DORA soll die digitale Sicherheit der Finanzbranche erhöhen

universal spotlight: Herr Dr. Jäger, was können wir aus dem CrowdStrike-Vorfall lernen?

Dr. André Jäger: Auch wenn unsere eigenen IT-Systeme als Kapitalverwaltungsgesellschaft nicht betroffen waren, war es lehrreich, einen so weitreichenden, weltweiten Vorfall mitzuerleben. Eben weil wir gerade unser gruppenweites DORA-Programm umsetzen – um ähnliche Vorfälle in unserer Branche von vornherein zu vermeiden oder uns zumindest besser darauf vorzubereiten. Neue regulatorische Anforderungen umzusetzen ist natürlich aufwendig, aber der CrowdStrike-Vorfall zeigt einmal mehr, wie wichtig das Thema IT-Sicherheit im Finanzdienstleistungssektor ist.

Und was umfasst DORA nun im Kern?

Eine wesentliche Anforderung von DORA ist, eine robuste Strategie für Resilienztests zu implementieren. Diese stellt sicher, dass alle Änderungen an den Systemen, die Geschäftsprozesse unterstützen, umfassend getestet werden, bevor sie in Betrieb genommen werden. Das Grundprinzip ist also Problemvermeidung – durch gründliche Tests.
Der Vorfall verdeutlicht zudem, wie wichtig es ist, die Lieferkette der Dienstleister zu kennen. DORA möchte dies mit dem Informationsregister erreichen. Die darin erfassten Informationen helfen, die Abhängigkeiten und damit verbundenen Risiken zu jedem einzelnen Dienstleister besser verstehen zu können. Indem wir Dienstleister identifizieren, die kritisch für den Betrieb sind, können wir im Notfall schnell reagieren, Ausfallzeiten minimieren und effektiv kommunizieren.

Gleiches gilt auch für die Umsetzung einer Multi-Vendor-Strategie, durch die Abhängigkeiten von einzelnen Dienstleistern reduziert werden, sowie ein solides Incident Management.

Wie geht Universal Investment das DORA-Projekt konkret an?

Jäger: Wir haben ein gruppenweites DORA-Projekt aufgesetzt, das durch eine robuste Programm-Governance unterstützt wird. Die Anforderungen setzen wir in einem mehrstufigen Ansatz um.

Die erste Phase mit einer Soll-Ist-Analyse der DORA-Anforderungen haben wir bereits erfolgreich abgeschlossen und nun sind wir in der Umsetzungsphase von vier Teilprojekten bis zum Inkrafttreten von DORA am 17. Januar 2025. Dazu gehören die Implementierung DORA-relevanter Strategien, Verfahren und Tools. In der abschließenden dritten Phase geht es dann um die Verankerung im Tagesgeschäft der Organisation.

Welche Auswirkungen hat DORA für die Kunden von Universal Investment?

Unser Hauptziel besteht darin, die Sicherheit und Belastbarkeit unserer digitalen Infrastruktur zu stärken, davon profitieren auch unsere Kunden. Die Implementierung der DORA-Anforderungen wird uns dabei unterstützen, unser bestehendes Risikomanagement-Framework zu optimieren und eine Reihe von Vorteilen zu realisieren.
So implementieren wir noch robustere Cyber-Security-Maßnahmen zur digitalen operativen Resilienz. Dies wird das Risiko von Cyber-Bedrohungen und Betriebsunterbrechungen weiter reduzieren und die IT-Umgebung noch sicherer und widerstandsfähiger machen. Unser Ziel ist es, unsere Kunden vor neuen digitalen Risiken zu schützen und die Service-Kontinuität sicherzustellen. Unser DORA-Programm ist zudem so geplant, dass wir künftig Unterbrechungen in unseren Betriebsabläufen mit noch größerer Sicherheit vermeiden.

Eines der Grundprinzipien von DORA ist das Management von Risiken entlang der Dienstleisterkette, der sogenannten Third-Party-Risiken. Wir identifizieren kritische oder wichtige ausgelagerte Funktionen und arbeiten eng mit unseren Dienstleistern zusammen, um sicherzustellen, dass diese die hohen DORA-Standards bei Sicherheit und Resilienz erfüllen. Ich bin überzeugt, dass diese Verbesserungen unsere Position als verlässlicher Partner für unsere Kunden weiter stärken werden.

Wirkt sich DORA auch auf dem Umgang mit Kundendaten aus?

Im Rahmen von DORA wird ein noch größerer Wert auf Datenschutz und Datensicherheit gelegt als bisher. Daher könnten strengere Protokolle für den Umgang, das Speichern und die Übertragung von Kundendaten eingeführt werden, um Datenintegrität und Vertraulichkeit zu gewährleisten. Sollte das zu Auswirkungen für unsere Kunden führen, werden wir da natürlich zeitnah informieren.

Was hat es mit dem Informationsregister auf sich?

Die von DORA regulierten Finanzinstitutionen müssen ein sogenanntes Informationsregister führen, in dem zentrale Informationen über externe Dienstleister, die Third-Party Provider, geführt werden. Auch ein Teil der Kunden von Universal Investment wird selbst die DORA-Anforderungen erfüllen müssen und in diesen Fällen kann es vorkommen, dass Universal Investment als externer Dienstleister im Sinne von DORA klassifiziert ist.

Universal Investment wird dann selbstverständlich den Verpflichtungen zur Bereitstellung der erforderlichen Informationen für das Informationsregister nachkommen. Derzeit befinden wir uns noch in der Umsetzungsphase, sodass die Zurverfügungstellung der notwendigen Informationen noch ein wenig Zeit in Anspruch nehmen wird. Wir arbeiten allerdings darauf hin, die Informationen bis Ende 2024 zur Verfügung stellen zu können.

Müssen Kunden vorhandene Dienstleistungsverträge und Leistungsbeschreibungen aufgrund von DORA anpassen?

Ja, es kann vorkommen, dass von DORA erfasste Kunden ihre vorhandenen Dienstleistungsverträge und dazugehörige Leistungsbeschreibungen an die neuen DORA-Anforderungen anpassen müssen und dass darunter auch Verträge mit Universal Investment als Dienstleister fallen. Beispielsweise immer dann, wenn es sich um eine Informations- und Kommunikationstechnologie-Dienstleistung im Sinne von DORA handelt. In diesen Fällen sollten die betroffenen Kunden sich an ihre Ansprechpersonen bei Universal Investment wenden, damit wir sie bei der Anpassung der entsprechenden Dienstleistungsverträge an die DORA-Anforderungen unterstützen können – gemeinsam finden wir Lösungen.