Digital Operational Resilience Act
DORA bezeichnet die EU-Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor
(Digital Operational Resilience Act). Die Verordnung wurde am 27. Dezember 2022 veröffentlicht, ist am 17. Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 angewendet. In Deutschland wird DORA als Teil des Finanzmarktdigitalisierungsgesetzes (FinmadiG) umgesetzt, das im Dezember 2023 als Regierungsentwurf veröffentlicht wurde und neben DORA noch die EU-Geldtransferverordnung sowie die MiCA-Verordnung (Markets in Crypto Assets) umfasst.
MTG ERS® Lösungen für Verschlüsselung gemäß DORA (© MTG AG)
Mit der MTG ERS Plattform steht den von DORA betroffenen Unternehmen ein zentrales System für alle kryptografischen Aufgaben zur Verfügung.
Ziel von DORA ist es, die Resilienz des europäischen Finanzmarktes gegenüber Cyberrisiken und Sicherheitsvorfällen zu stärken.
Mit DORA werden existierende Regulierungen EU-weit harmonisiert:
- EBA-Richtlinie zur IKT-Sicherheit (BAIT)
- EZB-TIBER-EU (TIBER-DE)
- NIS2-Richtlinie (IT-Sicherheitsgesetz)
- Resilienz kritischer Einrichtungen (KRITIS-Dachgesetz)
So wird zum Beispiel der Meldeprozess zusammengeführt und die Finanzaufsicht BaFin in Deutschland zum nationalen Melde-Hub für Sicherheitsvorfälle im Finanzsektor.
In den Geltungsbereich von DORA fallen unter anderem Kreditinstitute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen und Versicherungsunternehmen.
Anforderungen an MTG ERS
Das MTG ERS Produktangebot setzt sich aus mehreren aufeinander abgestimmten Bausteinen zusammen, die gemeinsam dazu beitragen, die Anforderungen aus DORA (Digital Operational Resilience Act) zu erfüllen. Mit der MTG ERS Plattform steht den von DORA betroffenen Unternehmen ein zentrales System zur Verwaltung aller kryptografischen Aufgaben zur Verfügung. Dank sicherer Identitäten und Einsatz kryptografische Schlüssel können so sensible Unternehmensprozesse über den kompletten Key-& Certificate-Lifecycle abgesichert werden.
Wir bieten unseren Kunden attraktive Cloud-Services und spezielle On-Premise Lösungen an und stehen mit unseren IT Security Experten zur Verfügung.
Gesetzliche Anforderungen & Zeitplan
Die Anforderungen von DORA werden durch technische Regulierungs- (RTS) und Implementierungsstandards (ITS) konkretisiert, die gemeinsam von drei europäischen Aufsichtsbehörden (EU-Wertpapieraufsichtsbehörde, EU-Bankenaufsichtsbehörde und EU-Aufsichtsbehörde für das Versicherungswesen) erarbeitet werden. Aktuell ist erst ein Teil der finalen RTS- und ITS-Dokumente veröffentlicht. Die übrigen Standards folgen im Laufe des Jahres 2024.
Die Anforderungen der DORA lassen sich grob in die folgenden Kategorien unterteilen:
- Risikomanagement-Rahmenwerk
- Klassifizierung und Meldung von Vorfällen
- Standards für das Testen der digitalen Resilienz
- Management des Drittparteienrisikos (Dienstleister und Auslagerungen)
- Austausch von Cyberbedrohungsdaten
Die Umsetzung von DORA stellt Finanzunternehmen vor große Herausforderungen. Das liegt auf der einen Seite am Umfang der damit verbundenen Aufgabe. Hinzu kommt der enge Zeitraum, der Unternehmen für die Umsetzung der Anforderungen bleibt. Zwischen der Veröffentlichung der letzten RTS- und ITS-Dokumente und dem Zeitpunkt der Anwendung der DORA liegt weniger als 1 Jahr, die für die Analyse, Planung und Umsetzung zur Verfügung stehen.
MTG bietet Kunden aus dem Finanzwesen sowohl Managed-Cloud-Services als auch On-Premise Lösungen an. Verbunden ist dieses Angebot mit einem direkten Zugriff auf exzellentes IT Security Know-how, das bei der Planung und Umsetzung der Security Bausteine erforderlich ist.
In Artikel 7 des Regulierungsstandards (RTS) JC 2023 86 werden Anforderungen an das Management, der dabei verwendeten kryptografischen Schlüssel definiert, die mit den MTG ERS Komponenten umgesetzt werden können. Die MTG ERS Lösung zeichnet sich durch die Möglichkeit aus, über ein einheitliches, zentrales System die Anforderungen zum Key Management, Certificate Lifecycle Management und PKI umsetzen zu können.
