Ziemlich beste Freunde: DORA und Verschlüsselung
eperi
von Ömer Tekin, Technical Project Manager eperi
Soweit zur Theorie, denn DORA ist ähnlich wie die DSGVO oder NIS2 sehr deutlich darin, was geschützt werden soll, jedoch nicht, wie die Auflagen konkret umgesetzt beziehungsweise realisiert werden sollen. Verständlicherweise will sich der Gesetzgeber nicht in die Präferenzen der Finanzinstitute und -unternehmen einmischen und er will auch nicht bestimmte Technologien von dedizierten Herstellern präferieren, was sehr schnell eine Wettbewerbsverzerrung nach sich ziehen könnte. Sprich, der Kunde – in diesem Fall der Finanzsektor – hat die Qual der Wahl.Der Finanzsektor tappt im Dunkeln und hofft mit bestimmten Lösungen im Zweifelsfall alles richtig gemacht zu haben.”
Und die Zeit drängt. Seit dem 16.01.23 befand sich DORA in der Phase der Richtliniendefinition, die am 17.01.24 offiziell veröffentlicht wurden. In Kraft tritt die Regulierung für alle Organisationen und Unternehmen im Finanzsektor am 17.01.25. Bis dahin müssen in Deutschland voraussichtlich mehr als 3.600 Unternehmen die Bestimmungen von DORA anwenden. Und ähnlich wie bei Regelwerken in anderen Wirtschaftszweigen könnte sich die Anzahl derer, die als Dritte, Dienstleister oder Partnerunternehmen DORA zwar nicht verpflichtend anwenden müssen, in den Sog der Finanzbranche geraten und schlussendlich DORA ebenfalls umsetzen müssen.
Anforderungen im Gesamtanforderungskatalog
Bei der Frage nach der technischen Lösung der diversen Anforderungen im Gesamtanforderungskatalog von DORA ist die Verschlüsselung von Daten insbesondere in Kapitel IV ein wichtiger Bestandteil. In diesem Kapitel wird beschrieben, dass Verschlüsselung die Vertraulichkeit von Kommunikation und Informationen innerhalb des Finanzinstitutes gewährleisten soll und dass Finanzinstitute verpflichtet sind, ein umfassendes Konzept zur Verschlüsselung und kryptographischen Kontrollen zu entwickeln und diese auch zu verwalten. Die konkreteste Vorstellung, wie dies verwirklicht werden soll, beschreibt DORA mit der Nutzung von „leading practices or standards“.
Hinsichtlich der technologischen Anforderungen der Kryptografie sieht DORA folgende Aspekte als zwingend: Es muss gewährleistet werden, dass es Aktualisierungen an den kryptografischen Technologien gibt, damit diese zu jeder Zeit den bestmöglichen Schutz bieten (z.B. key rotation, Veränderung der Verschlüsselung) und das Key Management muss dokumentiert werden, wobei auch der Lifecycle eines kryptografischen Keys definiert sein muss. Und auch in der Definition, was genau verschlüsselt werden muss, ist DORA sehr konkret: „Data at rest and in transit“ sowie „Data in use“, wo notwendig. Sollte dies nicht möglich sein, sollen derartige Daten nur in separaten und sicheren Umgebungen verarbeitet werden, was in vielen Fällen einen deutlichen Rückschritt gegenüber dem technologisch Machbaren darstellt. Darüber hinaus soll die interne und externe Netzwerkkommunikation verschlüsselt sein.
DORA schreibt vor, dass die kryptografischen Schlüssel austauschbar sein müssen, um diese im Falle einer Kompromittierung auswechseln zu können.”
Verschlüsselung: Ja, ja und abermals ja
Ist die Verschlüsselung innerhalb der DORA-Regulierung sinnvoll? Ja, definitiv, denn in einer anhaltenden Situation von extrem hohen Cyberrisiken und einer sich stetig weiterentwickelnden Vernetzung des Finanzsektors wird eine gute Verschlüsselungstechnologie maßgeblich zur gewünschten Cyberresilienz beitragen.
Sollten die Unternehmen und Organisationen im Finanzsektor motiviert sein, DORA und damit die Verschlüsselungstechnologie umzusetzen? Ja, denn ein einheitliches Regelwerk erleichtert die sichere Zusammenarbeit und Kooperation der Unternehmen und Organisationen untereinander und es setzt klare Vorgaben, die für alle verbindlich sind, um gemeinschaftlich den Cybergefahren aktiv gegenüberzutreten.
Ömer Tekin ist Technical Project Manager eperi (Website). Zuvor war er unter anderem Data Scientist bei Fracta und bei Huawei. Er hat einen Master of Science der RWTH Aachen.Ist die nötige Technologie zur Verschlüsselung von Daten im Finanzsektor inklusive der Einhaltung aller Einzelregelungen verfügbar? Ja, die nötige Technologie, um die sensiblen Daten in jeglichem Zustand zu verschlüsseln, steht zur Verfügung und es existieren Technologien, bei denen die Verwaltung der Keys zur Ver- und Entschlüsselung ausschließlich im Unternehmen oder in der Organisation liegt, um jeglichen Missbrauch durch externe Dritte zu verhindern.
So geht Verschlüsselung im Sinne von DORA
Die Finanzwelt gehört – ähnlich wie die KRITIS-Unternehmen – zu den tragenden Säulen unserer Wirtschaft und Gesellschaft. Genau dieser Umstand macht den Finanzsektor so interessant für die Cyberkriminalität – nicht nur, um maximalen Schaden anzurichten, sondern auch um maximale Erpressungsgelder zu erbeuten. Studien bestätigen dieses Gefahrenpotenzial: Die Zahl der Cyberangriffe auf Finanzinstitutionen steigt jährlich um etwa 30 Prozent. Da Wirtschaft und Gesellschaft vor einem Desaster der Finanzwelt aufgrund von Cyberkriminalität geschützt werden müssen, hat DORA seine Berechtigung. Doch wie genau kann Verschlüsselung zur Cyberresilienz gemäß DORA-Richtlinien beitragen?
Fakt ist: Niemand kann den Diebstahl von Daten vollständig verhindern. Sicherheitslücken in den IT-Systemen, menschliche Fehler und die kriminelle Energie der Angreifer werden trotz aller Vorkehrungen immer vorhanden sein. Doch man kann dafür sorgen, dass die Cyberkriminellen mit den gestohlenen Daten absolut nichts anfangen können, indem diese verschlüsselt und damit nicht lesbar sind.Ömer Tekin/dk
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/217122
Schreiben Sie einen Kommentar