Notfallvorsorge - Ein wichtiger Baustein für die Betriebssicherheit

HUG GmbH

Nach MaRisk sowie der ab 17.01.2025 geltenden DORA-Verordnung sind entsprechende Anforderungen an das Notfallmanagement und das IT-Notfallmanagement umfassend umzusetzen. Das Bundesamt für Sicherheit in der Informationstechnik hat 2023 den komplett überarbeiteten Standard 200-4 veröffentlicht. Dieser Standard wurde an die Internationale Norm ISO 22301:2019 angepasst. Die regulatorischen Vorgaben aus MaRisk und DORA lassen sich durch die veröffentlichte Version des BSI-Standard 200-4 abbilden bzw. liefert der BSI-Standard für die Umsetzung der veränderten regulatorischen Anforderungen eine ideale Grundlage.

kontakt

Zusammenspiel Krisen- / Notfallmanagement, ISMS und BCMS

Das aufsichtsrechtlich geforderte Zusammenspiel zwischen Krisen- / Notfallmanagement, Informationssicherheit und Business Continuity Management erachtet auch das BSI als notwendiges Fundament für eine gute Notfallvorsorge.

Abbildung aus BSI Standard 200-4: Resilienz schaffen durch verschiedene Sicherheitsthemen

Die Bedeutung einer guten Geschäftsfortführungsplanung und eines funktionierenden Notfallmanagements ergibt sich aus den spezifischen Anforderungen, die DORA an Unternehmen im Finanzsektor stellt.

 

1. Pflicht zur digitalen Betriebsresilienz
DORA verpflichtet Unternehmen im Finanzsektor, sicherzustellen, dass sie auch bei größeren Störungen und Cyberangriffen betriebsfähig bleiben können.


Eine robuste Geschäftsfortführungsplanung ist der Kern dieser Anforderung, da sie sicherstellt, dass Finanzunternehmen:

  • Kritische Dienstleistungen aufrechterhalten können,
  • Angemessen auf Ausfälle reagieren,
  • Die Wiederherstellungszeit minimieren.

 

2. Cyberrisiken und operative Risiken
Im digitalen Zeitalter sind Cyberangriffe, Systemausfälle oder Datenverluste wesentliche Bedrohungen. DORA legt besonderen Wert auf die Fähigkeit, diesen Risiken standzuhalten.


Ein funktionierendes Notfallmanagement bietet:

  • Proaktive Maßnahmen zur Vermeidung von Risiken,
  • Reaktionspläne, um im Ernstfall schnell zu handeln,
  • Resilienz-Tests, die sicherstellen, dass Maßnahmen wirksam sind.

 

3. Reputations- und Vertrauensschutz
Finanzunternehmen im Finanzsektor stehen unter besonderer Beobachtung der Öffentlichkeit.
Ein Ausfall kann nicht nur finanzielle Verluste, sondern auch erheblichen Reputationsschaden nach sich ziehen.

 

Ein solides Notfallmanagement schützt:

  • Die Kundeninteressen, indem kritische Dienstleistungen auch in Krisensituationen verfügbar bleiben,
  • Die Markenintegrität, indem es Vertrauen schafft.
Notfallvorsorge - Ein wichtiger Baustein für die Betriebssicherheit

Kritische oder wichtige Funktion

Im Kontext von DORA bezieht sich eine kritische oder wichtige Funktion auf Aktivitäten, Prozesse oder Dienstleistungen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die Betriebsfähigkeit, Kunden oder den Finanzmarkt haben könnte.

Eine Funktion ist kritisch oder wichtig, wenn:

  1. Sie für die Aufrechterhaltung wesentlicher Dienstleistungen unverzichtbar ist.
  2. Ihr Ausfall operative oder finanzielle Risiken für das Finanzunternehmen oder die Kunden verursacht.
  3. Sie eine zentrale Rolle für die Stabilität und Resilienz des Finanzsystems spielt.

Diese Definition umfasst sowohl interne Prozesse als auch ausgelagerte Dienstleistungen von IKT-Drittdienstleistern (z. B. IT-Systeme, Zahlungsabwicklungen, Datenmanagement).

Notfallvorsorge - Ein wichtiger Baustein für die Betriebssicherheit

Rolle kritischer Funktionen im Notfallmanagement

Die Identifikation und Sicherstellung der kritischen oder wichtigen Funktionen ist der Kern des Notfallmanagements nach DORA. Ein Ausfall dieser Funktionen kann gravierende Folgen für die Geschäftskontinuität, die Kunden und den Finanzmarkt haben. Daher müssen Finanzunternehmen klare Strategien und Maßnahmen entwickeln, um diese Funktionen selbst in Extremsituationen aufrechtzuerhalten.


