Die Konfigurationsdatenbank als Grundlage der Cybersicherheit

CMDB – Grundlage der Cybersicherheit

So setzen Banken & Co. die DORA-Anforderungen an den Informationsverbund effizient um.

Keyfacts:

  • Der Digital Operational Resilience Act (DORA) verlangt von Banken und Co. eine tiefgreifende Überprüfung und Neuausrichtung ihrer IT-Compliance-Strategien.
  • An den Informationsverbund stellt DORA umfangreiche Anforderungen.
  • Mittels einer Konfigurationsdatenbank (CMDB) wird der Informationsverbund DORA-fit und Unternehmen können eine effektive IT-Governance errichten.

Die Vorgaben, die der Digital Operational Resilience Act (DORA) macht, verlangen von Finanzinstituten eine tiefgreifende Überprüfung und Neuausrichtung ihrer IT-Compliance-Strategien.

Das Ziel von DORA, die digitale Resilienz von Unternehmen zu steigern, und die Notwendigkeit, Compliance-konformes Handeln zu gewährleisten, treffen dabei auf die zahlreichen Risiken, die auf Banken und andere Finanzinstitute einwirken – zum Beispiel durch Bedrohungen wie Cyberangriffe.

Im Sicherheitskonzept von Unternehmen zentral ist der Informationsverbund – ein kohärentes System, in dem IT-Komponenten, Ressourcen, Prozesse und Stakeholder miteinander interagieren, um die Integrität, Verfügbarkeit und Vertraulichkeit von Daten zu gewährleisten.

Wie wird der Informationsverbund DORA-fit?

Der Informationsverbund unterstützt beispielsweise das Risikomanagement, indem er detaillierte Informationen über die IT-Landschaft liefert und so die Identifikation, Bewertung und Überwachung von operationellen Risiken unterstützt. Außerdem ermöglicht er die stringente Umsetzung der Sollmaßnahmen gemäß des Schutzbedarfs.

So können relevante Vorgaben eingehalten werden und eine effektive IT-Governance errichtet werden. Wie also werden Banken und andere Finanzunternehmen im Informationsverbund DORA-fit und noch cyber-resilienter?

Stärkung der digitalen Resilienz: Die Rolle der CMDB in der DORA-Umsetzung

Die Vorteile einer Konfigurationsdatenbank (Configuration Management Database, CMDB) für eine effiziente und sichere Steuerung der IT-Landschaft im Unternehmen haben wir in einem früheren Artikel bereits ausführlich beschrieben. Auch im Kontext von DORA leistet die CMDB wertvolle Dienste, und ein ganzheitlicher Blick auf die Objekte des Informationsverbunds mittels einer CMDB ist aktueller und wichtiger denn je.

Sie ist nicht nur ein zentrales Werkzeug zur Verwaltung von IT-Ressourcen, sondern auch eine unverzichtbare Voraussetzung zur Sicherstellung der IT-Compliance. Mit Blick auf den Informationsverbund stellt DORA unter anderem folgende konkrete Anforderungen:

  • IKT-Risikomanagement: Finanzinstitute müssen robuste Risikomanagement-Strategien umsetzen, die den gesamten Informationsverbund umfassen, um potenzielle Schwachstellen und Bedrohungen zu identifizieren und zu mitigieren. Im Kontext von DORA sind insbesondere IKT-Risiken, Cyberrisiken, Dritte-Partei-Risiken, physische Risiken und Risiken aus dem Geschäftsbetrieb zu managen.
  • IKT-bezogene Vorfälle: Es muss ein transparentes und effizientes Incident Reporting-System etabliert werden, das eine schnelle Reaktion auf IT-Sicherheitsvorfälle ermöglicht. Der Informationsverbund und die CMDB unterstützen die schnelle Reaktionsfähigkeit, indem sie eine vollständige und transparente Auswirkungsanalyse („Impact Analysis“) ermöglichen – die betroffenen IKT-Assets sind schnell identifiziert.
  • Testen der digitalen operativen Resilienz: Regelmäßige Tests und Audits entlang des gesamten Informationsverbunds sind erforderlich, um die Einhaltung der DORA-Vorschriften zu gewährleisten und die Effektivität der implementierten Sicherheitsmaßnahmen zu überprüfen. Die Tests sind anhand von realistischen, vergangenen IKT-bezogenen Vorfällen wie auch akuten Bedrohungen zu planen und durchzuführen. Die verwendeten Testarten müssen sich an der Gefährdung orientieren und sollen eine ganzheitliche Abdeckung des individuellen Risikoprofils sicherstellen.
  • Managing des IKT-Drittparteienrisikos: DORA betont die Wichtigkeit des Managements von Drittanbieter-Risiken, da viele Finanzinstitute eng mit externen Dienstleistern zusammenarbeiten. Im Informationsverbund muss transparent dokumentiert werden, welche Dienstleister und Sub-Provider Services bereitstellen. Für kritische und wichtige IKT-Funktionen ist diese Transparenz insbesondere erforderlich, um Risiken (etwa auch Konzentrationsrisiken) identifizieren und bewerten zu können. Über eine CMDB sind diese Verknüpfungen steuerbar und es wird Transparenz über die Dienstleisterbeziehungen und deren Auswirkungen auf die Geschäftsprozesse geschaffen.

DORA: Toolbasierte Lösungen zum Management des Informationsverbunds

Zum Management des Informationsverbunds sind toolbasierte Lösungen unverzichtbar, und ohne Tool-Lösung ist eine vollständige DORA-Compliance nur schwer realisierbar. Abhängig von der bestehenden IT-Architektur können verschiedene Tools mit Schnittstellen zwischen den einzelnen Lösungen eingesetzt werden.

Die Herausforderung besteht hierbei in der Sicherstellung der Datenkonsistenz und -aktualität. Manuelle Prozesse und Kontrollen führen in einem solchen Zielbild häufig dazu, dass Abläufe ineffizient und inkonsistent werden. Eine zentrale Lösung zum Management des Informationsverbunds bietet somit den Vorteil, die Daten ohne aufwendige Synchronisationsprozesse aktuell und konsistent zu halten.

Ein Beispiel ist die Plattform unseres strategischen Umsetzungspartners ServiceNow, die in die bestehende IT-Architektur integriert werden kann, IT-Assets inventarisiert, verknüpft und managen kann.

Klar definierte Aktionspläne zum Informationsverbund in der CMDB

Durch eine solche nahtlose Integration entsteht eine Umgebung, in der Compliance-Daten und -Prozesse nicht nur einfacher überwacht und verwaltet, sondern auch in Echtzeit miteinander verknüpft werden können – ein entscheidender Vorteil für Transparenz und Effizienz im IT-Management.

Und wie erreichen Finanzunternehmen dieses Ziel? Am besten starten Verantwortliche mit einer detaillierten Bewertung der gegenwärtigen IT-Infrastruktur, der Prozesse und Compliance-Strategien. Anschließend können Verbesserungspotenziale identifiziert und ein Aktionsplan definiert werden, um eventuelle Schwachstellen anzugehen. So begeben sie sich auf einen sicheren Weg zu einem Informationsverbund in der CMDB.