SECURITY31. Oktober 2024

Immer wieder DORA: Leitfaden für Data Protection und Cyberresilienz

Die DORA-Verordnung (Digital Operational Resilience Act) verlangt von Unternehmen in der Finanzbranche umfassende Standards für Geschäftskontinuität und Datensicherheit. Doch wenn es um den Schutz von Daten in SaaS-Anwendungen geht, zeigen sich oft noch Lücken in der Umsetzung. HYCU (Webseite), Experte für Backup- und Data Protection as a Service, nennt Verbessserungsvorschläge.

DORA deckt ein breites Spektrum ab, von der Incident Response, also Reaktion auf Vorfälle, bis hin zur Abwehr von Bedrohungen. Was den Datenschutz und Datensicherung anbelangt, so sind viele Unternehmen nicht darauf vorbereitet, die Anforderungen an die Geschäftskontinuität und Ausfallsicherheit zu erfüllen. Tatsächlich sind sich viele Unternehmen nicht einmal bewusst, dass sie für die Einhaltung der Vorschriften und den Datenschutz ihrer SaaS-Anwendungen selbst verantwortlich sind.

Was die Verantwortung für den Schutz von Cloud- und SaaS-Daten betrifft, müssen die Verantwortlichen in Unternehmen das Modell der „Shared Responsibility“ verstehen und verinnerlichen. In einem herkömmlichen Rechenzentrumsmodell sind Unternehmen für die Sicherheit ihrer gesamten Betriebsumgebung verantwortlich, einschließlich Anwendungen, physischer Server, Benutzerkontrollen und sogar der Sicherheit des Gebäudes.

Das Modell der geteilten Verantwortung ist ein Konzept, das festlegt, dass Cloud-Anbieter die Verantwortung mit ihren Kunden teilen, wenn es um die Sicherung von Workloads geht, die in ihren Clouds gehostet werden.”

Gemäß dem Modell der geteilten Verantwortung übertragen Cloud- und SaaS-Anbieter die Verantwortung für die Sicherung und Wiederherstellung der Daten im Allgemeinen dem Kunden. Das Konzept ist sinnvoll, da die Cloud-Anbieter nicht die volle Kontrolle über alles haben, was die Benutzer in ihren Clouds tun.

Vielfältige DORA-Anforderungen

Geschäftskontinuität, Datensicherung und Tests sind wichtige Anforderungen, die Unternehmen für DORA erfüllen müssen. Dies umfasst Backup-Anforderungen, die Reaktion auf Vorfälle und die Wiederherstellung sowie eine Nachvollziehbarkeit der Wiederherstellung samt Berichterstattung.

Backup

Die Backup-Anforderungen für DORA beginnen mit der Planung von täglichen Backups für jede Instanz und Anwendung in der Umgebung. Erforderlich ist insbesondere das Speichern von Backups außerhalb des Unternehmens in einem S3-kompatiblen Speicher, unabhängig von den primären SaaS-Anwendungen. Ebenso müssen Unternehmen sicherstellen, dass Sicherungskopien im Falle eines Ausfalls oder einer Cyberbedrohung zugänglich sind und eine Mindesthäufigkeit für die Backups pro Anwendung festlegen.

Es gilt sicherzustellen, dass das Sicherungssystem außerhalb der primären SaaS-Anwendungen läuft und von diesen getrennt ist.”

Die Aktivierung der Unveränderbarkeit des Backup-Speicherziels im Falle eines Cybersicherheitsvorfalls ist eine weitere wichtige Anforderung. Der Standort des Backup-Speichers muss die Anforderungen des entsprechenden Landes erfüllen. Zum Schutz der Integrität und Vertraulichkeit von Backups ist zudem die Implementierung und Aufrechterhaltung von Multi-Faktor-Authentifizierung, Verschlüsselung und Netzwerksegmentierung entscheidend.

Reaktion auf Vorfälle und Wiederherstellung

Unternehmen müssen Recovery-SLAs festlegen, die der Bedeutung der jeweiligen Anwendung angemessen sind. Ebenso gilt es, Disaster-Recovery-Pläne, die Vorlagen für verschiedene Vorfallszenarien enthalten, zu entwickeln und regelmäßige zu aktualisieren. Ebenso müssen Unternehmen sicherstellen, dass diese Pläne umfassend und auf die geschäftlichen Bedürfnisse zugeschnitten sind. Die Durchführung regelmäßiger Schulungen und Simulationen ist erforderlich, um die Effektivität der Mitarbeiter bei einem kritischen Vorfall zu optimieren.

Der Schwerpunkt liegt auf klar definierten Rollen, Verantwortlichkeiten und Maßnahmen für effektives Störungsmanagement.”

Nachvollziehbare Wiederherstellung mit Berichterstattung

Für die nachvollziehbare Wiederherstellung ist eine Berichterstattung erforderlich. Diese umfasst die Dokumentation und Aufzeichnung aller Prozesse, um die Einhaltung der DORA-Anforderungen nachzuweisen und sich für Audits und Inspektionen zu wappnen. Hier bietet sich der Einsatz von fortschrittlichen Tools für die kontinuierliche Überwachung und Echtzeit-Berichterstattung von Sicherungs- und Wiederherstellungsaktivitäten an, um die Entscheidungsfindung und die Möglichkeiten der Reaktion auf Vorfälle zu verbessern.

Risikobewertung

Zur Risikobewertung müssen Unternehmen einen Rahmen erstellen, um alle ICT-Services zu identifizieren und abzubilden (z. B. Atlassian Cloud, AWS, Salesforce etc.). Dazu können sie Audit-Templates nutzen oder erstellen, um jede IT-Technologie in Zusammenhang mit Sicherheit, Erkennung, Reaktion und Geschäftskontinuität zu bewerten.

Für alle genutzten SaaS-Anwendungen müssen Unternehmen zudem Verantwortliche für den Datenschutz bestimmen.”

Hier empfiehlt sich der Einsatz von Tools für die kontinuierliche Überwachung der genutzten Technologien und die regelmäßige Dokumentation von Änderungen im Tech-Stack – über alle Abteilungen hinweg.dk

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert