,
/
  • Last updated
/
  • 10 min read

Alles über die AWS-DORA-Compliance

  • by Raine Grey, Technical Writer   |  übersetzt von Dragos Frangulea
Alles über die AWS-DORA-Compliance

In diesem Leitfaden erörtern wir die Mechanismen der DORA-Compliance von Amazon Web Services (AWS) und wie diese am besten zu erreichen ist, insbesondere für Finanzdienstleistungsunternehmen der Europäischen Union (EU), die eng mit Informations- und Kommunikationsanbietern (IKT) zusammenarbeiten.

Beachten Sie, dass wir diesen Leitfaden so kurz wie möglich gehalten haben, um nur einen Überblick darüber zu geben, wie Sie mit AWS die DORA-Compliance erreichen. Für eine gründlichere Diskussion empfehlen wir die Lektüre des AWS User Guide to the Digital Operational Resilience Act (DORA).

Was ist DORA?

DORA (Digital Operational Resilience Act) ist ein Rechtsrahmen, der als Verordnung 2022/2554 eingeführt wurde. Es zielt darauf ab, Strategien zur Stärkung der operativen und Cyber-Resilienz zu entwickeln, insbesondere für Finanzinstitute.

Das Gesetz enthält strenge Anforderungen an dritte IKT-Organisationen, um sich selbst und ihre Endnutzer vor Bedrohungsakteuren zu schützen, insbesondere umgängigen Cyberangriffen  und sich weiterentwickelnden Bedrohungen zu widerstehen, auf sie zu reagieren und sich schnell davon zu erholen. Dazu gehört auch die Bereitstellung von Kapital zur Deckung potenzieller Verluste. Wir haben auch den Leitfaden „What Is Digital Operational Resilience Act (DORA) Compliance“ veröffentlicht. 

Warum ist das wichtig? Sehen Sie sich einige Schlüsselstatistiken aus dem Global Cybersecurity Outlook 2025 des Weltwirtschaftsforums an:

  • 49 % der Organisationen des öffentlichen Sektors geben an, dass ihnen die notwendigen Ressourcen fehlen, um ihre Cybersicherheitsziele zu erreichen – ein besorgniserregender Anstieg von nur 33 % im Jahr 2024.
  • 35 % der kleinen Unternehmen sind der Meinung, dass ihre Cyber-Resilienz-Strategien unzureichend sind – ein Anstieg um das Siebenfache seit 2022.
  • 15% der europäischen und nordamerikanischen Befragten haben kein Vertrauen in die Fähigkeit ihres Landes, auf ausgeklügelte Cyberangriffe zu reagieren.
  • Jeder dritte CEO von gibt an, dass der Verlust von geistigem Eigentum seine größte Sorge ist, sei es durch externe Bedrohungsakteure oder durch Insider-Bedrohungen.

Die DORA verlangte von den Finanzinstituten die Einhaltung der Vorschriften bis 17. Januar 2025. Die Finanzunternehmen und ihre jeweiligen IKT-Drittanbieter (Informationsregister) müssen den zuständigen Behörden Bericht erstatten, um zu ermitteln, inwieweit sie die Vorschriften derzeit einhalten und wie sie dies verbessern oder beibehalten können. Die Nichteinhaltung der Anforderungen kann zu schweren finanziellen und rechtlichen Konsequenzen führen. (Eine vollständige Liste der DORA-Aktualisierungen finden Sie auf deren offiziellen Webseite).

AWS-Services für die Einhaltung von Finanzvorschriften

Als Reaktion darauf hat Amazon ein Schreiben veröffentlicht, in dem die AWS-Sicherheit für Finanzdienstleistungen ausführlich beschrieben wird. AWS unterstützt Unternehmen bei der Einhaltung dieser Vorschriften, indem es eine breite Palette von Sicherheits-, Compliance- und Resilienz-Tools anbietet, darunter bedrohungsgesteuerte Penetrationstests (TLPT) und IKT-Vorfallberichte.

Wir werden dies später unter „Wie AWS die Einhaltung von DORA unterstützt“ erörtern.

Verständnis der DORA-Anforderungen

Wir haben einen detaillierteren Leitfaden zu den 5 Säulen der DORA-Verordnung verfasst: Hier finden Sie eine Zusammenfassung:

  1. IKT-Risikomanagement: Organisationen müssen einen soliden IKT-Risikomanagement-Rahmen entwickeln, der Strategien, Richtlinien und Instrumente zur Sicherung aller IKT-Anlagen, einschließlich Computersoftware, Hardware und Server, umfasst.
  2. Meldung von Vorfällen: Organisationen müssen alle größeren IKT-bezogenen Vorfälle den zuständigen Behörden melden. Die Finanzinstitute müssen außerdem ein detailliertes Protokoll über alle Cybervorfälle führen.
  3. Ausfallsicherheitstests: Organisationen müssen die Zuverlässigkeit ihrer IKT-Systeme regelmäßig testen, um die Kontinuität des Geschäftsbetriebs zu gewährleisten und die betriebliche Effizienz von aufrechtzuerhalten.
  4. Risikomanagement für Dritte: Die Finanzunternehmen müssen sicherstellen, dass ihre RoI den DORA-Vorschriften entsprechen.
  5. Informationsaustausch: Organisationen werden ermutigt, zusammenzuarbeiten und Cybersicherheitsstrategien auszutauschen, um die kollektive Widerstandsfähigkeit zu erhöhen.

