Cyera: Ihr Leitfaden zur Vereinfachung der DORA-Compliance

Der Januar 2025 markiert einen entscheidenden Moment in der Entwicklung der Informationssicherheit. Ab dem 17. Januar 2025 tritt die Digital Operational Resilience Act (DORA) der Europäischen Union offiziell in Kraft. Diese wegweisende Verordnung soll die IT-Sicherheit und die operative Resilienz von Finanzinstituten – darunter Banken, Investmentfirmen, Zahlungsdienstleister und kritische Drittparteien – in der gesamten EU stärken.

Für viele Organisationen stellt DORA einen bedeutenden Wandel dar, da es robuste Rahmenwerke für Risikomanagement, Vorfallreaktion, Governance und IT-Resilienz vorschreibt. Die Erfüllung dieser strengen Anforderungen kann entmutigend sein, aber mit den richtigen Werkzeugen wird die Umsetzung deutlich einfacher.

Bei Cyera setzen wir uns dafür ein, unsere Kunden in der gesamten EMEA-Region dabei zu unterstützen, die zentralen Compliance- und Resilienzanforderungen von DORA einfach zu erfüllen.

Kennen Sie Ihre Daten

DORA beginnt mit einer entscheidenden Grundlage: dem Verständnis und Schutz Ihrer Daten. Finanzinstitute müssen ihre sensibelsten Vermögenswerte identifizieren und schützen.

Mit Cyera können unsere Kunden die Erkennung und Klassifizierung sensibler, regulierter Daten in ihren SaaS-, IaaS-, DBaaS- und On-Premises-Umgebungen automatisieren. Dank einer Präzision von 95 % der Plattformen helfen wir ihnen sicherzustellen, dass sie wissen, welche kritischen Daten existieren, wo sie sich befinden, wie sie genutzt werden und welchen Risiken sie aktuell ausgesetzt sind.

Datenrisiken proaktiv managen

DORA verlangt ein proaktives Management von Datenrisiken und verpflichtet Institutionen, regelmäßige Risikobewertungen durchzuführen und Schwachstellen zu beheben.

Cyera Data Risk Assessment Service bewertet die aktuellen Datensicherheitsfähigkeiten des Kunden anhand von 31 bekannten Branchen-Frameworks. Das Serviceteam arbeitet anschließend mit den Kunden zusammen, um deren Daten-Angriffsfläche zu bestimmen und Methoden zur Risikominimierung zu entwickeln. Im Rahmen der Zusammenarbeit erhält der Kunde umsetzbare Einblicke und Empfehlungen zu aktuellen Datenfehlkonfigurationen, bestehender Datenabweichung, Compliance-Problemen sowie zu übermäßigen Zugriffsrechten von Mitarbeitern, Drittparteien und sogar KI-Copiloten wie Microsoft Teams.

Da Cyera Daten kontinuierlich scannt und Datenereignisse aktiv überwacht, erhält der Kunde Unterstützung für die Echtzeit-Risikoüberwachung, um die fortlaufende Einhaltung des DORA-Standards sicherzustellen – und nicht nur zu einem bestimmten Zeitpunkt.

Erkennung von Datenvorfällen und Beschleunigung der Reaktionszeit

Es ist keine Überraschung, dass die Erkennung, Verwaltung und Meldung von Vorfällen wesentliche Bestandteile der DORA-Compliance sind.

Cyera wurde entwickelt, um entscheidende Erkenntnisse im Bereich Datenintelligenz zu liefern, die im Falle eines aktiven Datenvorfalls hilfreich sind. Die Plattform ermöglicht beispielsweise eine frühzeitige Erkennung von Ereignissen, indem sie überwacht, wie Daten genutzt werden, welche Identitäten Zugriff haben, und Einblicke in den Kontext bietet, in dem der Nutzer auf Daten zugreift (z. B. anomales Verhalten, ein "Ghost User" greift auf Daten zu, MFA ist deaktiviert usw.), um verdächtiges Verhalten gezielt zu erfassen. Die Plattform fungiert als Datenintelligenz-Zentrale und leitet Signale an zusätzliche Sicherheitslösungen wie SIEM (z. B. Splunk) weiter, um kontextreiche Datenwarnungen zu liefern und notwendige Reaktionen zu beschleunigen. Die Plattform führt ein Audit-Log relevanter Datenereignisse zur Unterstützung der Berichterstattung, was die Einhaltung der DORA-Anforderungen an das Incident Response Management erleichtert.

Die Notwendigkeit von Data Governance und DORA-Audit-Bereitschaft

Wirksame Governance steht im Mittelpunkt von DORA. Institutionen müssen ihre Compliance durch Governance-Rahmenwerke, regelmäßige Überprüfungen und natürlich durch aufsichtsrechtliche Berichterstattung nachweisen.

Mit Cyera können Kunden Dashboards und detaillierte Einblicke einsehen, die auf regulatorische Standards zugeschnitten sind. Diese Daten sind entscheidend, um fortlaufende Audits zur relevanten Datennutzung, zur Sicherheitslage und zu erforderlichen Abhilfemaßnahmen zu ermöglichen. Cyera übernimmt dies automatisch, sodass der Kunde keine manuelle Dokumentation mehr benötigt – und damit die Einhaltung von Vorschriften vereinfacht wird.

