Eine sichere E-Mail-Kommunikation ist in der Finanzbranche ein absolutes Muss. Die zunehmende Bedrohungslage sowie verschärfte Regularien durch den Gesetzgeber (DORA) erhöhen den Bedarf nach mehr Kontrolle, besserer Compliance sowie umfassender Cybersecurity.
Wie Finanzunternehmen in Zeiten von DORA ihre Kommunikationsprozesse effektiv gegen Cyberkriminalität absichern.
Partner des Bank Blogs
Ohne einen stabilen Finanzsektor gibt es kein Wachstum und es steigt die Gefahr von wirtschaftlichem Chaos. Die zunehmende Bedrohung durch Cyberangriffe – gerade im Hinblick auf sich zuspitzende internationale Konflikte – sollte deshalb die Verantwortlichen zum Handeln bringen.
Auch der Gesetzgeber hat mittlerweile die Gefahr erkannt und verschärft mit der neuen DORA-Verordnung (Digital Operational Resilience Act) die Anforderungen an die Cyberresilienz von Unternehmen in der Finanzbranche.
Das setzt die Institutionen unter Druck. Es braucht eine neue Sicherheitsstrategie und eine bessere Absicherung der Kommunikationsinfrastruktur, dazu gehören etwa E-Mail oder Fax. Doch das ist leichter gesagt als getan.
Spezifische Herausforderungen in Finanzunternehmen
Da im Finanzsektor zahlreiche sensible und zeitkritische Informationen übermittelt werden müssen, ist eine zuverlässige und sichere E-Mail-Kommunikation unerlässlich. Eine Unterbrechung des Informationsflusses kann nicht nur zu empfindlichen Störungen des Geschäftsbetriebs führen, sondern auch dazu, dass gesetzliche Anforderungen nicht erfüllt werden. Letzteres zieht empfindliche Strafen nach sich. Die Absicherung dieser Prozesse ist jedoch alles andere als simpel.
In der Finanzbranche finden sich häufig Systemlandschaften, die aufgrund ihrer historischen Entwicklung komplex sind. Betrachtet man etwa die E-Mail-Infrastruktur, so hat sich über viele Jahre oft ein vielschichtiges Netzwerk aus Domänen und Endpunkten entwickelt, das eine Vielzahl von Anwendungen, Arbeitsplätzen und Geräten umfasst und häufig zu DNS-Konnektivitätsproblemen aufgrund privater IPs führt. Darüber hinaus ist der Betrieb vor Ort mit hohen Wartungskosten sowie Skalierbarkeits- und Leistungsproblemen verbunden.
Auch die Verwaltung von Clustern, Servern und MTAs gestaltet sich schwierig und es gibt häufig Defizite bei Reporting, Monitoring und Compliance. Gleichzeitig bieten E-Mail-Dienste oft keine ausreichende Sicherheit und Kontrolle. Es fehlen einheitliche Richtlinien, SLAs und Support-E-Mails werden etwa oftmals durch die eigene Sicherheitsinfrastruktur blockiert. Ein weiteres Problem: interne Kommunikation läuft in der Regel über das öffentliche Internet.
Der Finanzsektor muss seine Cyberresilienz erhöhen. Gleichzeitig gestaltet sich dieses Unterfangen gerade in diesem Bereich als aufwändig und komplex. Der Gesetzgeber ist sich dieser Herausforderungen bewusst und greift mit neuen Regelungen wie DORA steuernd ein.
Auswirkungen von DORA
Mit der DORA-Verordnung hat die EU eine allgemeine und unmittelbar geltende Regelung für Cybersicherheit, IKT-Risiken und digitale operationelle Widerstandsfähigkeit für den gesamten Finanzsektor geschaffen. Ziel der Verordnung ist es, den europäischen Finanzmarkt gegen Cyber-Risiken und Vorfälle im Bereich der Informations- und Kommunikationstechnologie (IKT) zu schützen und zu stärken.
DORA baut im Wesentlichen auf bereits bestehenden Richtlinien auf und erweitert diese, was teilweise umfangreiche Anpassungen der IT-Infrastruktur und der Sicherheitsstrategie erforderlich macht. Dies führt zu einem erhöhten personellen, technologischen sowie prozessualen und organisatorischen Aufwand – alles unter erheblichem Zeitdruck. Die Anforderungen von DORA betreffen insbesondere folgende Bereiche: IKT-Risikomanagement, Meldung von IKT-Vorfällen, Tests zur digitalen operationellen Resilienz und Bewertung des IKT-Drittparteienrisikos.