Wie AWS die Einhaltung von DORA unterstützt

AWS arbeitet nach dem Modell der geteilten Verantwortung, d. h. AWS verwaltet zwar die Sicherheit seiner Cloud-Infrastruktur, aber die Kunden sind für die Sicherung ihrer eigenen Daten innerhalb der Cloud verantwortlich.

Dies lehnt sich zwar eng an die DORA-Vorschriften an, bedeutet aber auch, dass jedes Finanzinstitut und seine RoI die notwendigen Änderungen selbst vornehmen müssen. AWS-Kunden werden gebeten, sich mit ihrem Account-Team in Verbindung zu setzen, um ihre spezifischen DORA-Anforderungen zu besprechen.

  • TLPT: AWS kann Kunden bei ihren TLPT-Anforderungen für DORA unterstützen. Alle sensiblen Informationen werden nach dem Grundsatz „Kenntnis nur, wenn nötig“ an die zuständigen Behörden weitergegeben.
  • Berichterstattung über IKT-Vorfälle: AWS hat aufgrund seines Modells der geteilten Verantwortung keinen vollständigen Einblick in die Daten, die in das Konto eines Kunden hochgeladen werden. Dennoch kann AWS Kunden bei der sicheren Verwaltung sensibler Informationen und deren Berichterstattung unterstützen.

Es ist erwähnenswert, dass AWS die DORA-Anforderungen noch mit den Europäischen Aufsichtsbehörden (ESAs) verfeinert, da einige Bestimmungen noch weiter ausgearbeitet werden müssen. So hat das AWS-Managementteam beispielsweise eine weitere Klärung der Definition des Begriffs „IKT-Subunternehmer“ vorgeschlagen, um Missverständnisse und unangemessene Bestrafungen für Tausende von Subunternehmern zu vermeiden.

Nichtsdestotrotz bietet AWS mehrere präskriptive Dokumente für die DORA-Vorbereitung an, wie z. B. die Aufklärung der Kunden über den Aufbau eines Resilienz-Lebenszyklusrahmens.

💡AWS verfügt über verschiedene international anerkannte Sicherheits- und Compliance-Zertifizierungen, darunter ISO 27001, SOC2 und DSGVO, die alle die DORA-bezogenen Anforderungen unterstützen.

AWS-Dienste zur Einhaltung der DORA-Vorschriften

Die Suche nach Diensten zur Unterstützung des „Digital Operational Resilience Act AWS“ führt zu folgenden Ergebnissen:

Risikomanagement & Widerstandsfähigkeit

  • AWS Security Hub bietet einen zentralen Ort für die Verwaltung von Sicherheit und Compliance und hilft Unternehmen, Sicherheitslücken in Echtzeit zu erkennen.
  • AWS Config verfolgt kontinuierlich Konfigurationsänderungen an AWS-Ressourcen.
  • AWS Backup ermöglicht automatisierte Sicherungsrichtlinien und verbessert die Widerstandsfähigkeit gegen Datenverluste.

Berichterstattung über Vorfälle & Überwachung

  • AWS CloudTrail zeichnet AWS-API-Aufrufe auf und hilft Ihnen, unbefugte Zugriffe und Änderungen an Cloud-Umgebungen zu verfolgen.
  • Amazon GuardDuty nutzt maschinelles Lernen um Cloud-Aktivitäten zu analysieren und verdächtiges Verhalten zu erkennen.
  • AWS Audit Manager bewertet Ihre Compliance-Situation, indem es die Sammlung von Beweisen automatisiert und Audits rationalisiert.

Prüfung der Belastbarkeit

  • AWS Resilience Hub hilft Unternehmen, Schwachstellen in ihren Sicherungs- und Notfallwiederherstellungsplänen zu erkennen.
  • Der AWS Fault Injection Simulator erstellt kontrollierte Chaos-Experimente, mit denen Sie testen können, wie Ihre Anwendungen auf Ausfälle reagieren.

Risikomanagement für Dritte

  • AWS Marketplace kann Ihnen helfen, die AWS-DORA-Compliance zu erreichen, indem es eine Auswahl an geprüften Sicherheitslösungen von Drittanbietern bereitstellt.
  • AWS Control Tower kann Ihnen dabei helfen, bewährte Sicherheitspraktiken beizubehalten, während Sie AWS in großem Umfang nutzen.

Implementierung der DORA-Compliance auf AWS

Diese empfohlenen Schritte zeigen, wie die DORA-Anforderungen in AWS umgesetzt werden können.

⚠️ Beachten Sie, dass es noch keine genauen Regeln gibt, da AWS die DORA-Anforderungen noch verfeinert. Die unten aufgeführten Schritte sind lediglich Empfehlungen. Wenden Sie sich an Ihren AWS-Kundenbetreuer, um genauere Anweisungen zu erhalten. 

