Drucken:

News

DORA soll die digitale Sicherheit der Finanzbranche erhöhen

Marketing-Anzeige

Erscheinungsdatum:

17. September 2024

  • Regulierung
Digital Operational Resilience Act
Resilienzen aufbauen im digitalen Bereich Quelle: Melanie Hobson 2017

Es ist erst einige Wochen her, dass das fehlerhafte Update des Sicherheitsunternehmens CrowdStrike weltweit zu Ausfällen von Windows-Systemen führte und ganze Flughäfen, Krankenhäuser oder Banken lahmlegte. Das ist nur eines von vielen Beispielen, die zeigen, wie angreifbar IT-Systeme grundsätzlich sein können. Mit dem Digital Operational Resilience Act – kurz DORA – hat die Europäische Union deswegen eine 

finanzsektorweite Regulierung geschaffen für die Themen rund um digitale operationale Resilienz, Risiken bei Informations- und Kommunikationstechnologien (IKT-Risiken) sowie Cybersecurity. Über die Umsetzung in der Praxis und die Auswirkungen für die Kunden sprach universal spotlight mit Universal Investment Geschäftsführer André Jäger, der das gruppenweite DORA-Programm verantwortet.
Dr. André JägerDr. André Jäger, Managing Director, Head of Risk, Universal Investment

universal spotlight: Herr Dr. Jäger, was können wir aus dem CrowdStrike-Vorfall lernen?

Dr. André Jäger: Auch wenn unsere eigenen IT-Systeme als Kapitalverwaltungsgesellschaft nicht betroffen waren, war es lehrreich, einen so weitreichenden, weltweiten Vorfall mitzuerleben. Eben weil wir gerade unser gruppenweites DORA-Programm umsetzen – um ähnliche Vorfälle in unserer Branche von vornherein zu vermeiden oder uns zumindest besser darauf vorzubereiten. Neue regulatorische Anforderungen umzusetzen ist natürlich aufwendig, aber der CrowdStrike-Vorfall zeigt einmal mehr, wie wichtig das Thema IT-Sicherheit im Finanzdienstleistungssektor ist.

Und was umfasst DORA nun im Kern?

Eine wesentliche Anforderung von DORA ist, eine robuste Strategie für Resilienztests zu implementieren. Diese stellt sicher, dass alle Änderungen an den Systemen, die Geschäftsprozesse unterstützen, umfassend getestet werden, bevor sie in Betrieb genommen werden. Das Grundprinzip ist also Problemvermeidung – durch gründliche Tests.
Der Vorfall verdeutlicht zudem, wie wichtig es ist, die Lieferkette der Dienstleister zu kennen. DORA möchte dies mit dem Informationsregister erreichen. Die darin erfassten Informationen helfen, die Abhängigkeiten und damit verbundenen Risiken zu jedem einzelnen Dienstleister besser verstehen zu können. Indem wir Dienstleister identifizieren, die kritisch für den Betrieb sind, können wir im Notfall schnell reagieren, Ausfallzeiten minimieren und effektiv kommunizieren.

Gleiches gilt auch für die Umsetzung einer Multi-Vendor-Strategie, durch die Abhängigkeiten von einzelnen Dienstleistern reduziert werden, sowie ein solides Incident Management.

Wie geht Universal Investment das DORA-Projekt konkret an?

Jäger: Wir haben ein gruppenweites DORA-Projekt aufgesetzt, das durch eine robuste Programm-Governance unterstützt wird. Die Anforderungen setzen wir in einem mehrstufigen Ansatz um.

Die erste Phase mit einer Soll-Ist-Analyse der DORA-Anforderungen haben wir bereits erfolgreich abgeschlossen und nun sind wir in der Umsetzungsphase von vier Teilprojekten bis zum Inkrafttreten von DORA am 17. Januar 2025. Dazu gehören die Implementierung DORA-relevanter Strategien, Verfahren und Tools. In der abschließenden dritten Phase geht es dann um die Verankerung im Tagesgeschäft der Organisation.

Welche Auswirkungen hat DORA für die Kunden von Universal Investment?

Unser Hauptziel besteht darin, die Sicherheit und Belastbarkeit unserer digitalen Infrastruktur zu stärken, davon profitieren auch unsere Kunden. Die Implementierung der DORA-Anforderungen wird uns dabei unterstützen, unser bestehendes Risikomanagement-Framework zu optimieren und eine Reihe von Vorteilen zu realisieren.
So implementieren wir noch robustere Cyber-Security-Maßnahmen zur digitalen operativen Resilienz. Dies wird das Risiko von Cyber-Bedrohungen und Betriebsunterbrechungen weiter reduzieren und die IT-Umgebung noch sicherer und widerstandsfähiger machen. Unser Ziel ist es, unsere Kunden vor neuen digitalen Risiken zu schützen und die Service-Kontinuität sicherzustellen. Unser DORA-Programm ist zudem so geplant, dass wir künftig Unterbrechungen in unseren Betriebsabläufen mit noch größerer Sicherheit vermeiden.