Darauf sollten Unternehmen bei der Partnerwahl achten
Die Compliance-Anforderungen von DORA erfordern in erster Linie die Überprüfung der Kommunikationsprozesse und deren Absicherung. Um diese schwierige Aufgabe zu bewältigen, sollte dabei ein Spezialist für Kommunikationslösungen hinzugezogen werden. Bei der Auswahl der Lösung und des Partners empfiehlt es sich, einige Punkte kritisch zu beachten.
Datenschutz ist beispielsweise ein zentraler Aspekt. Aus diesem Grund sind Anbieter aus Europa denjenigen aus dem außereuropäischen Ausland vorzuziehen. Erstere gewährleisten die Einhaltung der DSGVO und der DORA-Richtlinie, indem sie auf die Nutzung internationaler Hyperscaler wie AWS, Google und Microsoft verzichten. Zudem sollte der ausgewählte Anbieter über eigene lokale Rechenzentren in Europa verfügen, die ausschließlich von eigenen Mitarbeitern betrieben werden. Wichtig ist auch die Redundanz der Rechenzentren. Diese sollte durch eine Multi-Datacenter-Anbindung gewährleistet sein. Bei einer so ausgelegten Infrastruktur ist es möglich, beim Ausfall einer Verbindung die Kommunikationskanäle und Dienste unterbrechungsfrei weiter zu nutzen.
Denn um eine sichere und zuverlässige E-Mail-Kommunikation in Echtzeit zu gewährleisten, bedarf es mehr als nur eines Spam- und Phishing-Filters. Aufgrund der sich ständig ändernden Bedrohungslage braucht es eine Lösung mit umfassenden Sicherheits-, Steuerungs-, und Überwachungsmechanismen. Advanced Threat Protection-Technologien einschließlich KI-basiertem Sandboxing und Post Delivery Protection beispielsweise bieten guten Schutz vor fortschrittlichen Cyberangriffen und Bedrohungen wie Ransomware und Social Engineering.
Darüber hinaus erleichtern moderne Verschlüsselungstechnologien und E-Mail-Management den Unternehmen die Kontrolle und den Überblick über den gesamten E-Mail-Verkehr. E-Mail-Encryption mit etablierten Verschlüsselungsverfahren wie S/MIME, PGP und Open PGP garantieren zusätzlichen Schutz für die Vertraulichkeit und Integrität der Kommunikation. Damit wird sichergestellt, dass gesetzliche Sicherheitsstandards eingehalten und Angriffsmöglichkeiten für Hacker minimiert werden. Für den Fall, dass die IT-Infrastruktur dennoch einmal ausfällt, sollte der Anbieter zudem eine Lösung für E-Mail Continuity bereitstellen. Ein sicherer externer Webmail-Service, der unabhängig vom primären E-Mail-System ist, ermöglicht den Mitarbeitenden jederzeit eine unterbrechungsfreie E-Mail-Kommunikation.
Sichere Kommunikationsprozesse sind das Fundament der Finanzwelt
Die Zunahme von Cyber- und Ransomware-Angriffen, die durch die raschen Fortschritte in der KI-Technologie begünstigt werden, sowie häufige Ausfälle von IT-Systemen und internationale Sicherheitsvorfälle sind nur einige der Gründe, warum der Gesetzgeber die Stabilität und Widerstandsfähigkeit des Finanzsektors verbessern möchte.
Die DORA-Richtlinie trat 2023 in Kraft und gilt seit dem 17. Januar 2025 für alle 27 EU-Mitgliedstaaten. Unternehmen sollten das Thema nicht länger ignorieren, denn erhebliche Bußgelder können die Folge sein: Es gilt die Netzwerke besser zu schützen und die Sicherheitsstrategie an die neuen Gegebenheiten anzupassen. Ratsam ist es dabei, den Fokus auf robuste Kommunikationsprozesse zu setzen, denn diese garantieren Authentizität, Integrität und Transparenz.
Eberhard Rohe
Eberhard Rohe ist Koautor des Beitrags. Er ist Account Director und Head of Banking and Insurance Industry bei Retarus. Zuvor war er in Führungsaufgaben für die DAB Bank sowie die HypoVereinsbank tätig.
