DORA: Noch mehr Bürokratie schützt nicht vor IT-Ausfällen
Die Finanzindustrie und deren externe IT-Dienstleister schwitzen bei der Vorbereitung auf DORA, dem Digital Operational Resilience Act der EU, der ab 17. Januar 2025 gilt. DORA ist sozusagen die DSGVO zum Quadrat für die Finanzwelt. Gegen die ausufernden Pflichten, die sich aus DORA ergeben, wirken jene der DSGVO geradezu hemdsärmelig. Schützt DORA zukünftig vor IT-Ausfällen wie wir sie Mitte Juli bei Software von Microsoft erlebt haben? Achtung, Spoiler: Die Antwort lautet nein.
Crowdstrike-Update crasht Microsoft-Software
Mitte Juli hatte der Software-Riese Microsoft ein globales Problem. Viele Millionen Windows-Rechner zeigten infolge eines kritischen Fehlers den „Bluescreen des Todes“, stürzten also ohne Vorwarnung ab, oder ließen sich nicht starten.
Verursacher war Crowdstrike, ein Unternehmen, dessen Software die Aufgabe hat, IT-Systeme vor böswilligen Angriffen zu schützen. Betroffen waren beispielsweise Fluglinien, Kassensysteme, TV-Sender, Rettungsdienste und Krankenhäuser. Ein kleines Update zeigte, wie verwundbar die IT-Welt ist. Und wie machtlos man als Nutzer ist.
DORA für digitale Resilienz
DORA und eine Serie von technischen Regulierungsstandards (RTS) sollen für die Sicherheit von Netzwerk- und Informationssystemen von Finanzunternehmen „ein hohes gemeinsames Niveau an digitaler operationaler Resilienz“ (Widerstandfähigkeit) gewährleisten.
Als Schlüssel dazu betrachtet die EU interne „Verfahren“. Dieser Begriff kommt in den 79 Seiten von DORA gezählte 87-mal vor, in den 37 Seiten der RTS zum Risikomanagement sogar 120-mal. Taugen „Verfahren“ als Bollwerk gegen globale IT-Risiken? Das zeigt sich am Microsoft-Crash.
Hätte DORA den Microsoft-Crash verhindert?
Die technischen Regulierungsstandards zum IKT-Risikomanagement verlangen unter anderem die Entwicklung und Implementierung von Richtlinien, Verfahren, Protokollen und Tools für die IKT-Betriebssicherheit und das IKT-Änderungsmanagement. All diese Maßnahmen hätten aber nicht verhindert, dass ein US-amerikanisches Unternehmen ein fehlerhaftes Update einspielt – und Windows-Rechner ohne Vorwarnung zum Absturz bringt.
Die globale IT-Landschaft, die von US-amerikanischen Unternehmen wie Microsoft, Amazon und Alphabet (Google) dominiert wird, mit ihren weltweit verstreuten Serverfarmen und hochkomplexen Netzwerken wird sich mit europäischen Richtlinien, Verfahren und Protokollen nicht vor Ausfällen schützen lassen. Wenn irgendwo auf der Welt ein Software-Monopolist den falschen Stecker zieht – oder das falsche Update einspielt –, wird’s finster. Mit oder ohne DORA.
DORA sorgt für Klumpenrisiken
Viele kleine und mittlere IT-Dienstleister wenden sich von der Finanzindustrie ab. Denn auch sie fallen, wenn sie Banken, Versicherungen oder Wertpapierfirmen als Kunden haben, unter den weiten Anwendungsbereich von DORA und die strenge (zudem kostenpflichtige) Kontrolle der Finanzmarktaufsicht. Das tun sich viele IT-Firmen nicht an. Auf die vergleichsweise wenigen Großen, die DORA-konform sind, konzentriert sich zukünftig die IT-Landschaft der Finanzwelt.
Dieser Trend verstärkt zusätzlich die Konzentration auf wenige IT-Anbieter. Für Finanzdienstleister sind die Compliance-Pflichten aus DORA einfacher umsetzbar, wenn sie auf bekannte, große Marktführer setzen, die beispielsweise über anerkannte Zertifizierungen wie ISO 27001 verfügen. Im Asset Management würde man sagen: Aus breiter Diversifikation wird massives Klumpenrisiko.
IT-Risiken trotz Verfahren und Zertifizierungen
Microsoft verfügt über die Zertifizierung nach ISO 27001, Crowdstrike kann eine ganze Liste an Zertifizierungen vorweisen. Trotzdem haben, wie sich im Juli gezeigt hat, auch diese großen Marktführer ihre Prozesse nicht immer im Griff. Irgendwo hakte es im Qualitätsmanagement und beim Testen, sonst wäre das fehlerhafte Update nicht global an Kunden ausgespielt worden. Gretchenfrage: Welches DORA-Verfahren hätte Finanzdienstleister vor diesem IT-Risiko geschützt? Antwort: Keines.
Dieser Beitrag ist im Fachmagazin risControl Nr. 09 – 2024 erschienen.
