt von Organisationen den Nachweis, dass sie Störungen der Informations- und Kommunikationstechnologie (IKT) standhalten und sich schnell erholen können. Das Gesetz erhöht den Druck darauf, wie Finanzunternehmen ihre Daten schützen und ihre Systeme validieren, und setzt damit höhere Maßstäbe dafür, wie Backup-Daten gespeichert werden. 

Warum DORA heute relevanter ist denn je 

Der aktuelle Threat-Landscape-Bericht von ENISA (der Cybersicherheitsagentur der EU) bestätigt, dass Ransomware in der gesamten EU weiter zunimmt – getrieben durch Ransomware-as-a-Service-Modelle und die schnelle Ausnutzung von Schwachstellen. Damit ist sie die wirtschaftlich schädlichste Kategorie von Cybervorfällen - und die Auswirkungen beschränken sich nicht auf isolierte Ausfälle oder Unternehmen mit schwachen Sicherheitsabwehrmaßnahmen. Ein einziges kompromittiertes System kann Kunden, Märkte und damit verbundene Anbieter negativ beeinflussen. Ziel von DORA ist es, Resilienz zur Branchenanforderung zu machen. 

Für viele Organisationen bedeutet das, langjährige Annahmen über ihre Fähigkeit, sich von einem Angriff zu erholen, neu zu bewerten. Es bedeutet auch anzuerkennen, dass Compliance für Finanzdaten inzwischen über die Verhinderung von Sicherheitsverletzungen hinausgeht und auch den Nachweis umfasst, dass Backup-Daten nach einer Sicherheitsverletzung intakt und wiederherstellbar bleiben. 

DORA - verändert, wie Organisationen arbeiten 

DORA hebt IKT-Risiken auf die Ebene einer Governance-Verantwortung. Vorstände und Führungsteams müssen verstehen, wie sich ihre Systeme während einer Störung verhalten und was erforderlich ist, um den Betrieb wiederherzustellen. Die Regulierung zwingt Organisationen außerdem, die Systeme, auf die sie sich täglich verlassen, genau zu prüfen. Backup-Umgebungen, Anbieterbeziehungen und Wiederherstellungsprozesse stehen nun im Zentrum der Erfüllung von Branchenvorschriften, die an die Compliance für Finanzdaten geknüpft sind. 

Die eigentliche Herausforderung: Resilienz nachweisen, nicht nur behaupten 

Viele Organisationen haben Richtlinien, die auf dem Papier stark wirken, bei Tests jedoch versagen. DORA legt diese Lücke offen. Es verlangt Nachweise, dass Systeme ohne Probleme wiederhergestellt werden können, dass Daten vor Manipulation geschützt sind und dass Wiederherstellungsprozesse während eines Angriffs funktionieren. 

Hier spielt die Backup-Architektur eine führende Rolle. Wenn Wiederherstellungsdaten kompromittiert sind oder sich die Wiederherstellung verzögert, leiden Resilienz - und damit zwangsläufig die Compliance für Finanzdaten - erheblich. 

Wo die meisten Organisationen noch unvorbereitet sind 

Selbst gut ausgestattete Teams übersehen häufig Bereiche, die während eines Vorfalls am wichtigsten sind: 

• Unvollständige Segmentierung: Netzwerke müssen segmentiert werden, um Sicherheitsverletzungen einzudämmen – einschließlich der logischen Trennung von Backup-Software und Speicher, die auch einem Angreifer standhält, der Administrator-Anmeldedaten erlangt hat 
• Ungetestete Wiederherstellungsprozesse: Verfahren, die nicht Ende-zu-Ende validiert wurden – von externen Penetrationstests bis zur vollständigen Wiederherstellung  
• Begrenzte Transparenz: Unsicherheit darüber, wie Daten gespeichert, geschützt und wiederhergestellt werden, sowie fehlende Dokumentation 

 Die Fokussierung auf diese Bereiche hilft Organisationen, die für die DORA-Compliance erforderliche Resilienz aufzubauen – selbst unter Angriff. 

Wie Object First helfen kann 

DORA macht deutlich, dass operative Resilienz von der Fähigkeit abhängt, IKT-Systeme und Daten sicher wiederherzustellen – ohne Integritätsverlust oder Korruption. Wenn Organisationen keine sauberen, nicht kompromittierten Daten wiederherstellen können, können sie die Kontinuität kritischer Services nicht sicherstellen. 

Hier kommt Object First Backup- Speicher ins Spiel. Absolute Immutability stellt sicher, dass Backup-Daten von niemandem verändert oder gelöscht werden können, wodurch das Manipulationsrisiko selbst im Worst-Case-Szenario eliminiert wird, in dem alle Anmeldedaten kompromittiert sind. Es bietet Organisationen eine verlässliche letzte Verteidigungslinie und unterstützt das Maß an Sicherheit, das Regulierungsbehörden heute erwarten. 

Um mehr darüber zu erfahren, wie absolut unveränderliche Backups operative Resilienz und damit auch regulatorische Compliance sicherstellen können, laden Sie unseren Leitfaden zum Digital Operational Resilience Act (DORA) herunter.