Die Digitalisierung macht Unternehmen effzienter, aber auch verletzlicher. Weil Ausfälle in der Finanzindustrie fatal wären, muss die technische ABWEHRFÄHIGKEIT permanent sichergestellt sein – und ab 2025 auch nachge wiesen werden.
Finanzströme müssen fließen, selbst wenn es zu vorsätzlichen Angriffen oder technischen Pannen kommt. Das ist der Kern einer neuen EU-Verordnung, die sicherstellen soll, dass Finanzunternehmen technisch fit genug sind, den reibungslosen Geldfluss zu gewährleisten – und ab Anfang 2025 müssen sie diese „Fitness“ auch nachweisen können.
Mit dem Digital Operational Resilience Act (DORA) soll ein Feld abgesichert werden, das in den bestehenden Finanzregularien noch nicht hinreichend abgedeckt war. Technisch gesehen wird die Finanzwirtschaft immer angreifbarer. Der Anteil digitalisierter Kundenservices steigt und die Abwicklung wird vielfach an externe IT-Dienstleister, oft auch ins Ausland ausgelagert.
Getrieben werden diese Entwicklungen durch Kosten- und Innovationsdruck in den Unternehmen. Cloud-Computing in allen Ausprägungen ist Standard in der Finanzbranche, und mit den massiv gestiegenen Cyberattacken ist die Notwendigkeit, den störungsfreien Betrieb sicherzustellen, dringlicher denn je. Die Erfahrung lehrt, dass die Angreifer meist nicht den Weg über den Haupteingang nehmen. Sie können mit der Kompromittierung von Zulieferern genauso eindringen und enormen Schaden anrichten.
Umsetzen müssen DORA alle Unternehmen, die mit Geldflüssen zu tun haben. Natürlich alle Banken oder Wertpapierhändler, aber auch Versicherungen, Kryptobörsen oder etwa Ratingagenturen sind in der Pflicht. Ausgenommen sind in Österreich nur Kleinstunternehmen. Für DORA müssen die Unternehmen ihre IT-Dienstleister – vom Software ieferanten bis zum Analyseunternehmen oder Rechenzentrum (Cloud) – im Blick haben.
Um dieses Monitoring konstant zu gewährleisten, braucht es entsprechende Prozesse. Robin Schmeisser, Digitalisierungsexperte der Fabasoft AG, beschreibt ein Produkt, das die Administration effzient unterstützen kann, indem es die Dienstleister direkt einbindet: „Bei der Anlage eines neuen IT-Dienstleisters im System steuert unsere Software selbstständig die Einholung aller notwendigen Unterlagen“.
TESTS DURCH HACKER.
Nationaler Aufseher für DORA ist die FMA, die in ihrer „Aufsichtsstrategie 2023–2027“ zwei Stoßrichtungen formuliert: Zum einen will die Behörde die „Stabilität digitaler Systeme fördern“, zum anderen „Resilienz gegenüber Cyberrisiken ausbauen“. Zu etablierten Prüfverfahren kommen neu IT-Risikomanagement, Vor-Ort-Prüfungen oder das sogenannte Cyber-Dashboard. Neben Sicherheitsüberprüfungen wird es praktische Übungen geben. Ein der Nationalbank unterstelltes Team „ethischer Hacker“ wird ab kommendem Jahr die heimischen Finanzinstitute angreifen.
„DORA bringt sehr grundlegende und sehr weitreichende Neuerungen“, betonten die FMA-Vorstände Helmut Ettl und Eduard Müller in einer Aussendung im Jänner, und raten: „Die betroffenen Finanzdienstleister und Zulieferer sollten sich rechtzeitig auf dieses neue Aufsichtsregime vorbereiten.“ Es gilt, potenzielle Schwachstellen zu finden, bevor es die Falschen tun.
DORA.
Nur noch ein Jahr Zeit
Ein knappes Jahr noch haben Unternehmen in der Finanzbranche Zeit, die verpflichtenden Regeln umzusetzen. Mit 17. Jänner 2025 müssen sie gemeinsam mit ihren IT-Dienstleistern nachweisen können, dass sie sicher sind. Die lokale Umsetzung überwacht die FMA, Kleinstunternehmen genießen Ausnahmen. Informationen geben wko.at (Sparte Finanzdienstleister), Prüfer, Berater und Anwälte.
„UNSERE SOFTWARE STEUERT DIE EINHOLUNG DER UNTERLAGEN SELBST“
Wie eine Software das komplexer werdende Lieferantenmonitoring simpel und sicher macht, erklärt Digitalisierungsexperte ROBIN SCHMEISSER.
ROBIN SCHMEISSER, Geschäftsführer der Fabasoft Talents GmbH, beschäftigt sich seit 2004 intensiv mit der Digitalisierung von Geschäftsanwendungen und -prozessen. Nach langjähriger Geschäftsführert.tigkeit bei einem Softwarehersteller bringt er seine Expertise seit 2021 bei der Fabasoft AG ein.
