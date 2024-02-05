Der Digital Operational Resilience Act (DORA) markiert einen bedeutenden Meilenstein in den Bemühungen der Europäischen Union (EU), die operative Resilienz des Finanzsektors im digitalen Zeitalter zu stärken. DORA wurde konzipiert, um das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT) im Finanzdienstleistungssektor umfassend anzugehen und die bestehenden Vorschriften in den EU-Mitgliedstaaten zu harmonisieren. Es schreibt vor, dass alle Finanzinstitute in seinem Geltungsbereich die notwendige digitale operative Resilienz aufbauen müssen, wobei der Schwerpunkt auf einem maßgeschneiderten Ansatz für jedes Unternehmen liegt.
Um DORA effektiv anzugehen, wird Finanzinstituten geraten, sich auf die Beherrschung grundlegender Funktionen in vier Schlüsselbereichen zu konzentrieren: Daten, Betrieb, Risikomanagement sowie Automatisierung und KI. Durch die strategische Kombination von Technologie in diesen Bereichen können Unternehmen ihre Fähigkeit verbessern, Sicherheit zu integrieren, Risikominderung voranzutreiben, kontinuierliche Überwachung zu ermöglichen, adaptive Unternehmenskontinuität sicherzustellen, Interoperabilität zu fördern und die Governance zu optimieren.
Auch wenn die Geschäftswelt für Finanzinstitute herausfordernd ist, stellt die Einhaltung der DORA-Vorschriften nicht einfach nur eine weitere kostspielige Verpflichtung dar. Stattdessen bietet es die Möglichkeit, Compliance-Ausgaben in strategische Investitionen umzuwandeln, die auf eine höhere Unternehmensleistung abzielen. Durch die Übernahme dieser Denkweise können Institutionen sowohl die Einhaltung von Vorschriften als auch einen langfristigen digitalen Geschäftsnutzen aus ihren Investitionen in digitale operative Resilienz ziehen.
Vertrauliches Rechnen und Datenverschlüsselung spielen eine wichtige Rolle bei der Gewährleistung des vollständigen Datenschutzes. Sie schützen Daten während der Nutzung und im Speicher und erstrecken diesen Schutz auch auf System- und Cloud-Administratoren, die die Infrastruktur weiterhin verwalten, ohne Zugriff auf die Daten zu haben.
Dies wird auch in der DORA betont, in den RTS (Regulatory Technical Standards), die für die öffentliche Konsultation festgelegt sind (1, Link befindet sich außerhalb ibm.com), unter Artikel 6, der sich auf die Verschlüsselung und kryptografische Kontrollen konzentriert, und Artikel 7, der die Schlüsselverwaltung behandelt.
Gemäß Artikel 6 der RTS gilt die Verschlüsselung während des gesamten Datenlebenszyklus als unerlässlich und umfasst Daten im Ruhezustand, Daten während der Übertragung und Daten während der Nutzung. Dies passt nahtlos zu der Vorstellung, dass das vollständige Datenschutz, wie von der DORA vorgeschrieben, einen umfassenden Ansatz zur Verschlüsselung erfordert, der sicherstellt, dass sensible Informationen in jeder Phase ihrer Existenz geschützt werden.
Darüber hinaus unterstreicht Artikel 6 der RTS die Notwendigkeit, den gesamten Netzwerkverkehr, sowohl intern als auch extern, zu verschlüsseln. Diese Anforderung bekräftigt die Idee, dass ein sicherer und verschlüsselter Kommunikationskanal von größter Bedeutung ist, was der Notwendigkeit einer robusten und miteinander verbundenen Vertrauenskette von der Hardware bis zur Lösung entspricht, wie im Originaltext erwähnt.
Artikel 7 des RTS behandelt die kryptografische Schlüsselverwaltung, betont die Bedeutung des Lebenszyklusmanagements für kryptografische Schlüssel. Dies entspricht dem Konzept, dass die Technologiekomponenten, die vertrauliches Rechnen ermöglichen, eine miteinander verknüpfte Vertrauenskette bilden müssen. Durch die Gewährleistung der Unveränderlichkeit und Authentifizierung der vertrauenswürdigen Ausführungsumgebung können Finanzinstitute den in Artikel 7 dargelegten regulatorischen Erwartungen des DORA gerecht werden.
