Drucken:

News

DORA soll die digitale Sicherheit der Finanzbranche erhöhen

Marketing-Anzeige

Erscheinungsdatum:

17. September 2024

  • Regulierung
Digital Operational Resilience Act
Resilienzen aufbauen im digitalen Bereich Quelle: Melanie Hobson 2017

Es ist erst einige Wochen her, dass das fehlerhafte Update des Sicherheitsunternehmens CrowdStrike weltweit zu Ausfällen von Windows-Systemen führte und ganze Flughäfen, Krankenhäuser oder Banken lahmlegte. Das ist nur eines von vielen Beispielen, die zeigen, wie angreifbar IT-Systeme grundsätzlich sein können. Mit dem Digital Operational Resilience Act – kurz DORA – hat die Europäische Union deswegen eine 

finanzsektorweite Regulierung geschaffen für die Themen rund um digitale operationale Resilienz, Risiken bei Informations- und Kommunikationstechnologien (IKT-Risiken) sowie Cybersecurity. Über die Umsetzung in der Praxis und die Auswirkungen für die Kunden sprach universal spotlight mit Universal Investment Geschäftsführer André Jäger, der das gruppenweite DORA-Programm verantwortet.
Dr. André JägerDr. André Jäger, Managing Director, Head of Risk, Universal Investment

universal spotlight: Herr Dr. Jäger, was können wir aus dem CrowdStrike-Vorfall lernen?

Dr. André Jäger: Auch wenn unsere eigenen IT-Systeme als Kapitalverwaltungsgesellschaft nicht betroffen waren, war es lehrreich, einen so weitreichenden, weltweiten Vorfall mitzuerleben. Eben weil wir gerade unser gruppenweites DORA-Programm umsetzen – um ähnliche Vorfälle in unserer Branche von vornherein zu vermeiden oder uns zumindest besser darauf vorzubereiten. Neue regulatorische Anforderungen umzusetzen ist natürlich aufwendig, aber der CrowdStrike-Vorfall zeigt einmal mehr, wie wichtig das Thema IT-Sicherheit im Finanzdienstleistungssektor ist.

Und was umfasst DORA nun im Kern?

Eine wesentliche Anforderung von DORA ist, eine robuste Strategie für Resilienztests zu implementieren. Diese stellt sicher, dass alle Änderungen an den Systemen, die Geschäftsprozesse unterstützen, umfassend getestet werden, bevor sie in Betrieb genommen werden. Das Grundprinzip ist also Problemvermeidung – durch gründliche Tests.
Der Vorfall verdeutlicht zudem, wie wichtig es ist, die Lieferkette der Dienstleister zu kennen. DORA möchte dies mit dem Informationsregister erreichen. Die darin erfassten Informationen helfen, die Abhängigkeiten und damit verbundenen Risiken zu jedem einzelnen Dienstleister besser verstehen zu können. Indem wir Dienstleister identifizieren, die kritisch für den Betrieb sind, können wir im Notfall schnell reagieren, Ausfallzeiten minimieren und effektiv kommunizieren.

Gleiches gilt auch für die Umsetzung einer Multi-Vendor-Strategie, durch die Abhängigkeiten von einzelnen Dienstleistern reduziert werden, sowie ein solides Incident Management.

Wie geht Universal Investment das DORA-Projekt konkret an?

Jäger: Wir haben ein gruppenweites DORA-Projekt aufgesetzt, das durch eine robuste Programm-Governance unterstützt wird. Die Anforderungen setzen wir in einem mehrstufigen Ansatz um.

Die erste Phase mit einer Soll-Ist-Analyse der DORA-Anforderungen haben wir bereits erfolgreich abgeschlossen und nun sind wir in der Umsetzungsphase von vier Teilprojekten bis zum Inkrafttreten von DORA am 17. Januar 2025. Dazu gehören die Implementierung DORA-relevanter Strategien, Verfahren und Tools. In der abschließenden dritten Phase geht es dann um die Verankerung im Tagesgeschäft der Organisation.

Welche Auswirkungen hat DORA für die Kunden von Universal Investment?

