Am 17. Januar 2025 tritt mit dem Digital Operational Resilience Act (DORA) der Europäischen Union eine Verordnung in Kraft, auf die sich NetOps-Teams in Unternehmen aus dem Finanzsektor einstellen müssen.
Für Banken, Versicherer, Investmentgesellschaften und deren IKT-Anbieter sieht die Verordnung umfangreichere Anforderungen im Hinblick auf Risikomanagement, Ausfallsicherheit von Netzwerken, Incident-Reporting und eine Vielzahl weiterer Faktoren vor. Alle Einzelheiten zu den DORA-Bestimmungen und dazu, wie ThousandEyes bei ihrer Erfüllung hilft, hat unser Kollege Ian Waters in diesem Artikel zusammengefasst.
In Sachen DORA-Compliance ist es nicht damit getan, nur eine Reihe von Punkten abzuhaken. Vielmehr braucht es durchgängiges Monitoring und ein wachsames Auge – nicht nur für die eigene IT-Infrastruktur, sondern auch für die von Drittanbietern. Denn die Anforderungen nehmen Finanzinstitute in die Verantwortung für ihre gesamte Service-Lieferkette — auch für diejenigen Elemente, die nicht direkt unter ihrer Kontrolle stehen.
NetOps-Teams in diesen Unternehmen müssen daher eine neue Perspektive einnehmen. Deshalb haben wir eine Checkliste zusammengestellt, die drei kritische Faktoren abdeckt, auf die sie durchgängiges Monitoring ansetzen müssen – idealerweise automatisiert, um den Arbeitsaufwand zu minimieren und mehr Verlässlichkeit zu gewährleisten.
Checkliste zum Digital Operational Resilience Act (DORA)
Wenn die neuen DORA-Bestimmungen für Ihr Team relevant sind, gibt es drei zentrale Aspekte, die Sie unbedingt beachten müssen:
1. Jederzeit einsatzbereite Backups
Sicher, das mag schon immer so gewesen sein. Doch nun sind ausfallsichere Backup-Systeme noch wichtiger als je zuvor. Ihre Failover-Umgebung muss lückenlos einsatzbereit sein, wann immer sie gebraucht wird.
Blickt man dagegen in die jüngere Vergangenheit, war dies im Finanzsektor nicht immer der Fall. So dauerte etwa im Oktober 2023 ein Ausfall bei zwei großen Banken in Singapur beinahe ein ganzes Wochenende an, nachdem es bei der Aufrüstung einer Kühlanlage in einem ihrer Rechenzentren zu Komplikationen kam und in der Folge die IT-Ausrüstung heruntergefahren werden musste. Berichten zufolge aktivierten beide Banken zwar ihre Backup-Standorte, konnten ihre Services aber erst am nächsten Tag vollständig wiederherstellen.
Gemäß DORA-Vorgaben müssen Finanzinstitute nicht über nur ein sicheres Backup-System verfügen, das im Störfall eine rasche Wiederherstellung der Services ermöglicht. Vorgesehen sind auch regelmäßige Tests dieser Systeme auf ihre Effektivität. Fällt Ihr Backup dann im Ernstfall aus, sind nicht nur zahlreiche verärgerte Kunden die Folge, sondern möglicherweise auch Bußgelder. Zudem sind Akteure aus dem Finanzsektor im Hinblick auf IKT-Services, die sie von Drittanbietern beziehen, dazu verpflichtet, deren betriebliche Widerstandsfähigkeit zu evaluieren. Dies beinhaltet auch, anhand von Simulationen oder Stresstests zu ermitteln, wie effektiv der jeweilige Drittanbieter eine erhebliche Störung bewältigen kann.
Unerlässlich bleibt daher konsequentes Monitoring Ihrer Backups, da selbst geringfügige Änderungen mit unerwarteten Folgen einhergehen können. Eine vermeintlich unbedeutende Anpassung auf einer Webseite kann etwa die Authentifizierung beeinträchtigen. Ebenso kann bereits eine veränderte Sicherheitsrichtlinie bei einem externen Cloud-Anbieter dazu führen, dass der Zugriff auf einen Backup-Schaltkreis verweigert wird.
Deshalb ist es entscheidend, über solche Probleme in Echtzeit informiert zu sein. Dafür braucht es ein präzises Monitoring der gesamten Servicekette – anstatt erst zu reagieren, wenn in einem Live-System etwas nicht wie geplant funktioniert und dann auf das Beste zu hoffen
Eine zentrale Rolle spielt hier Automatisierung mit Systemen wie ThousandEyes, die den Status sowohl des Live- als auch des Backup-Betriebs durchgängig untersuchen und Alarm schlagen, wenn eine kritische Komponente nicht funktioniert wie vorgesehen.
2. Einrichtung eines umfassenden Monitoring-Systems
Ob etwas nicht stimmt, lässt sich entweder über ein leistungsstarkes Monitoring-System oder dadurch feststellen, dass Beschwerden von Kunden eingehen. Was hier die bessere Wahl ist, dürfte außer Frage stehen. Wer als Finanzdienstleister in der EU agiert, ist gemäß DORA tatsächlich zu Ersterem verpflichtet.
Durchgängig zu validieren, dass Warn- und Monitoring-Systeme ordnungsgemäß arbeiten, ist unabdingbar für die Erkennung von Sicherheitsverletzungen und anderen Problemen mit der Zuverlässigkeit. Einfach davon auszugehen, dass sie funktionieren, ist keine Option. Es gilt, die Betriebsfähigkeit regelmäßig zu prüfen. Denn schließlich bringt auch ein Rauchmelder wenig, wenn man sich nicht regelmäßig vergewissert, dass die Batterien voll sind.