Zusammenfassend lässt sich sagen, dass die Prinzipien von Confidential Computing und Kryptografie, wie sie im Originaltext formuliert sind, in den spezifischen Anforderungen des RTS enthalten sind. Die Einhaltung dieser regulatorischen Standards gewährleistet nicht nur die Einhaltung von DORA, sondern schafft auch einen robusten Rahmen zum Schutz sensibler Finanzdaten durch Verschlüsselung und effektive Schlüsselverwaltung.
Für einen vollständigen Datenschutz ist Confidential Computing und Kryptographie eine Schlüsselkomponente. Die Technologiekomponenten, die Confidential Computing ermöglichen, müssen eine zusammenhängende Vertrauenskette von der Hardware bis zur Lösung bilden und so Confidential Computing als Lösung mit einer unveränderlichen und authentifizierten vertrauenswürdigen Ausführungsumgebung bereitstellen.
Umfassende Datensicherheit, die zu Datenschutz, Datensouveränität und digitaler Resilienz führt, erfordert einen durchgängigen Schutz über den gesamten Datenlebenszyklus und den Stack hinweg. Confidential Computing gewährleistet, dass Cloud-Provider nicht auf Basis von Vertrauen, Transparenz und Kontrolle auf Daten zugreifen, sondern auf Basis technischer Nachweise, Verschlüsselung und Laufzeit-Isolation.
Die technische Absicherung ist entscheidend, um unbefugten Zugriff auf Daten zu verhindern. Dies bedeutet, dass Cloud-Administratoren, Anbieter, Softwareanbieter und Site Reliability Engineers während der Nutzung keinen Zugriff auf die Daten haben dürfen. Technische Absicherung stellt sicher, dass der Cloud-Service-Anbieter (CSP) im Falle rechtlicher Anfragen keine Daten freigeben kann, wodurch Datenschutzverletzungen unabhängig von Gesetzgebung und Strafverfolgung verhindert werden.
Der Schutz von Daten durch technische Absicherung fördert die Datensouveränität und die digitale Resilienz. Das bedeutet, dass die vollständige Kontrolle über die eigentlichen Daten beim Cloud-Nutzer liegt, nicht beim Cloud-Provider. Durch den Einsatz vertraulicher Informatik und Kryptographie können Finanzinstitute den strengen Anforderungen von DORA entsprechen, um das höchste Maß an technischer Sicherheit zu gewährleisten und ihre digitalen Abläufe in einem sich wandelnden Umfeld zu schützen.
Zusammenfassend lässt sich sagen, dass DORA nicht nur eine Pflichterfüllung darstellt, sondern für Finanzinstitute eine Chance bietet, strategisch in digitale operative Resilienz zu investieren. Durch die Integration von Confidential Computing und Kryptografie in ihre Strategie können Unternehmen die digitale Welle selbstbewusst navigieren und Datenschutz, Sicherheit und Kontrolle in einer sich ständig wandelnden Geschäftswelt gewährleisten.
Machen Sie den ersten Schritt zur Verbesserung der Datensicherheit und zur Erreichung der Compliance und erfahren Sie mehr über IBM Confidential Computing Solutions, zum Beispiel wie Hyper Protect Virtual Server zum Schutz von Finanztransaktionen beitragen kann und wie IBM die Sicherheit auf Anwendungsebene angeht.
Gewinnen Sie mit dem Index „IBM X-Force Threat Intelligence“ Erkenntnisse, um Vorbereitung und Reaktion auf Cyberangriffe schneller und effektiver zu machen.
Verstehen Sie die neuesten Bedrohungen und stärken Sie Ihre Cloud-Abwehr mit dem X-Force Cloud Threat Landscape Report.
In diesem Gartner-Bericht erfahren Sie, wie Sie das gesamte KI-Inventar verwalten, die KI-Workloads mit Schutzmechanismen sichern, das Risiko reduzieren und den Governance-Prozess verwalten, um Vertrauen für alle KI-Anwendungsfälle in Ihrem Unternehmen zu erreichen.
Entdecken Sie neue Erkenntnisse für die Auswahl des Managed Detection und Response-Anbieters, der am besten zu den Zielen Ihres Unternehmens passt.
Erhöhen Sie Ihre Sicherheit mit unserer erstklassigen Suite von Lösungen zur Bedrohungserkennung und -reaktion.
Schützen Sie bestehende Investitionen und erweitern Sie diese mit KI, verbessern Sie die Sicherheitsabläufe und schützen Sie die Hybrid Cloud.
Aufbau einer starken, herstellerunabhängigen Identitätsstruktur mit einer vertrauenswürdigen IAM-Lösung auf.
Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.