Unser Hauptziel besteht darin, die Sicherheit und Belastbarkeit unserer digitalen Infrastruktur zu stärken, davon profitieren auch unsere Kunden. Die Implementierung der DORA-Anforderungen wird uns dabei unterstützen, unser bestehendes Risikomanagement-Framework zu optimieren und eine Reihe von Vorteilen zu realisieren.
So implementieren wir noch robustere Cyber-Security-Maßnahmen zur digitalen operativen Resilienz. Dies wird das Risiko von Cyber-Bedrohungen und Betriebsunterbrechungen weiter reduzieren und die IT-Umgebung noch sicherer und widerstandsfähiger machen. Unser Ziel ist es, unsere Kunden vor neuen digitalen Risiken zu schützen und die Service-Kontinuität sicherzustellen. Unser DORA-Programm ist zudem so geplant, dass wir künftig Unterbrechungen in unseren Betriebsabläufen mit noch größerer Sicherheit vermeiden.

Eines der Grundprinzipien von DORA ist das Management von Risiken entlang der Dienstleisterkette, der sogenannten Third-Party-Risiken. Wir identifizieren kritische oder wichtige ausgelagerte Funktionen und arbeiten eng mit unseren Dienstleistern zusammen, um sicherzustellen, dass diese die hohen DORA-Standards bei Sicherheit und Resilienz erfüllen. Ich bin überzeugt, dass diese Verbesserungen unsere Position als verlässlicher Partner für unsere Kunden weiter stärken werden.

Wirkt sich DORA auch auf dem Umgang mit Kundendaten aus?

Im Rahmen von DORA wird ein noch größerer Wert auf Datenschutz und Datensicherheit gelegt als bisher. Daher könnten strengere Protokolle für den Umgang, das Speichern und die Übertragung von Kundendaten eingeführt werden, um Datenintegrität und Vertraulichkeit zu gewährleisten. Sollte das zu Auswirkungen für unsere Kunden führen, werden wir da natürlich zeitnah informieren.

Was hat es mit dem Informationsregister auf sich?

Die von DORA regulierten Finanzinstitutionen müssen ein sogenanntes Informationsregister führen, in dem zentrale Informationen über externe Dienstleister, die Third-Party Provider, geführt werden. Auch ein Teil der Kunden von Universal Investment wird selbst die DORA-Anforderungen erfüllen müssen und in diesen Fällen kann es vorkommen, dass Universal Investment als externer Dienstleister im Sinne von DORA klassifiziert ist.

Universal Investment wird dann selbstverständlich den Verpflichtungen zur Bereitstellung der erforderlichen Informationen für das Informationsregister nachkommen. Derzeit befinden wir uns noch in der Umsetzungsphase, sodass die Zurverfügungstellung der notwendigen Informationen noch ein wenig Zeit in Anspruch nehmen wird. Wir arbeiten allerdings darauf hin, die Informationen bis Ende 2024 zur Verfügung stellen zu können.

Müssen Kunden vorhandene Dienstleistungsverträge und Leistungsbeschreibungen aufgrund von DORA anpassen?

Ja, es kann vorkommen, dass von DORA erfasste Kunden ihre vorhandenen Dienstleistungsverträge und dazugehörige Leistungsbeschreibungen an die neuen DORA-Anforderungen anpassen müssen und dass darunter auch Verträge mit Universal Investment als Dienstleister fallen. Beispielsweise immer dann, wenn es sich um eine Informations- und Kommunikationstechnologie-Dienstleistung im Sinne von DORA handelt. In diesen Fällen sollten die betroffenen Kunden sich an ihre Ansprechpersonen bei Universal Investment wenden, damit wir sie bei der Anpassung der entsprechenden Dienstleistungsverträge an die DORA-Anforderungen unterstützen können – gemeinsam finden wir Lösungen.

Weitere Themen

  • Press Release
    16. September 2025

    Immobilien-Umfrage 2025: Institutionelle Investoren favorisieren Immobilien, aber Infrastruktur gewinnt an Bedeutung

    Büro und Wohnen bleiben wichtigste Nutzungsarten, Logistik holt auf. Kaufpreise sind wieder attraktiver, es werden steigende Preise erwartet.

    Mehr lesen
  • Press Release
    03. September 2025

    Wegen des zunehmenden wirtschaftlichen Drucks setzen Asset Management Boutiquen auf Outsourcing und internationale Expansion

    52% der Boutiquen planen, Dienstleistungen auszulagern, 49% wollen innerhalb der nächsten 12 bis 24 Monate international expandieren, weil sie mit regulatorischem Druck und Margenverfall zu kämpfen haben.

    Mehr lesen
  • Press Release
    02. September 2025

    Universal Investment Gruppe ernennt Hilton Hess zum Chief Financial Officer

    Die UI-Gruppe verstärkt ihr Führungsteam mit einem erfahrenen Experten aus der Fonds-Service-Branche. Hilton Hess hat mehr als 35 Jahre internationale Erfahrung.

    Mehr lesen
Nach oben