Das Vertrauen in den globalen Finanzsektor sinkt – Grund dafür ist eine Reihe schwerwiegender Cybervorfälle im laufe der vergangenen Jahre. Diese Angriffe sind äußerst großflächig und kostenintensiv. Nicht nur Großunternehmen leiden unter diesem Kampf. Wenn Datenschutz und die Integrität von Finanztransaktionen kompromittiert sind, betrifft dies auch direkt Privatpersonen.
Einige der folgenschwersten Sicherheitsverletzungen bei Finanzunternehmen in der EU und weltweit umfassen:
- Equifax (2017): Eine ungepatchte Schwachstelle in Apache Struts führte zum Diebstahl von Sozialversicherungsnummern (SSN), Geburtsdaten, Adressen und Führerscheinen von über 147 Millionen Personen.
- UniCredit (2018): Italien’s zweitgrößte Bank exponierte persönlich identifizierbare Informationen (PII) von 778.000 Personen im Kundschaftskreis. 2024 erhob Italien eine Strafe von 2.8 Millionen Euro.
- Capital One (2019): Eine fehlkonfigurierte Firewall ermöglichte den Diebstahl der PII von 106 Millionen Personen.
- Finastra (2023): Ein in Großbritannien ansässige Fintech-Anbieter, der globale Banken bedient, wurde über sein sicheres Dateiübertragungssystem kompromittiert, was zum Diebstahl von über 400 GB sensibler Finanzdaten großer Bankkunden führte.
- UBS and Pictet (2025): Ein Drittanbieter-Cyberangriff exponierte die PII von über 130.000 Angestellten, darunter Vertragsinformationen von Führungskräften.
- Bybit (2025): Nordkoreanische Hackende stahlen im bislang größten Angriff auf eine Krypto-Börse 1.5 Millarden Dollar in Ethereum aus Bybit’s Cold Wallet.
Diese Vorfälle betonen die strategische Notwendigkeit, Finanztechnologien abzusichern. Cyberangriffe auf Banken umfassen betrügerische Überweisungen, das Hacken von Geldautomaten, POS-Malware und Datendiebstahl. Je nach Blickwinkel ist die Entwendung von PII sogar schlimmer, als der Diebstahl von Geld. Gestohlene Daten: Namen, Sozialversicherungsnummern, Adressen und andere PII werden im Darknet verkauft und von Angreifenden für social Engineering, Identitätsdiebstahl oder das Eröffnen betrügerischer Bankkonten genutzt. Geopolitische Spannungen erhöhen die Risiken für Opfer von Datendiebstahl. Feindliche Nationalstaaten und rechtlich zweifelhafte Informationsvermittelnde sammeln Informationen über Einzelpersonen zwecks Überwachung, Einschüchterung und Schlimmerem.
Als Reaktion auf die wachsenden Bedrohungen wurde das Gesetz über die Digitale Operationale Resilienz (“Digital Operational Resiliance Act”, kurz “DORA”) eingeführt, um die Cybersicherheitslage des EU-Finanzsektors durch bessere Sicherheitsrichtlinien zu stärken. Der neue Rechtsrahmen spielt eine zentrale Rolle für den regulatorischen Rahmen der EU im Finanzbereich, um das Vertrauen der Kundschaft zu stabilisieren und die Sicherheit von Unternehmen zu stärken.
Wie Greenbone’s OPENVAS SECURITY INTELLIGENCE bei der Einhaltung von DORA hilft:
- Schwachstellenmanagement ist ein Grundlegender Bestandteil von IT-Sicherheit, mit anerkanntem Nutzen für Operative Resilienz. OPENVAS SCAN von Greenbone ist ein marktführender Schwachstellen-Scanner mit Erfolgsgeschichte.
- Unser OPENVAS ENTERPRISE FEED enthält branchenführende Abdeckung für die Erkennung von CVEs sowie bei der Erkennung weiterer Schwachstellen im Netzwerk und an Endpunkten.
- OPENVAS SCAN kann von Netzwerkdiensten erlaubte Verschlüsselungsprotokolle identifizieren, um sicherzustellen, dass Datenübertragungen mit den Richtlinien zur Datensicherheit konform sind.
- Unsere Compliance-Scans prüfen auf sicherheitsgehärtete Konfigurationen für eine Bandbreite an Betriebssystemen und Anwendungen. Sie umfassen unter anderem CIS Benchmarks für Apache HTTPD, Microsoft IIS, NGINX, MongoDB, Oracle, PostgreSQL, Google Chrome, Windows 11 Enterprise und Linux [1] [2].
- Alle Komponenten von OPENVAS SECURITY INTELLIGENCE sind für absolute Datensouveränität konzipiert; die Daten Ihres Unternehmens bleiben in Ihrem Unternehmen.
- Unsere Kernproduktlinie ist Open Source, langjährig erprobt und steht sowohl Kundschaft, als auch Community-Mitgliedern zur externen Prüfung offen. Diese Transparenz erleichtert die Auditierung durch externe IT-Dienstleistende.
- OPENVAS REPORT von Greenbone ist speziell darauf zugeschnitten, die Beweiserhebung und Aufbewahrung von Daten zwecks Compliance Reporting zu unterstützen.
- Als aktiv ISO/IEC 27001:2022 und ISO 9001:2015 zertifiziertes Unternehmen setzt Greenbone auf strengste Qualitätsstandards für Informationssicherheit. Die ISO:14001 Zertifizierung für Umweltmanagementsysteme unterstreicht unser fortwährendes Engagement für Nachhaltigkeit und andere wichtige Themen.
