All Eyes on DORA

MaRisk, BAIT und nun DORA – betrachtet man die letzten Jahre durch die Brille der Bankenaufsicht bekommt man das Gefühl, dass sich die Anforderungen pausenlos aneinanderreihen und nicht aufhören wollen. Umso wichtiger ist es, dass diese Anforderungen pragmatisch mit entsprechenden Lösungshilfen umgesetzt werden und angemessen erfüllt werden.

Bei der Umsetzung der DORA bestehen verschiedene Anforderungen an kritische oder wichtige Funktionen. Dies sind Prozesse, die im Rahmen der Business Impact Analyse als essenziell oder kritisch eingestuft werden und deren Ausfall massive Auswirkungen auf die Geschäftsfortführung haben kann. Folglich sind für diese Prozesse besondere Schutzmaßnahmen vorzuhalten. Solche Maßnahmen erstrecken sich von einer genaueren Überprüfung der prozessunterstützenden Dienstleistungen (unter anderem mittels der Erstellung von Ausstiegsstrategien bei wesentlichen Auslagerungen mit IKT-Dienstleistungen) bis hin zu wöchentlichen Schwachstellenscans der unterstützenden Anwendungen.

Für die Festlegung der kritischen oder wichtigen Funktionen hat das DORA-Projekt des DSGV bereits früh eine Orientierungshilfe in Form einer Vorschlagsliste mit Prozessen veröffentlicht, die üblicherweise als notfallrelevant eingestuft worden sind. Viele Sparkassen haben sich daran orientiert und ihre eigenen Business-Impact-Analysen überprüft. Im Ergebnis ist eine hohe Deckungsgleichheit festzustellen.

Was hat der Informationsverbund damit zu tun?

Eine zentrale Herausforderung bei der Umsetzung von DORA ist das richtige Verständnis und die Identifikation von Abhängigkeiten zwischen kritischen oder wichtigen Funktionen und kritischen Assets, wie Anwendungen oder Dienstleistungen. Diese Abhängigkeiten sind eng mit den Verbindungen innerhalb des Informationsverbunds sowie den notfallrelevanten Assets, die im Rahmen der Business-Impact-Analyse ermittelt wurden, verknüpft.

Eine Anforderung an notfallrelevante Prozesse ist die Erstellung von Notfallplänen und damit verbunden die Festlegung und Berücksichtigung kritischer Ressourcen. Zielanwendung für die DORA-Umsetzung ist RiMaGo. In dieser Anwendung können Assets als notfallrelevante Ressource erfasst werden. Solche Ressourcen sind in der Regel dem Prozess bereits vorab zugeordnet worden, weil sie beispielsweise dessen Schutzbedarf erben sollen. Stark vereinfacht ist dieser Zusammenhang in der folgenden Abbildung skizziert.

Kurz gesagt: Was nicht verbunden ist, wird meist nicht berücksichtigt. Was nicht berücksichtigt wird, führt oft zu Inkonsistenzen und Fehlern. Letztlich führt dies dazu, dass wichtige Assets im Kontext von DORA übersehen werden. Zwar erhalten die Sparkassen bereits Unterstützung durch den Aufbau der Mustersparkasse und den Musterbebauungsplan, dennoch ist der Umgang mit dem Informationsverbund in den Sparkassen nach wie vor heterogen geprägt. Dies führt zu grundsätzlichen Schwächen in der Darstellung der Abhängigkeiten im Informationsverbund und in der letzten Konsequenz zu einem Übersehen möglicher relevanter Assets, welche unter DORA einer umfangreicheren Steuerung und Überwachung unterzogen werden müssten.

Neben unvollständigen Verknüpfungen spielen dabei oft auch fehlendes Fachwissen, eine lückenhafte Analyse des Gesamtbilds oder die unzureichende Berücksichtigung der Mustersparkasse und des Musterbebauungsplans eine Rolle. Durch eine sorgfältige Analyse und eine transparente Darstellung der Inkonsistenzen können die Lücken im Informationsverbund geschlossen, die Datenqualität nachweislich erhöht und die Anforderungen des DORA erfüllt werden.

Wir stehen Ihnen gerne zur Seite! Unser Wissen und unser Engagement für Qualität machen uns zu einem verlässlichen Partner bei der Umsetzung von DORA. Lassen Sie uns auch diese Herausforderung GEMEINSAM bewältigen.

Sprechen Sie uns gerne an – Wir freuen uns auf Sie!