|
Anforderung aus dem RTS |
Lösung durch MTG ERS |
|---|---|
|
Financial entities shall lay out in the provisions on cryptographic key management referred to in Article 6(2) point (d), the requirements for managing cryptographic keys through their whole lifecycle, including generating, renewing, storing, backing up, archiving, retrieving, transmitting, retiring, revoking and destroying keys. |
Das zentrale Management von kryptografischen Schlüsseln und Identitäten ist die Kernfunktion aller ERS Produkte der MTG AG. Sie können verwendet werden, um einen Überblick über die kryptografischen Schlüssel eines Unternehmens zu behalten und diese über ihren kompletten Lebenszyklus zu schützen. Organisatorische Prozesse zum Key Management lassen sich damit problemlos abbilden. |
|
Financial entities shall identify and implement controls to protect cryptographic keys through their whole lifecycle against loss, unauthorised access, disclosure and modification. The controls shall be designed taking into account the results of the approved data classification and the ICT risk assessment processes. |
Mit dem MTG Key Management System (KMS) lassen sich kryptografische Schlüssel über deren kompletten Lebenszyklus managen und schützen. Als Sicherheitsanker wird dabei ein Hardware Security Modul (HSM) eingesetzt, so dass auch technisch/hardwareseitig ein hohes Schutzniveau der verwalteten Schlüssel gewährleistet ist. |
|
Financial entities shall develop and implement methods to replace the cryptographic keys in the case of lost, compromised or damaged keys. |
Zertifikate lassen sich zentral in der MTG Corporate PKI sperren. Zusätzlich stellt die PKI Informationen zur Gültigkeit von Zertifikaten über Sperrlisten (CRLs) oder Online-Abfragen (OCSP) bereit. Damit ist sichergestellt, dass Schlüssel von gesperrten Zertifikaten nicht weiterverwendet werden. Alle anderen Arten von kryptografischen Schlüsseln können über das MTG KMS verwaltet werden. Dies umfasst auch die Löschung und den Austausch von Schlüsseln. |
|
Financial entities shall create and maintain a register for all certificates and certificate-storing devices for at least ICT assets supporting critical or important functions. The register shall be kept up-to-date. |
Der MTG Certificate Lifecycle Manager (CLM) ist eine zentrale Plattform für alle Zertifikate eines Unternehmens. Hiermit können sowohl Zertifikate aus einer eigenen PKI als auch Zertifikate von Drittanbietern importiert und verwaltet werden. Ein Dashboard ermöglicht einen Überblick über die enthaltenen Zertifikate zu behalten und Auswertungen vorzunehmen. |
|
Financial entities shall ensure the prompt renewal of certificates in advance of their expiration. |
Der MTG Certificate Lifecycle Manager (CLM) überwacht die Laufzeiten aller verwalteten Zertifikate und alarmiert aktiv über ein Dashboard oder per E-Mail, wenn Zertifikate sich dem Ende ihres Gültigkeitszeitraums nähern. |
Anwendungsfälle
Artikel 6 des RTS JC 2023 86 fordert eine umfassende Verschlüsselung von
- Daten zu jedem Zeitpunkt ihrer Verarbeitung (at rest, in transit, in use) sowie
- Internen und externen Netzwerkverkehr.
Zur Erfüllung dieser Anforderungen seien hier beispielhaft drei Anwendungsfälle erwähnt, die sich auf Basis von Produkten der MTG AG einfach realisieren lassen:
Verschlüsselung von Datenbanken
Das MTG Key Management System (KMS) bietet eine KMIP (Key Management Interoperability Protocol) Schnittstelle, über die vom KMS verwaltete Schlüssel in einer Vielzahl von Anwendungen und Use Cases verfügbar gemacht werden können. Das umfasst zum Beispiel die Verschlüsselung von Datenbanken (etwa MongoDB, Oracle (TDE), MySQL, DB2, etc.) oder die Verschlüsselung von Datenbackups.
Verschlüsselung von Virtuellen Maschinen
Zusammen mit dem langjährigen Kooperationspartner und Infrastruktur Serviceprovider DARZ GmbH bietet die MTG AG ein VMware Encryption-as-a-Service-Angebot an, mit dem Sie Ihre virtuellen Maschinen schnell und einfach verschlüsseln können. Die dabei verwendeten kryptografischen Schlüssel werden dabei über das MTG Key Management System (KMS) verwaltet und geschützt. Das MTG KMS wurde von VMware zertifiziert. Unternehmen können damit über ihre gewohnte Benutzeroberfläche des vCloud Directors und des vCenters ihre VMware-VM mit wenigen Klicks zuverlässig verschlüsseln. Dieser Verschlüsselungsservice wurde von TeleTrusT mit dem Innovationspreis 2023 ausgezeichnet
Sichere Identitäten
und Zertifikatslaufzeitüberwachung
Für alle Anwendungsfälle, in denen Public Key Zertifikate zum Einsatz kommen, bietet sich der Einsatz der MTG Corporate PKI mit dem integrierten MTG Certificate Lifecycle Manager (CLM) an. Durch den Einsatz von Policies können Zertifikate maßgeschneidert für jeden Use Case definiert und erstellt werden, z.B. TLS-Zertifikate für Webserver, S/MIME-Zertifikate für gesicherte E-Mail-Kommunikation oder Personenzertifikate für die Zwei-Faktor-Authentifizierung.
Dieses Angebot steht zur Verfügung als: