München, Starnberg, 16. April 2024 - Cybersicherheit, Disaster Recovery und betriebliche Widerstandsfähigkeit gegen Ransomware; ein Gastbeitrag von Veritas Technologies…
Zum Hintergrund: Die Zahl der Cyberangriffe auf den Finanzsektor steigt und auch in Deutschland stellen Cyberattacken nach Einschätzung der Finanzaufsicht BaFin eine große Gefahr insbesondere für Banken und Versicherer sowie deren Dienstleister dar. Als Reaktion darauf hat die EU den Digital Operational Resilience Act (DORA) verabschiedet. Daneben wurde die 2023 veröffentlichte NIS2-Richtlinie erweitert und aktualisiert. Anmerkung: DORA steht für digitale operationale Resilienz im Finanzsektor. Veritas Technologies beschreibt im nachfolgenden Beitrag, warum die Verordnung aus Sicht des Unternehmens vor allem für Finanzinstitute eine Chance darstellen kann, die Resilienz weiter zu stärken und das Cybersicherheitsniveau zu erhöhen.
„DORA definiert spezifische Anforderungen an das Risikomanagement von Finanzdienstleistern und enthält gesetzliche Regelungen zu zentralen Bereichen wie der präzisen Meldung von IKT-Vorfällen und dem Risikomanagement durch Dritte. Im Falle eines Angriffs auf einen Finanzdienstleister sind die unmittelbar getroffenen Entscheidungen und Maßnahmen maßgebend und können erhebliche rechtliche Konsequenzen für das Unternehmen haben.
Prävention ist besser als Heilen
Finanzinstitute sollten dies als Chance sehen, Ransomware-Angriffen vorzubeugen – anstatt im Ernstfall den Schaden begleichen zu müssen. Das bedeutet, dass die IT-Teams darauf vorbereitet sein sollten, wirksame betriebliche Resilienzmaßnahmen einzuführen, um Daten zu schützen und möglichen Angriffen zuvorzukommen. Dazu sind kontinuierliche Schulungen der IT- und Business-Teams sowie die Einführung von Tools zur Datenidentifikation und -transparenz unerlässlich. Nur so können die verschiedenen gesetzlichen Anforderungen erfüllt werden.
Als Teil des Risikomanagementprozesses und zur Einhaltung der DORA-Vorschriften sollte auch ein spezielles Audit durchgeführt werden. Dieses trägt dazu bei, alle Speicherorte, Klassifizierungen und Arten von Daten, die sich im Unternehmen befinden, sowie die Speicherinfrastruktur zu identifizieren – eine wesentliche Voraussetzung für Finanzunternehmen, um IKT-bedingte Störungen und Bedrohungen zu bewältigen, darauf zu reagieren und sich davon zu erholen. IT-Teams können so auf einen Blick sehen, welche Daten im Unternehmen vorhanden sind, in welcher Umgebung sie gespeichert sind, und Verluste schnell und präzise melden. Zur Einhaltung der Vorschriften müssen diese Richtlinien ständig aktualisiert werden. Nur so kann sichergestellt werden, dass sie auch angesichts der neuesten und sich ständig weiterentwickelnden Bedrohungen relevant und widerstandsfähig bleiben.
Cybersicherheitsexperten wissen, dass kritische Daten ein Hauptziel für Angriffe sind. Daher müssen die Zugriffs- und Nutzungsmuster von Datensätzen kontinuierlich überwacht werden, um den europäischen Aufsichtsbehörden alle relevanten Informationen zur Verfügung stellen zu können.
Wenn Angriffe nicht rechtzeitig erkannt werden, können die Kerndaten des Opfers beschädigt werden. Cyberkriminelle schleusen Codes in die Datenbank ein, um sie später unbemerkt zu verändern oder zu beschädigen. Auf diese Weise können sie den Kern der Backups infizieren und die Wiederherstellung der Unternehmensdaten gefährden sowie die Tür für weitere Angriffe zu einem späteren Zeitpunkt öffnen. Die betroffenen Finanzinstitute wissen in der Regel nicht, welche Daten verändert oder beschädigt wurden, bis die Auswirkungen spürbar werden und die Daten nicht mehr vertrauenswürdig sind. Die einzige Lösung besteht darin, Kopien der Daten sicher und verifiziert aufzubewahren und zu 100 Prozent sicherzustellen, dass sie unzerstörbar und schnell wiederherstellbar sind.
