Zum Hauptinhalt wechseln

Zahlungen

10. August 2023

 

Die Vision von DORA für ein widerstandsfähiges Finanznetzwerk verstehen

Hauptdarsteller Steve Brown

Cyber & Intelligenz

Lösungen, Mastercard

Der Digital Operational Resilience Act (DORA) wurde nicht im Hinblick auf die Lösungen eines globalen Zahlungsnetzwerks verfasst. Ein Blick auf die regulatorischen Bestimmungen lässt vermuten, dass dies genauso gut der Fall gewesen sein könnte.

Es wird nicht vorgeschlagen, dass ein Zahlungsnetzwerk die DORA-Compliance im Namen von Finanzinstituten schultert, die innerhalb seines Netzwerks tätig sind. Das wäre eine große Aufgabe, selbst wenn der Fokus ausschließlich auf der Cyber-Resilienz läge. Sie wird noch dadurch verstärkt, dass DORA alle operationellen Risiken im Zusammenhang mit der Informations- und Kommunikationstechnologie (IKT) abdeckt und durch die zunehmende Vernetzung der Finanzunternehmen entsteht.

Vielmehr wird in dem Vorschlag der Standpunkt von DORA zur Kenntnis genommen, dass Resilienz "aufgrund ihres Ausmaßes und ihrer Auswirkungen besser auf der Ebene der [Europäischen] Union erreicht werden kann" und dass der Zahlungsverkehr "von Bargeld und papierbasierten Methoden" zu digitalen Lösungen übergegangen ist. Der doppelte Fokus von DORA auf die Skaleneffekte in der gesamten EU und darüber hinaus sowie auf die Finanzierung, insbesondere den Zahlungsverkehr, passt gut zu den bestehenden Aktivitäten globaler Zahlungsnetzwerke.

Bei Mastercard unterstützen wir beispielsweise Finanzinstitute, indem wir weltweit sichere Zahlungen und Datenübertragungen ermöglichen. Unsere digitale betriebliche Resilienz beruht auf einer Kombination aus starker Kundenauthentifizierung, Risikoquantifizierung, Simulation von Sicherheitsverletzungen und Angriffen, Online-Exposure-Überwachung und systemischer Risikobewertung.

Die Kombination ist wichtig. DORA stellt fest, dass der Finanzsektor der EU "durch ein einheitliches Regelwerk reguliert und durch ein europäisches Finanzaufsichtssystem geregelt wird", während "die digitale Betriebsstabilität und die IKT-Sicherheit noch nicht vollständig oder konsequent harmonisiert sind". Die ausdrückliche Forderung nach einem harmonisierten Rahmen, aber der implizite Vorschlag ist, dass auch die Lösungen harmonisiert werden sollten. Die Lösungen eines Zahlungsnetzwerks können Finanzinstituten dabei helfen, diese Harmonie gemeinsam zu erreichen.

Vier unterschiedliche Säulen, eine "Always-on"-Lösung

Die vier Hauptsäulen von DORA erfordern logischerweise vier Lösungen, und für jede von ihnen gibt es in unterschiedlichem Maße spezielle Produkte. Risikomanagement, Incident Reporting, Resilienztests und Third-Party-Risiken funktionieren jedoch nicht unabhängig voneinander. DORA spricht sie aus gutem Grund ohne Unterbrechung gemeinsam an; Anbieter von Cybersicherheits- und anderen Lösungen für operationelle Risiken könnten in Erwägung ziehen, dasselbe zu tun.

Zahlungsnetzwerke sind mit der Notwendigkeit vertraut, über die Stand-in-Verarbeitung, die sie den Banken zur Verfügung stellen, um die Anforderungen an eine starke Kundenauthentifizierung (SCA) bei Bankausfällen und Ausfallzeiten zu erfüllen, immer verfügbar zu sein.

Doch über die Authentifizierung und Autorisierung von Zahlungen hinaus schützen Zahlungsnetzwerke auch kontinuierlich alle Daten in ihren Netzwerken. Dieser Schutz kann sich ausschließlich auf Transaktionen mit Kreditkarten oder Echtzeit-Konto-zu-Konto-Zahlungen beziehen oder andere Finanzdaten über Open Banking oder zunehmend Blockchain einbeziehen.

Laufende Zyklen der Quantifizierung von Cyberrisiken ermöglichen es Zahlungsnetzwerken, operationelle Risiken für ihre Multi-Rail-Netzwerke und die Risiken der Finanzinstitute, die sie bedienen, zu managen. Dieser quantifizierbare Ansatz für die erste Säule von DORA führt die Cybersicherheit über eine Arcade-Spiel-Mentalität hinaus, bei der Münzen reaktiv in einen Spielautomaten gesteckt werden, um einen unerbittlichen Ansturm von Angriffen einzudämmen. Die interne Anpassung kann dann auf spezifische Geschäftsanforderungen zugeschnitten werden, während die externe Kontextualisierung Unterstützung auf der Grundlage sich ständig weiterentwickelnder dynamischer Bedrohungen bietet.