Die Validierung der Integrität und Performance Ihrer Monitoring-Systeme sollte fortlaufend und automatisiert erfolgen, damit gewährleistet bleibt, dass sie verlässlich arbeiten und die Warnmeldungen und Benachrichtigungen ausgeben, die sie sollen. Eine Rolle könnte hier auch KI-Technologie spielen, die die Milliarden von Messdaten auswertet, die jeden Tag im Internet, der Cloud und Unternehmensnetzwerken anfallen, um Problemstellen aufzudecken und deren Auswirkungen auf User nachvollziehbar zu machen.
ThousandEyes bietet beispielsweise die Möglichkeit, Grenzwerte für Metriken wie Latenz, Reaktionszeit und Paketverlust zu definieren und Dashboards einzurichten, die Warnmeldungen ausgeben, wenn diese KPIs nicht erfüllt werden. Diese Informationen lassen sich zudem mit anderen Daten kombinieren, sodass eine umfassende Sicht darauf entsteht, wie es aktuell um die App-Integrität und -Performance bestellt ist.
Darüber hinaus sieht die DORA-Verordnung strikte Anforderungen für Finanzdienstleister vor, wenn es um die Meldung von Vorfällen an die zuständigen Behörden geht. Fehlt es in Ihrem Unternehmen an adäquaten Maßnahmen für Monitoring und Berichterstattung, drohen im Falle eines Vorfalls, den Sie nicht in Echtzeit erkannt haben, ebenfalls Sanktionen.
3. Aktives Monitoring von Drittanbieter-Systemen
Gemäß DORA haben Finanzdienstleister nicht nur für Ihre eigene physische Infrastruktur Sorge zu tragen. Vielmehr müssen sie auch die Integrität und Performance der Umgebungen von Drittanbietern, auf die sie sich stützen, kontinuierlich validieren.
Dabei ist es mit der Performance-Validierung für diese Drittanbieter-Services nicht getan. Es umfasst auch ihre Untersuchung auf potenzielle Sicherheitsrisiken wie BGP-Route-Hijacking oder DNS-Poisoning, die sich letztlich auch auf Ihre Kunden auswirken könnten.
Eine nicht gerade einfache Aufgabe angesichts dessen, wie viele Drittanbieter-Systeme an der Servicebereitstellung beteiligt sind. Mit Providern für Cloud-Umgebungen, CDNs, SaaS, DDoS-Abwehr und Zahlungsgateways sind hier nur einige Beispiele für externe Systeme zu nennen, von denen Ihr Service oder Ihre Applikationen abhängig sind. Nun ließe sich der Status der einzelnen Services zwar über die entsprechende Seite des jeweiligen IKT-Provider ablesen. Doch wie wir kürzlich in diesem Blog-Beitrag erläutert haben, ist die Statusseite allein nicht unbedingt ein sinnvoller Anhaltspunkt, um festzustellen, ob ein Problem mit einem externen IKT-Service besteht. NetOps-Teams sollten stattdessen ein breites Spektrum an Datenpunkten berücksichtigen, unterstützt durch ein umfassendes Monitoring sowohl für eigene als auch externe Services.
Dies ist besonders wichtig, um fundierte Daten vorliegen zu haben, falls ein Ausfall auf einen externen IKT-Service zurückzuführen ist. Mit diesen Daten können Sie gezielt mit dem jeweiligen Provider sowie intern im Team das Problem analysieren und gemeinsam an einer Lösung arbeiten.
Hierbei spielt auch das Thema Traffic Enginieering eine Rolle, auf dessen Bedeutung mein Kollege Kemal Sanjta jüngst hingewiesen hat. Netzwerktechniker:innen sind pausenlos damit beschäftigt, das Routing dahingehend zu optimieren, dass der Traffic über die am besten geeigneten Pfade geleitet wird. Voraussetzung hierfür ist jedoch umfassendes Monitoring sowohl des eingehenden als auch des ausgehenden Traffics, um sicherzustellen, dass dieser über die erwarteten Routen läuft und keine Probleme mit Drittanbieter-Systemen auftreten. Können Sie sich dabei auf hunderte verschiedene Monitoring-Punkte stützen, die rund um den Globus verteilt sind, erhalten Sie schnell Nachricht darüber, ob es zu Ausfällen oder Route-Leaks kommt.
DORA: Eine neue Ära
Mit diesen Tipps erhalten Akteure aus dem Finanzsektor die nötige Orientierung, um sich adäquat gegenüber den Anforderungen der DORA-Verordnung aufzustellen. Zugleich sind sie aber auch ganz allgemein als Best Practices anzusehen – unabhängig davon, in welcher Region oder Branche ein Unternehmen tätig ist.
Eine durchgängige, proaktive Prüfung, ob Ihre Backup-Systeme einspringen, wenn Ihre Primärsysteme ausfallen, stellt nicht nur sicher, dass Sie kein Geld für wenig effektive Ausfallsicherungen verschwenden. Sie kann Ihr Unternehmen auch vor Katastrophen bewahren. Systeme für Echtzeit-Monitoring sind unerlässlich, um Probleme auszumachen, bevor sie sich bei Ihren Kunden bemerkbar machen. Wenn Sie die Performance von Drittanbieter-Umgebungen genau im Blick behalten, ist es zudem weniger wahrscheinlich, dass Ihre Systeme im Falle eines Problems bei einem Ihrer Partner in Mitleidenschaft gezogen werden.
Aus dieser Perspektive ist unsere DORA-Checkliste also für jedes NetOps-Team relevant, ganz gleich, ob es bei einem Finanzdienstleister in der EU tätig ist oder nicht.