Eines der Grundprinzipien von DORA ist das Management von Risiken entlang der Dienstleisterkette, der sogenannten Third-Party-Risiken. Wir identifizieren kritische oder wichtige ausgelagerte Funktionen und arbeiten eng mit unseren Dienstleistern zusammen, um sicherzustellen, dass diese die hohen DORA-Standards bei Sicherheit und Resilienz erfüllen. Ich bin überzeugt, dass diese Verbesserungen unsere Position als verlässlicher Partner für unsere Kunden weiter stärken werden.

Wirkt sich DORA auch auf dem Umgang mit Kundendaten aus?

Im Rahmen von DORA wird ein noch größerer Wert auf Datenschutz und Datensicherheit gelegt als bisher. Daher könnten strengere Protokolle für den Umgang, das Speichern und die Übertragung von Kundendaten eingeführt werden, um Datenintegrität und Vertraulichkeit zu gewährleisten. Sollte das zu Auswirkungen für unsere Kunden führen, werden wir da natürlich zeitnah informieren.

Was hat es mit dem Informationsregister auf sich?

Die von DORA regulierten Finanzinstitutionen müssen ein sogenanntes Informationsregister führen, in dem zentrale Informationen über externe Dienstleister, die Third-Party Provider, geführt werden. Auch ein Teil der Kunden von Universal Investment wird selbst die DORA-Anforderungen erfüllen müssen und in diesen Fällen kann es vorkommen, dass Universal Investment als externer Dienstleister im Sinne von DORA klassifiziert ist.

Universal Investment wird dann selbstverständlich den Verpflichtungen zur Bereitstellung der erforderlichen Informationen für das Informationsregister nachkommen. Derzeit befinden wir uns noch in der Umsetzungsphase, sodass die Zurverfügungstellung der notwendigen Informationen noch ein wenig Zeit in Anspruch nehmen wird. Wir arbeiten allerdings darauf hin, die Informationen bis Ende 2024 zur Verfügung stellen zu können.

Müssen Kunden vorhandene Dienstleistungsverträge und Leistungsbeschreibungen aufgrund von DORA anpassen?

Ja, es kann vorkommen, dass von DORA erfasste Kunden ihre vorhandenen Dienstleistungsverträge und dazugehörige Leistungsbeschreibungen an die neuen DORA-Anforderungen anpassen müssen und dass darunter auch Verträge mit Universal Investment als Dienstleister fallen. Beispielsweise immer dann, wenn es sich um eine Informations- und Kommunikationstechnologie-Dienstleistung im Sinne von DORA handelt. In diesen Fällen sollten die betroffenen Kunden sich an ihre Ansprechpersonen bei Universal Investment wenden, damit wir sie bei der Anpassung der entsprechenden Dienstleistungsverträge an die DORA-Anforderungen unterstützen können – gemeinsam finden wir Lösungen.

Weitere Themen

  • Press Release
    19. November 2024

    Universal Investment Gruppe erweitert Führungsteam: Ronan Doyle wird zum Chief Product Officer ernannt und Dr. André Jäger wird zum Chief Risk Officer befördert

    Die Universal Investment Gruppe, eine der führenden europäischen Fonds-Service-Plattformen, ernennt mit sofortiger Wirkung Ronan Doyle zum Chief Product Officer und befördert Dr. André Jäger zum Chief Risk Officer. 

    Mehr lesen
  • Press Release
    18. November 2024

    Vermögensverwalter sind trotz Krisen und Kapitalmarktrisiken für 2025 positiv gestimmt

    Die Vermögensverwalter-Umfrage von Universal Investment zeigt: Die Teilnehmer sind der Ansicht, dass sich die Wirtschaft 2025 positiv entwickeln wird. Eine deutliche Mehrheit sieht einen Aufschwung in den USA voraus. Für Asien, insbesondere für China rechnen sie mit einer florierenden Wirtschaft. Europa und Deutschland dagegen stehen nach Einschätzung der Vermögensverwalter vor einer Rezession oder Stagnation.

    Mehr lesen
  • Press Release
    01. Oktober 2024

    Immobilien-Umfrage 2024: Investoren wollen umschichten – Nordamerika und Asien sowie Wohnen und Logistik im Aufwind

    Investitionen in Nordamerika stehen neben Asien weiter im Fokus für Neuinvestitionen. Wohnen und Logistik ergänzen Büro als wichtigste Nutzungsarten. Sinkende Zinsen sind der Haupttreiber für die Wiederbelebung der Transaktionsmärkte. Offener Spezialfonds ist beliebtestes Anlagevehikel bei der Neuauflage von Fonds.

     

    Mehr lesen
Nach oben