Resilienztests durch Simulationen von Sicherheitsverletzungen und -angriffen ergänzen das Risikomanagement, indem sie das Verhalten böswilliger Akteure nachahmen. Die Simulationen können kontinuierlich in der Produktionsumgebung eines Unternehmens ausgeführt werden, um die zweite Säule von DORA zu adressieren, während der Geschäftsbetrieb ununterbrochen weiterläuft. Sie können auch als kontinuierliches Validierungssystem dienen, das die Wirksamkeit von Sicherheitskontrollen überwacht. Die Ergebnisse liefern verbesserte Daten für das Risikomanagement, die wiederum in weitere Resilienztests in positiven Kreisläufen einfließen. Meldungen, die sich aus den kontinuierlichen Tests ergeben, können dann bei Bedarf in die Mechanismen zur Meldung von Vorfällen für die dritte Säule von DORA einfließen.

Die vierte Säule, das Third-Party-Risiko, kommt nach dem Risikomanagement, der Meldung von Vorfällen und der Resilienzprüfung in DORA. Die Position scheint nicht die Wichtigkeit widerzuspiegeln, sondern vielmehr anzuerkennen, wie sie den anderen drei Säulen eines Finanzökosystems zugrunde liegt.

Viele Finanzinstitute, ein Finanzökosystem

Das Third-Party-Risiko wird in einer von Mastercard gesponserten Umfrage unter Risikoteams für Informations- und Kommunikationstechnologie (IKT) in 20 Finanzinstituten in 20 EU-Ländern zwischen November 2022 und Februar 2023 als die größte der vier Hauptsäulen von DORA genannt.

Die Herausforderung ergibt sich aus dem aufkommenden Bedarf an Resilienz des Ökosystems, da sich das Risiko durch Dritte von einer "Ich-gegen-die"-Mentalität zu einem kollektiven "Wir" verlagert, das allen anderen Aspekten der Cybersicherheit zugrunde liegt. Das übergeordnete Ziel von DORA besteht darin, die Widerstandsfähigkeit dieses Ökosystems in der EU und idealerweise weltweit zu gewährleisten.

Aus globaler Sicht erfordert DORA keine Datenlokalisierung hinsichtlich der Verarbeitung von Daten, die in die EU ein- und aus der EU austreten. Dennoch ist DORA nicht immun gegen den „Brüssel-Effekt“, der sich auf die Auswirkungen der EU-Gesetzgebung über seine geografischen Grenzen hinaus bezieht.

Konkreter gesagt, was DORA selbst und das Drittparteirisiko betrifft, befassen sich die Artikel 36 und 44 mit Aktivitäten europäischer Aufsichtsbehörden „außerhalb der Union“ und der Entwicklung bewährter Verfahren durch „internationale Zusammenarbeit“.

Der Umfang bedeutet, dass die Fähigkeit von Finanzunternehmen, DORA anzugehen, von ganzheitlichen Lösungen von Anbietern abhängt, wie z. B. globalen Zahlungsnetzwerken mit Partnerschaften, die sich über das gesamte Finanzökosystem erstrecken. Der positive Kreislauf von Risikomanagement und Resilienz kann dann weiter von den Skaleneffekten profitieren, die mit einem Finanzökosystem verbunden sind, das voller inhärenter Beziehungen zu Dritten ist. Spezielle Ansätze für das Risiko von Drittanbietern, wie z. B. die Überwachung von Online-Gefährdungen und systemischen Risiken, ergänzen den Netzwerkansatz.

Der Buchstabe des Gesetzes gegen den Geist des Gesetzes

Der Digital Operational Resilience Act klingt unter seinem sympathischen Akronym DORA weitaus zugänglicher. Finanzinstitute in der EU und anderswo müssen DORA bis Januar 2025 gut kennen, wenn die Durchsetzung in Kraft tritt.

Die von Mastercard gesponserte Umfrage deutet darauf hin, dass Finanzinstitute Mitte 2023 mit der Umsetzung der Compliance beginnen werden, nachdem sie die Gap-Bewertungen abgeschlossen haben. Ein umfassendes oder "harmonisiertes" Lösungspaket sollte ihnen helfen, rechtzeitig auf den Markt zu kommen.

Diese Hilfe sollte jedoch über die bloße Bereitstellung vernetzter Lösungen hinausgehen, um Compliance-Anforderungen zu erfüllen. DORA hängt von mehr als nur einzelnen Finanzinstituten ab, die sich an den Buchstaben des Gesetzes halten. Es hängt auch davon ab, dass die Finanzunternehmen die Notwendigkeit erkennen, im gesamten Finanzökosystem durch einen Netzwerkansatz zusammenzukommen.

Ohne dieses Netzwerk kommt es wahrscheinlich zu einer Unterbrechung. Ein ironisches Ergebnis für eine Tat, die auf eine vernetzte Welt ausgerichtet ist.