Das EU-Gesetz zur Digitalen Operationalen Resilienz (DORA)
DORA ist eine EU-Verordnung, die am 16. Januar 2023 im Amtsblatt der Europäischen Union veröffentlicht wurde. Am 17 Januar 2025 ist sie offiziell in Kraft getreten. DORA ist Teil der Strategie für das digitale Finanzwesen in der EU, mit dem Ziel, Cybersecurity Verwaltung und Risk Management zu standardisieren und somit die operationale Widerstandsfähigkeit des EU-Finanzwesens zu stärken. Die Verordnung betrifft 20 verschieden Arten von Finanzunternehmen, darunter Banken, Versicherungsinstitute, Investmentfirmen und Drittanbietende von Informations- und Kommunikations-Dienstleistungen (IKT-Drittanbietende).
Aber sind Finanzinstitute nicht bereits unter NIS 2 als wesentliche Einrichtungen (EE, Essential Entities) reguliert?
Ja, allerdings bestimmt Artikel 4 von NIS 2, dass von DORA betroffene Finanzdienstleistungsunternehmen—unter anderem Banken, Investmentfirmen, Versicherungsinstitute und Finanzinfrastrukturen—den von DORA gestellten Ansprüchen in vollem Umfang genügen müssen, wenn es um Cybersecurity Risikomanagement und Vorfallsmeldung geht. Darüberhinaus haben alle sektorspezifischen, gleichwertigen EU-Mandate im Bereich Risikomanagement und Vorfallsmeldung Priorität über die entsprechenden Bestimmungen der NIS 2-Verordnung.
Wer sind die Europäischen Aufsichtsbehörden (European Supervisory Authorities, ESAs)?
Es gibt drei offiziell benannte ESAs, die für die Erstellung von Regulatorischen Technischen Standards (RTS) und Technische Durchführungsstandards (Implementing Technical Standards, ITS) verantwortlich sind, welche die Anforderungen von DORA konkretisieren:
- European Banking Authority (EBA) [1]
- European Insurance and Occupational Pensions Authority (EIOPA) [2]
- European Securities and Markets Authority (ESMA) [3]
Was sind Regulatorische Technische Standards (RTS)?
Wie der Name bereits impliziert, definieren RTS die notwendigen technischen Standards, denen unter DORA fallende Unternehmen entsprechen müssen. RTS-Dokumente bieten detaillierte Richtlinien zur einheitlichen Umsetzung von DORA im EU Finanzsektor [4].
Die Finalen Entwürfe der Regulatorischen Technischen Standards umfassen:
- Rahmenwerk für das IKT-Risikomanagement und vereinfachtes IKT-Risikomanagement[5]
- Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen[6]
- Richtlinie zu IKT-Diensten, die kritische oder wichtige Funktionen von Drittanbietenden (TTPs) unterstützen[7]
Was sind Technische Durchführungsstandards (Implementing Technical Standards, ITS)?
ITS sind detaillierte Vorschriften, die genau bestimmen, wie Finanzunternehmen ihre Verpflichtungen erfüllen müssen. Sie übertragen DORA’s generelle Bestimmungen in präzise, operationale, prozedurale und berichtsbezogene Standards. ITS befassen sich mit Vorfallsberichterstattung, Erfassung und Auswertung von IKT-Drittanbieterbeziehungen, Threat-Led Penetration Testing (TLTP) und dem Austausch von Informationen zu Cyberbedrohungen.
- Die Finalen Entwürfe der Technischen Durchführungsstandards[8]
Der Umfang von DORA’s Einfluss auf IT-Sicherheit
Hier sind die grundlegenden IT-Sicherheitsprinzipien, auf die DORA Einfluss nimmt:
- Risikomanagement: DORA verpflichtet Finanzunternehmen, Robuste IT-Risikomanagement-Frameworks (RMF) umzusetzen, um operationale Risiken zu reduzieren.
- Vorfallsberichterstattung: Vollständig regulierte Unternehmen müssen schwerwiegende Cybervorfälle innerhalb von 24 Stunden in einem standardisierten Format an nationale Behörden melden. Kleine, nicht vernetzte und befreite Unternehmen tragen eine abgeschwächte Meldepflicht.
- Drittparteirisiken: DORA etabliert strengere Aufsicht und Verantwortlichkeit für den Umgang von Finanzunternehmen mit IKT-Drittanbieterbeziehungen.
- Sicherheitstests: Finanzunternehmen müssen ihre digitalen Systeme regelmäßig Sicherheitstests unterziehen, um Cyber-Resilienz zu steigern.
- Informationsaustausch: Um den Informationsaustausch zwischen Finanzinstituten und relevanten Behörden zu fördern, werden erstere ermutigt, aufkommende Bedrohungen zu melden, wenn sie für Dritte relevant sein könnten.
Zusammenfassung
Cyberangriffe mit hoher öffentlicher Sichtbarkeit haben Lücken in der Sicherheitsstrategie des Finanzsektors aufgezeigt, was die EU veranlasste, das Gesetz zur Digitalen Operationalen Resilienz (DORA) zu verabschieden, das seit dem 17. Januar 2025 gültig ist. Greenbone ist ein verlässlicher Partner zur Unterstützung in Sachen DORA-Compliance, mit einem bewährten Portfolio an Schwachstellenmanagement-Produkten und Compliance-Berichtstools. Unsere Produkte unterstützen resiliente Datensouveränität und liefern detaillierte Sicherheitsberichte.
Korrektes Cyber-Risikomanagement besteht nicht einfach aus dem Abhaken einer Compliance-Checkliste. Verteidigende müssen frühstmöglich und proaktiv aufkommende Risiken erkennen, um ihre operationale Widerstandsfähigkeit zu steigern. Greenbone hält Sie auf dem neuesten Stand über neue Sicherheitsrisiken und ermöglicht Verteidigungsteams von Europa’s Finanzinstituten, diese anzugehen, bevor es zu einem erfolgreichen Angriff kommt.