Dies spielt eine entscheidende Rolle in mehreren Bereichen:

1. Identifikation und Priorisierung
Finanzunternehmen müssen zuerst ihre kritischen oder wichtigen Funktionen und die damit verbundenen Ressourcen identifizieren. Eine Priorisierung hilft, den Fokus im Krisenfall auf die wesentlichen Dienstleistungen zu legen.

2. Notfallprävention
Risiken, die diese Funktionen gefährden könnten (z. B. Cyberangriffe, Systemausfälle, Datenverlust), müssen proaktiv bewertet und minimiert werden. Redundante Systeme, Backups und Sicherheitsmaßnahmen sind essenziell.

3. Wiederherstellungspläne
Für jede kritische oder wichtige Funktion muss ein spezifischer Wiederherstellungsplan existieren, der beschreibt, wie die Funktion im Notfall schnell wiederhergestellt werden kann. Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) spielen hier eine zentrale Rolle.

4. Abhängigkeiten von IKT-Drittanbietern
Ausgelagerte IKT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen, müssen in das Notfallmanagement integriert werden. DORA verlangt von Finanzunternehmen, dass sie die Resilienz ihrer IKT-Dienstleister überprüfen und sicherstellen, dass diese ebenfalls auf Störungen vorbereitet sind.

5. Regelmäßige Tests und Übungen
DORA fordert, dass Finanzunternehmen regelmäßig Notfallsimulationen durchführen, um sicherzustellen, dass kritische oder wichtige Funktionen auch unter Stressbedingungen verfügbar bleiben. Schwachstellen, die dabei identifiziert werden, müssen umgehend adressiert werden.

Notfallvorsorge - Ein wichtiger Baustein für die Betriebssicherheit

Geschäftsfortführung

Um einen Notfall erfolgreich zu bewältigen ist es notwendig, dass Finanzunternehmen eine umfassende Geschäftsfortführungsleitlinie erstellen, die Teil des Risikomanagementrahmens ist. Ziel ist es, die Fortführung kritischer oder wichtiger Funktionen zu sichern und auf IKT-bezogene Vorfälle effektiv zu reagieren. Spezielle Regelungen, Pläne, Verfahren und Mechanismen sollen dokumentiert werden, um Vorfälle schnell und angemessen zu handhaben. Es werden Maßnahmen zur Eindämmung von Schäden und zur Wiederherstellung betroffener Funktionen getroffen.


Die Pläne umfassen:

  • Sofortige Aktivierung von Eindämmungs- und Wiederherstellungsmaßnahmen.
  • Abschätzung der Schäden und Verluste.
  • Festlegung von Kommunikations- und Krisenmanagementmaßnahmen.
Notfallvorsorge - Ein wichtiger Baustein für die Betriebssicherheit

Alarmierungs- und Eskalationsmechanismus

Je schneller ein Schadensereignis richtig eingeschätzt und behandelt wird, desto eher werden Folgeschäden eingedämmt und eine weitere Eskalation des Ereignisses verhindert. Wenn ein Notfall eintritt, ist es daher wichtig, dass dieser möglichst schnell erkannt und an die Entscheider gemeldet wird.
Dies fällt umso leichter, je klarer die Verfahren und Wege für die Meldung von Schadensereignissen mit Notfallpotenzial vorab festgelegt und den Mitarbeitern vertraut gemacht wurden. Gerade das Zusammenspiel mit anderen Fachdisziplinen erfordert ein stringentes Vorgehen für die Alarmierung und Eskalation. Um dies zu gewährleisten, müssen Finanzunternehmen über eine Notfallmanagementfunktion verfügen, die bei Aktivierung der Geschäftsfortführungspläne klare Kommunikationsverfahren festlegt. Spezielle Kommunikationspläne müssen vorbereitet und getestet werden, um die interne und externe Kommunikation während einer Krise sicherzustellen. Zudem müssen Aktivitäten vor und während Störungen dokumentiert werden und diese Aufzeichnungen zugänglich gemacht werden.

Notfallvorsorge - Ein wichtiger Baustein für die Betriebssicherheit

Testen der Geschäftsfortführungspläne

Im Rahmen von DORA muss die Geschäftsfortführungsplanung umfassend und regelmäßig getestet werden, um sicherzustellen, dass das Finanzunternehmen auch in Notfallsituationen betriebsfähig bleibt. Der Fokus liegt dabei auf kritischen oder wichtigen Funktionen, IT-Resilienz, Drittanbieterintegration und Kommunikationsfähigkeit. Die Tests helfen, Schwachstellen zu identifizieren und die operative Resilienz kontinuierlich zu verbessern.


