Angesichts immer raffinierterer Cyber-Bedrohungen sind Finanzunternehmen in ganz Europa aufgefordert, ihre Cyber-Sicherheitsmaßnahmen zu verstärken. Der europäische Digital Operational Resilience Act (DORA) betont die Notwendigkeit, einen widerstands­fähigen Rahmen für die Cyber-Sicherheit zu schaffen, um den wachsenden Bedrohungen zu begegnen.

Gemeinsame Verantwortung für Cloud-Sicherheit

Im neuen Cloud-Betriebsmodell liegt die Verantwortung für die Cloud-Sicherheit nicht mehr allein bei einem spezialisierten IT-Sicherheits- oder InfoSec-Team. Vielmehr sind alle Mitarbeiterinnen und Mitarbeiter dafür verantwortlich. Auf diese Weise kann jede Person im gesamten Unternehmen zu einem Stakeholder des Cyber-Sicherheitsprogramms werden und so die Risiken in ihrem jeweiligen Umfeld managen.

Diese veränderten Verantwortlichkeiten unterstreichen die Notwendigkeit einer Cloud-Native Application Protection Platform (CNAPP). CNAPP-Lösungen ermöglichen es Unternehmen, Transparenz in ihre Cloud-Sicherheitslage zu bringen, indem sie einen umfassenden Überblick über potenzielle Sicherheitsrisiken bieten und eine priorisierte Liste kritischer Maßnahmen direkt an die zuständigen Teams liefern. Durch die Konsolidierung und Korrelation der Scan-Ergebnisse können sich IT-Sicherheitsteams, Cloud-Plattform-Manager und Entwickler auf das Wesentliche konzentrieren und ein gemeinsames Verständnis der Cloud- und Sicherheitsterminologie entwickeln. Durch die Verlagerung der Verantwortung von einer kontrollierenden zu einer beratenden Funktion können IT-Sicherheitsteams proaktive Maßnahmen zur Verbesserung der übergreifenden Cloud-Sicherheitsarchitektur ergreifen. Regelmäßige Risikobewertungen, ein proaktives Management von Risiken in der Software-Lieferkette und die Sicherstellung des Zugriffs mit den geringsten Rechten sind weitere wichtige Schritte zur kontinuierlichen Verbesserung der Sicherheitspraktiken.

Was eine CNAPP bei der Einführung von DORA leisten kann

Eine CNAPP bietet eine 360-Grad-Sicht auf Ihre Sicherheitsumgebung und unterstützt so bei der Definition kritischer Cyber-Sicherheitsprotokolle und der Einhaltung gesetzlicher Anforderungen, einschließlich DORA. Darüber hinaus legt es den Grundstein für die Ausweitung der Sicherheitsverantwortung auf das gesamte Team.

DORA schreibt außerdem vor, dass ausgelagerte IKT-Dienste – wie Cloud-Dienste – strengen Sicherheitsstandards entsprechen müssen.

Speziell für die Cloud-Sicherheit hat DORA einige wichtige Anforderungen skizziert, die Finanzunternehmen beachten müssen. Dazu gehört die Durchführung von Cloud-Risikobewertungen vor der Einführung von Cloud-Diensten. Diese Bewertungen würden eine Reihe von Faktoren umfassen, darunter Cloud-Sicherheitskontrollen, Datenverschlüsselung, Zugriffsmanagement und Richtlinien für den Umgang mit Cyber-Vorfällen.

Finanzinstitute müssen auch sicherstellen, dass ihre Verträge mit kritischen Cloud-Anbietern Klauseln enthalten, die strenge Datenzugriffskontrollen, Datenverschlüsselung, Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs, Ausstiegsstrategien und Bestimmungen für Sicherheitsaudits vorschreiben. Darüber hinaus müssen die Unternehmen die Cloud-Dienste überwachen, um sicherzustellen, dass während der gesamten Dauer der Geschäftsbeziehung angemessene Sicherheitsmaßnahmen getroffen werden.

Wie DORA-Compliance erreicht wird

Die Umsetzung von DORA kann die Maßnahmen zur Prävention von Cyber-Sicherheitsrisiken und den Aufwand für die Umsetzung der Richtlinie in Finanzinstituten erhöhen. Um sicherzustellen, dass Ihre Organisation die DORA-Compliance-Standards erfüllt, sollte Ihr CNAPP die folgenden Ressourcen für Ihre Teams bereitstellen:

• Schaffung einer umfassenden Transparenz in der Cloud-Umgebung:
  Durch das Scannen von Platform-as-a-Service (PaaS)-Ressourcen, virtuellen Maschinen (VMs), Containern, serverlosen Funktionen, öffentlichen Buckets und des gesamten Datenvolumens bis hin zu Datenbanken hilft eine starke CNAPP-Lösung Unternehmen, Risiken auf jeder Ebene zu lokalisieren.
• Berücksichtigung von Software-Lieferketten­risiken:
  Eine CNAPP vereinfacht das Management von Software-Lieferkettenrisiken, indem sie einen Überblick über alle Softwarekomponenten bietet, Risiken identifiziert und Anweisungen zur Behebung bereitstellt. Besonders CNAPPs mit SBOM-Funktionen (Software Bill of Material) ermöglichen Einblicke in Pakete, Open-Source-Bibliotheken und deren Versionen, um eine umfassende Übersicht über jede Softwarekomponente in Ihrer Umgebung zu erhalten.
• Regelmäßige Risikobewertungen:
  CNAPPs vereinfachen Risikobewertungen und helfen, Schwachstellen in Cloud-Diensten zu identifizieren. Diese Bewertungen decken potenzielle Bedrohungen und Schwachstellen in Cloud-Infrastrukturen und -Anwendungen ab, sodass Institutionen proaktiv auf potenzielle Cyber-Bedrohungen reagieren können.

Welchen Nutzen CNAPPs dem Finanzsektor bei zunehmender Nutzung von Cloud-Diensten auch in Zukunft bieten

• Einheitliches Transparenz- und Sicherheitsstatusmanagement von Cloud-Umgebungen
• Automatisierte Funktionen zur Durchsetzung und Behebung von Richtlinien zur Reduzierung von Cyber-Risiken in der Cloud
• Aggregierte Überwachungs-, Auditing- und forensische Daten zur Überwachung von Cloud-Umgebungen
• Zentralisierte Plattformen für Sicherheits- und Entwicklerteams

DORA Compliance als Chance für die Zukunft

Die Einführung von DORA markiert einen kritischen Wendepunkt auf dem Weg zu einem robusten Cybersicherheitsrahmen im europäischen Finanzökosystem. Das Erreichen der DORA-Compliance kann zunächst eine Herausforderung darstellen, bietet aber auch die Chance, das Sicherheitsniveau im gesamten europäischen Finanzsektor anzuheben.

Indem Unternehmen eine ausgereifte Cloud-Sicherheitspraxis im gesamten IT-Sicherheitsteam etablieren und dabei eine CNAPP-Lösung einsetzen, können sie die DORA-Compliance für alle Cloud-Ressourcen gewährleisten. Dieser Ansatz bietet nicht nur kontinuierlichen Schutz vor aktuellen Cyber-Bedrohungen, sondern bereitet auch auf zukünftige Herausforderungen im Bereich Cyber-Sicherheit vor.