Mit Hilfe von KI-Tools können Änderungen im Nutzerverhalten kontinuierlich überwacht und Kompromittierungen rechtzeitig erkannt werden. Erkennt die KI verdächtige Aktivitäten, kann sie automatische Wiederherstellungsprozesse einleiten und Sofortmaßnahmen vorschlagen. Die Isolierung von Backups, die Malware enthalten, minimiert zudem die Auswirkungen erfolgreicher Angriffe. Damit Backups auch im Falle eines Angriffs robust und zuverlässig bleiben, müssen die Systeme (wie Server und Metaserver) jederzeit sicher miteinander kommunizieren können.
Für den Fall, dass die Backup-Dateien nach einem Ransomware-Angriff verschlüsselt wurden, ermöglichen unveränderliche Speichersysteme eine fälschungssichere Wiederherstellung der Daten. Schließlich sollten Finanzinstitute auch auf den physischen Standort der Backups achten und den Wiederherstellungsprozess regelmäßig testen.
Wachsam sein und schnell reagieren
Wenn ein Angriff gemeldet wird, zählt jede Minute, um die Auswirkungen auf das Unternehmen zu begrenzen. Das IT-Team muss sofort eingreifen und sicherstellen, dass betroffene Endnutzer und Systeme vom Netzwerk isoliert werden. Dazu können Datenmanagement-Tools eingesetzt werden, um schnell herauszufinden, auf welche Daten welche Benutzer zugreifen. Die Analyse dieser Informationen zeigt dann, welche Daten infiziert sind oder welche Daten fehlen. Solange die Backups des Unternehmens gut geschützt sind, können die Informationen wiederhergestellt werden, ohne dass ein Lösegeld gezahlt werden muss.
Um das Risiko von Bußgeldern bei Nichteinhaltung der Vorschriften zu minimieren, ist es außerdem notwendig, möglichst viele Details über die für den Angriff verantwortliche Ransomware zu sammeln und mit den zuständigen Behörden zu teilen. Auch hier ist ein umfassendes Datenmanagement- und Reporting-Tool ein Schlüsselelement für die operative Widerstandsfähigkeit.
Vorausschauend Strafverfolgung vermeiden
Um Cybersicherheit und echte betriebliche Widerstandsfähigkeit gegen Ransomware zu gewährleisten, müssen Finanzinstitute ihre Abwehrmaßnahmen im Voraus vorbereiten. Das DORA-Gesetz macht dies zu einer regulatorischen Anforderung. Bei Nichteinhaltung drohen empfindliche Strafen von bis zu 2 Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens. Die Angst vor Bußgeldern sollte jedoch nicht die Hauptmotivation der Unternehmen sein: Sie müssen die Herausforderungen der Cybersicherheit voll und ganz verstehen.
Finanzdienstleister, die hier Transparenz zeigen und die volle Kontrolle über ihre Daten bewahren, können sicher sein, dass sie die Vorschriften einhalten. Dabei hilft ein gut ausgearbeiteter interner Aktionsplan. Dieser sollte, regelmäßig getestet und an neue Bedrohungen angepasst werden. Der Aufbau einer effektiven Disaster-Recovery-Strategie ist ein umfassendes Projekt und muss alle Aktivitäten des Unternehmens berücksichtigen.“
Fazit von Ralf Bauman, Country Manager bei Veritas: „Sicherlich ist die Einhaltung von DORA – und ähnlicher Vorschriften – für Unternehmen im Finanzsektor mit Kosten und Investitionen in Technologie und Personal verbunden. Finanzinstitute sollten dies aber vor allem als Chance sehen, Risiken zu reduzieren und die eigene Rentabilität zu steigern…“.
Querverweise:
Externer Link > https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
Externer Link > https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html
Unser Blogpost > Status und Entwicklungen im Bereich der unternehmensweiten Speicherverwaltung
Unser Beitrag > Effektiver Cyberschutz mit KI: Prognosen und Handlungsempfehlungen für (IT-)Verantwortliche