Bereiche, die im Rahmen von DORA getestet werden müssen:
1. Kritische oder wichtige Funktionen

  • Überprüfen, ob kritische oder wichtige Funktionen auch bei Ausfällen aufrechterhalten werden können.
  • Sicherstellen, dass Ressourcen (Personal, IT-Systeme, Daten) verfügbar sind, um diese Funktionen zu unterstützen.

 

2. Wiederherstellungszeiten (RTO und RPO)

  • Testen, ob die festgelegten Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) eingehalten werden können.
  • Sicherstellen, dass Systeme innerhalb der vorgegebenen Zeiträume wieder betriebsfähig sind und Datenverluste minimiert werden.


3. Notfallkommunikation

  • Testen der Kommunikationsprozesse mit internen und externen Stakeholdern während einer Krise.
  • Überprüfung der Kommunikationswege (E-Mail, Telefon, Notfallmeldungen) und der Verantwortlichkeiten


4. Widerstandsfähigkeit der IKT-Infrastruktur

  • Durchführung von Stresstests und Szenarienanalysen, um die Belastbarkeit der IT-Systeme zu prüfen (z. B. bei Cyberangriffen oder Systemausfällen).
  • Überprüfen der Backup- und Wiederherstellungsverfahren.


5. Abhängigkeiten von IKT-Drittanbietern

  • Testen, wie gut IKT-Drittanbieter, die kritische oder wichtige Funktionen unterstützen, in das Notfallmanagement integriert sind.
  • Sicherstellen, dass IKT-Drittanbieter in Notfallsituationen lieferfähig sind (z. B. durch gemeinsame Tests oder Nachweise).


6. Auswirkungen auf Kunden und Marktteilnehmer

  • Simulieren, wie ein Ausfall bestimmter Dienstleistungen die Kunden oder den Finanzmarkt beeinflussen könnte.
  • Entwickeln und Testen von Maßnahmen, um negative Auswirkungen zu minimieren.


7. Sicherheitsvorfälle und Datenwiederherstellung

  • Testen, wie effektiv Sicherheitsvorfälle, wie Cyberangriffe oder Datenlecks, erkannt, gemeldet und behoben werden können.
  • Überprüfen, ob Datenintegrität und Vertraulichkeit bei einem Angriff sichergestellt werden.


8. Koordination und Verantwortlichkeiten

  • Überprüfen, ob alle Mitarbeiter und Teams ihre Rollen und Verantwortlichkeiten im Notfall kennen.
  • Simulieren von Eskalations- und Entscheidungsprozessen während einer Krise.


9. Erfolgreiche Durchführung von Szenariotests

  • Durchführung realistischer Szenarien, die verschiedene Krisensituationen abbilden, wie z.B.:
    – Cyberangriffe (z. B. Ransomware),
    – Naturkatastrophen,
    – Systemausfälle,
    – Datenverluste.
  • Evaluierung, wie gut das Finanzunternehmen auf diese Szenarien vorbereitet ist.


10. Regelmäßige Anpassungen

  • Überprüfen, ob die Geschäftsfortführungsplanung auf dem neuesten Stand ist und aktuelle Risiken sowie regulatorische Anforderungen berücksichtigt.
  • Sicherstellen, dass Lessons Learned aus Tests in die Planung einfließen.

Anforderungen an die Tests

Regelmäßigkeit:

Die Tests müssen in regelmäßigen Abständen durchgeführt werden, um sicherzustellen, dass die Pläne aktuell und wirksam bleiben.

 

Dokumentation:

Alle Tests müssen dokumentiert werden, einschließlich der Ergebnisse, Schwachstellen und ergriffenen Maßnahmen.

 

Regulatorische Berichterstattung:

Die Ergebnisse und eventuelle Anpassungen müssen gegenüber den zuständigen Aufsichtsbehörden nachgewiesen werden.

Notfallvorsorge - Ein wichtiger Baustein für die Betriebssicherheit

Zusammenfassung

Die Geschäftsfortführung nach DORA ist für Finanzunternehmen von entscheidender Bedeutung, da sie die Widerstandsfähigkeit und Stabilität des Finanzsektors gegenüber operativen Risiken und Cyberbedrohungen stärkt.

 

Hier sind die wesentlichen Gründe:
Insgesamt unterstreicht die Umsetzung von DORA, dass Geschäftsfortführung nicht nur eine operative, sondern auch eine strategische Priorität für Finanzunternehmen ist. Sie schafft Vertrauen, minimiert Risiken und stärkt die Widerstandsfähigkeit gegenüber den Herausforderungen eines digitalen Zeitalters.

Kontakt
Nach oben scrollen