Bewältigung des Risikomanagements von Drittanbieterdaten

DORA hat deutlich gemacht, dass das Management von Drittparteirisiken für Finanzinstitute mit Sitz in der EU eine höhere Priorität erhalten sollte. Diese Organisationen müssen die Risiken, die von Drittanbietern ausgehen, bewerten und überwachen, sicherstellen, dass diese Anbieter nur auf Daten zugreifen können, wenn es unbedingt erforderlich ist, gewährleisten, dass diese Parteien über Incident-Response-Fähigkeiten verfügen, die in die eigenen Notfallpläne der Institution eingebunden sind, und dass diese Parteien während des gesamten Lebenszyklus der Daten die Prinzipien der Datenminimierung einhalten.

Cyera erfasst zunächst alle von Drittanbietern verarbeiteten Datenbestände, indem regulierte Daten, die von Dritten gespeichert oder verarbeitet werden, identifiziert und kategorisiert werden, um die Einhaltung von Vorschriften sicherzustellen. Das Identity-Modul der Plattform analysiert, welche Drittanbieter übermäßig berechtigten Zugriff auf sensible Daten haben, und benachrichtigt den Kunden über potenzielle Verstöße im Zusammenhang mit Drittanbieter-Identitäten. Diese Verknüpfung von Daten und Identität ermöglicht eine schnelle, proaktive Behebung von Datenproblemen. Cyeras Data-Loss-Prevention-Lösung kann Klassifizierungsinformationen nutzen, die Genauigkeit bestehender DLP-Richtlinien für diese Daten verfolgen und mithilfe von KI noch präzisere DLP-Richtlinien empfehlen. Sollte ein Datenvorfall auftreten, bietet Cyera Einblick in die Beteiligung von Drittanbietern, hilft dabei, den Umfang des Problems angemessen zu bestimmen und die notwendige Zusammenarbeit zwischen dem Kunden und dem Drittanbieter zu optimieren. Ein wichtiger Aspekt ist auch die Rolle von Cyera bei der Identifizierung redundanter, veralteter oder trivialer (ROT) Daten, die von Drittanbietern genutzt werden – so wird sichergestellt, dass Drittanbieter die Richtlinien zur Datenaufbewahrung und -löschung einhalten.

Datenminimierung (ROT-Daten) und Lebenszyklusmanagement

Im Rahmen von DORA sind Institutionen verpflichtet, die Integrität und Vertraulichkeit von Daten während ihres gesamten Lebenszyklus zu schützen. Und wie Sie sich vielleicht schon denken können, kann Cyera dabei helfen.

Wie bereits erwähnt, identifiziert Cyera ROT-Daten. Dies hilft nicht nur dabei, die Einhaltung der Grundsätze der Datenminimierung sicherzustellen, sondern unterstützt unsere Kunden auch dabei, die Speicherkosten zu senken und ihr Risiko zu verringern, indem die potenzielle Angriffsfläche reduziert wird. Denn weniger Daten bedeuten auch eine geringere Angriffsfläche.

Wichtige Überlegungen bei der Bewertung von Data Security Platforms zur Unterstützung Ihrer DORA-Compliance

Während die Einführung von DORA in den Finanzinstituten der EU stattfindet und diese versuchen, sich in dieser neuen Regulierung zurechtzufinden, wird es zweifellos mehrere Anbieter geben, die Unterstützung anbieten. Daher möchte ich Ihnen einige Leitprinzipien mitgeben, auf die Sie bei Ihren Bewertungen achten sollten.

‍Umfassende Abdeckung priorisieren: Ihre Daten befinden sich in Multi-Cloud- und Hybrid-Umgebungen. Stellen Sie sicher, dass die von Ihnen bewerteten Anbieter alle Ihre wichtigsten Datenumgebungen unterstützen und sowohl hochpräzise als auch hochqualitative Dateneinblicke bieten.

Fragen Sie nach proaktivem Risikomanagement: Die richtigen Echtzeit-Dateneinblicke versetzen Sie in die Lage, Probleme zu beheben, bevor sie zu Vorfällen führen.

Vereinfachte Compliance: Stellen Sie sicher, dass die Plattform eine Möglichkeit bietet, wichtige Compliance-Workflows zu automatisieren. Dadurch wird der manuelle Aufwand für Sie reduziert und die Compliance-Belastung für Ihr Team verringert.

Nicht an der Skalierbarkeit sparen: Die Architektur spielt eine entscheidende Rolle bei den Plattformen, die Sie in Betracht ziehen. Die Plattform muss nicht nur in der Lage sein, Ihre Datenanforderungen zu erfüllen, sondern diese Skalierbarkeit stellt auch sicher, dass sich die Plattform anpassen kann, wenn Ihr Unternehmen wächst und sich Ihre regulatorischen Anforderungen weiterentwickeln.

DORA ist da, um Daten zu schützen. Am Ende wird es zwar zusätzlichen Aufwand für Finanzinstitute in der EU bedeuten, aber es ist ein monumentaler Fortschritt für unsere Branche. DORA wird als Leuchtturm für die globale finanzielle Resilienz dienen – und andere Länder weltweit inspirieren, was zu weiteren Vorschriften führen wird, die darauf abzielen, die wertvollste Ressource der Welt zu schützen: Daten.

Bei Cyera sind wir für Sie da. Wenn Sie Unterstützung oder Hilfe benötigen, zögern Sie nicht, uns zu kontaktieren.