© NIK FLEISCHMANNMit DORA müssen Finanzunternehmen eine weitere Richtlinie umsetzen. Warum kommt Fabasoft hier ins Spiel? Ist das nicht klassische Domäne von Wirtschaftsprüfern, Anwälten oder in dem Fall Security-Experten?
Wir sind ein Ansprechpartner über die Bande, könnte man sagen. Die erhöhten Berichtspflichten wirken sich erheblich auf die betriebsinternen Abläufe aus. Die Einhaltung der DORA-Vorgaben verlangt eine ganzheitliche Betrachtung und Weiterentwicklung der bestehenden Geschäftsprozesse. Eine Schlüsselrolle nimmt die Digitalisierung ein.
Finanzunternehmen gelten in der Regel doch als gut digitalisiert. Wo orten Sie da Nachholbedarf?
Sie haben schon recht, die Finanzbranche ist sicher stärker digitalisiert als der Produktions- bzw. Industriesektor. Dass es sich – von großen Banken und Versicherungen abgesehen – überall um vollständig digitale Prozesse handelt, gilt aber als unwahrscheinlich. Der Punkt ist: Sind die Daten nicht von Anbeginn digital erfasst, müssen die Akteurinnen und Akteure viele Tätigkeiten mehrfach ausführen. Zum Beispiel das händische Aufsetzen und Warten von Listen, Kalendereinträgen undAuswertungen. Der Einsatz des richtigen Tools führt nicht nur zu erheblichen Arbeitserleichterungen, sondern gibt auch die Sicherheit, dass die Verantwortlichen allen erforderlichen Sorgfaltspflichten nachweislich nachkommen. Auditsituationen und spontane Anfragen lassen sich damit mühelos bewältigen.
Wo im Ablauf setzen Sie mit Ihrer Software an?
Möchten Finanzunternehmen für die DORA-Umsetzung ihre Geschäftsprozesse durchdacht digitalisieren, müssen sie an der Quelle der Informationen beginnen – dem Vertragsmanagement. Darunter fallen jene Abläufe, die mit dem Hinzukommen eines neuen IT-Dienstleisters in die Organisation entstehen, etwa in Bezug auf Due Diligence oder das Einholen von Unterlagen und Nachweisen.
In der Regel werden neue Dienstleisterverträge auch heute systematisch erfasst und in Teamarbeitslösungen eingebunden. Welchen Mehrwert bietet eine separate Vertragsmanagement- Software wie Fabasoft Contracts hier überhaupt?
Unsere smarte Software bildet alle Ebenen des Auslagerungsprozesses digital und revisionssicher ab: vom anfänglichen Sourcing eines Lieferanten über den Abschluss der Verträge bis hin zum laufenden Controlling und Reporting der Vereinbarungen. Alle Daten lassen sich auf ihren Ursprung zurückverfolgen und sämtliche Aufgaben im Arbeitsablauf strukturiert nachverfolgen.
Können Sie illustrieren, wie das im Tagesgeschäft aussehen kann?
Bei Anlage eines neuen IKT-Dienstleisters im System steuert unsere Software selbstständig die Einholung aller notwendigen Unterlagen, darunter Risikobewertungen, Wesentlichkeitsbeurteilungen, Auslagerungsgenehmigungen, Zertifikate sowie Leistungsbeschreibungen. Durch das Hinterlegen von Fristen starten Reminder und gegebenenfalls Eskalationsworkflows, die rechtzeitig an wiederkehrende Überprüfungen und zu erneuernde Dokumente erinnern. So stellen die Verantwortlichen die nachweisliche Durchführung sämtlicher Aktivitäten sicher.
Wenn der Reminder ruft, müssen die Zuständigen trotzdem manuell tätig werden?
Das müssen sie nicht. In Fabasoft Contracts erhalten externe Lieferanten Zugang zu den sie betreffenden Dokumenten mit lesenden oder schreibenden Rechten. Partner sind so aktiv in Workflows eingebunden, können selbst Dokumente teilen, bearbeiten oder signieren. Das verhindert Medienbrüche, also einen Wechsel des Systems und daraus entstehende Sicherheitsrisiken.
Wie hoch veranschlagen Sie den Effzienzgewinn?
Beim jährlichen oder anlassbezogenen Reporting unterstützt die automatisierte Berichterstellung immens. Dadurch, dass sämtliche Informationen von Beginn an kategorisiert in der digitalen Akte hinterlegt sind, lassen sich die Auswertungen auf Knopfdruck generieren. In einem Auslagerungsregister mit Filter- und Sortiermöglichkeiten bleiben alle kritischen IKT-Dienstleistungen im Blick. Somit gelingt auch die schnelle Beantwortung von Ad-hoc-Anfragen. Das Bereitstellen der fertigen Berichte funktioniert mithilfe des produkteigenen „externen Bereichs“ einfach und sicher in einem abgegrenzten Datenraum innerhalb der Cloud.
