Keyfacts:

• Eine gut gepflegte Konfigurationsdatenbank (CMDB) ist für Finanzinstitute ein wertvolles Tool zum Erlangen der DORA-Konformität.
• Zum Beispiel unterstützt die CMDB dabei, IKT-Altsysteme sowie kritische und wichtige Funktionen zu erkennen und zu kennzeichnen.
• Sie verhilft angesichts der umfangreichen DORA-Anforderungen zu Transparenz und Effizienz und öffnet außerdem die Tür zu weiteren Anwendungsfällen.

Mit dem Ende der Umsetzungsfrist für den Digital Operational Resilience Act (DORA) am 17. Januar 2025 sind die Anforderungen der BAIT, VAIT, KAIT sowie ZAIT von einem umfassenden Rahmenwerk für Finanzinstitute abgelöst worden. Das führt aber nicht zu einer Deregulierung, sondern bringt vielmehr die Erweiterung und Konkretisierung bisheriger Anforderungen.

Das trifft auch mit Bezug auf die Konfigurationsdatenbank (Configuration Management Database, CMDB) zu. Als zentrale Datenbasis für eine effektive Steuerung der IT in Banken, Versicherungen, Kapitalverwaltungsgesellschaften oder bei Zahlungsdienstleistern gewinnt die CMDB nochmals an Bedeutung.

So setzten Finanzinstitute DORA-Anforderungen in der CMDB um

DORA stellt Anforderungen an die Informations- und Kommunikationstechnologie (IKT) von Finanzunternehmen sowie deren IKT-Dienstleister, zum Beispiel Cloud-Provider. Angesichts der Vielzahl an Anforderungen wählen wir drei Beispiele aus, um die aus unserer Sicht unterschätzte Relevanz der CMDB im DORA-Kontext hervorzuheben:

1. IKT-Altsysteme: Besondere Anforderungen im Zusammenhang mit der Steuerung von IT-Risiken werden an sogenannte IKT-Altsysteme gestellt. Gemäß DORA ist das ein System, das das Ende seiner Lebensdauer erreicht hat, aus technologischen oder wirtschaftlichen Gründen nicht für Upgrades oder Fehlerbehebungen in Frage kommt oder nicht mehr von seinem Anbieter oder einem IKT-Drittdienstleister unterstützt wird. Es wird aber weiter genutzt und gebraucht. Mit einer vollständigen CMDB, in der sogenannte End-of-Life-Daten an Anwendungen und Systemen gepflegt sind, können IKT-Altsysteme identifiziert und gemanagt werden.

Bei ausgelagerter IT bieten sich die Dienstleister und Provider des Finanzunternehmens als Quelle für die End-of-Life-Daten an. Es empfiehlt sich, das Attribut „IKT-Altsystem“ im Datenmodell der CMDB zu etablieren und die entsprechenden Systeme entsprechend zu kennzeichnen. Das schafft Transparenz und erleichtert den Zugriff auf diese Informationen für verschiedene Fachbereiche.

2. Kritische oder wichtige Funktionen: Ein zentraler Aspekt von DORA ist das Identifizieren der sogenannten „kritischen oder wichtigen Funktionen“ – also Prozesse – in einem Finanzunternehmen. Zur vollständigen Abbildung des Informationsverbunds in der CMDB gehört auch die Abbildung der Geschäftsprozesse.

Analog zu den IKT-Altsystemen empfiehlt es sich auch hier, die kritischen oder wichtigen Prozesse durch Erweiterung des CMDB-Datenmodells zu kennzeichnen und nachhaltig aktuell zu halten. Darüber hinaus ist diese Kennzeichnung essenziell für das IKT-Vorfallsmanagement.

3. Klassifizierung IKT-bezogener Vorfälle: Im sogenannten IKT-Vorfallsmanagement fordert DORA die Klassifizierung von Vorfällen (Incidents) und sieht strenge zeitliche Vorgaben für das Melden schwerwiegender IKT-Vorfälle an die Aufsicht vor. Darüber hinaus ist eine schnelle und effektive Reaktion auf Sicherheitsvorfälle unerlässlich, um die Auswirkungen auf das Unternehmen so gering wie möglich zu halten.

Um diese Vorgaben zu erfüllen, sind zwei Maßnahmen essenziell. Zum einen bedarf es der Kennzeichnung kritischer oder wichtiger Geschäftsprozesse in der CMDB, zum anderen muss das IKT-Vorfallsmanagement auf die entsprechenden CMDB-Daten zugreifen können, um unmittelbar einen Bezug zu einem Geschäftsprozess über den Informationsverbund herstellen zu können. Nur so können die tatsächlichen Auswirkungen eines Incidents auf alle (Geschäfts-)Prozesse innerhalb kürzester Zeit bewertet werden.

Die Relevanz der Konfigurationsdatenbank (CMDB) für das Erfüllen von DORA

Eine vollständige und gut gepflegte CMDB mit einer hohen Datenqualität ermöglicht es Finanzunternehmen also, IKT-Altsysteme zu identifizieren, kritische Geschäftsprozesse zu kennzeichnen und ein effektives IKT-Vorfallsmanagement zu betreiben. Das sind drei zentrale Anforderungen von DORA.

Weitere relevante Themen sind beispielsweise die Darstellung und Verwaltung der IKT-Referenzarchitektur oder die Unterstützung des Change-Managements (siehe unsere Fragen unten), in dessen Umsetzung die CMDB eine zentrale Rolle spielt.

All das ist entscheidend, um den strengen Anforderungen von DORA gerecht zu werden und die regulatorischen Vorgaben zu erfüllen. Aber nicht nur das, denn darüber hinaus bietet die CMDB zahlreiche weitere Anwendungsfälle, zum Beispiel die Überwachung der Kosten von IT-Assets oder zur Unterstützung des Risikomanagements, indem sie eine vollständige Übersicht über die IT-Infrastruktur, ihre Abhängigkeiten und deren Schwachstellen bieten kann.