  1. Bewerten Sie Ihre bestehende Sicherheitslage: Führen Sie eine umfassende Lückenanalyse durch, um etwaige Sicherheitsschwächen und regulatorische Defizite zu ermitteln. Es ist eine gute Idee, Ihre bestehenden Sicherheitskontrollen mit den Anforderungen von DORA abzugleichen.
  2. Implementieren Sie Sicherheitskontrollen nach Bedarf: AWS bietet mehrere Services, die Sie bei der Durchsetzung von Sicherheitskontrollen unterstützen, wie AWS Key Management Service und AWS Identity and Access Management. Um die Sicherheit weiter zu erhöhen, empfehlen wir die Implementierung einer Multi-Faktor-Authentifizierung (MFA) und die Durchsetzung von Richtlinien für denZugriff mit geringsten Rechten .
  3. Richten Sie die Überwachung von und Berichterstattung über Vorfälle ein: Verwenden Sie AWS CloudTrail und Amazon GuardDuty, um Ihre AWS-Umgebung kontinuierlich zu überwachen. Durch die Automatisierung der Meldung von Vorfällen stellen Sie sicher, dass die strengen Meldefristen der DORA eingehalten werden.
  4. Führen Sie regelmäßig Ausfallsicherheitstests durch: Erwägen Sie die Durchführung regelmäßiger Penetrationstests, Disaster-Recovery-Bohrungen und automatisierter Failover-Mechanismen, um sicherzustellen, dass Ihr Unternehmen auch im Falle eines Cyberangriffs oder Systemausfalls betriebsbereit bleibt.
  5. Verwalten Sie das Risiko durch Dritte: AWS Control Tower hilft Ihnen bei der Standardisierung von Praktiken über mehrere AWS-Konten hinweg, während AWS Audit Manager Prüfungen durch Dritte optimieren und rationalisieren kann.
  6. Automatisieren Sie die Überwachung der Einhaltung von Vorschriften: Es wird dringend empfohlen, die Automatisierung zu nutzen, um den Aufwand für manuelle Prüfungen der Einhaltung von Vorschriften zu verringern und sicherzustellen, dass Ihre Sicherheitskontrollen wirksam bleiben. Erwägen Sie den Einsatz von AWS Config und AWS Audit Manager, um die automatische Durchsetzung gesetzlicher Anforderungen zu unterstützen.

Herausforderungen bei der Einhaltung von AWS DORA und der Fehlerbehebung

Verwaltung von Multi-Cloud- und Hybrid-Umgebungen

Die meisten Finanzunternehmen nutzen heute eine Kombination aus Cloud-Anbietern, lokaler Infrastruktur und hybriden Cloud-Lösungen, was das IKT-Risikomanagement zu einer Herausforderung machen kann. Um dieses Problem zu lösen, empfehlen wir, einheitliche Sicherheitsrichtlinien und Standard-Governance-Frameworks für alle Plattformen zu gewährleisten.

Sicherstellung von End-to-End-Tests der AWS-Ausfallsicherheit für DORA

Ausfallsicherheitstests müssen alle Aspekte Ihrer gesamten IKT-Umgebung abdecken; die Durchführung dieser Tests über mehrere Systeme hinweg kann jedoch sehr komplex sein. Um dieses Problem zu lösen, sollten Sie die Entwicklung eines strukturierten Sicherheitsrahmens in Betracht ziehen, um Störungen effektiv zu simulieren. Sie können auch AWS Resilience Hub nutzen, um einen einheitlichen Ansatz für Resilience-Tests zu erhalten.

Risikomanagement im Hinblick auf Dritte

Ein erheblicher Teil der DORA-Vorschriften bezieht sich auf Drittanbieter von Dienstleistungen. Diese Segmentierung der Unternehmen kann die Einhaltung der DORA-Vorschriften erschweren. Wir empfehlen die Verwendung von AWS Audit Manager und AWS Marketplace, um die Einhaltung der Vorschriften durch Dritte zu überwachen. Wir empfehlen Ihnen, eine gründliche Risikobewertung der Anbieter durchzuführen , um die Risiken wirksam zu minimieren.

Automatisierung der Einhaltung von Vorschriften ohne Kontrollverlust

Die Automatisierung kann zwar die Einhaltung von Vorschriften optimieren, es besteht jedoch immer das Risiko, dass Sicherheitslücken oder Fehlkonfigurationen übersehen werden – vor allem, wenn sich Ihr Unternehmen zu stark auf automatisierte Tools verlässt. Es ist ratsam, einen mehrstufigen Ansatz zu verfolgen, bei dem automatisierte Compliance-Prüfungen mit manuellen Sicherheitsaudits kombiniert werden. AWS Config und AWS Security Hub können sich hier ebenfalls als nützlich erweisen.

Häufig gestellte Fragen (FAQs)

1. Bietet AWS sofortige Compliance für DORA?

AWS verfügt derzeit nicht über DORA-spezifische Tools, bietet aber zahlreiche andere Tools, mit denen Sie Ihre Sicherheitslage verbessern können.

2. Wie schneidet AWS im Vergleich zu anderen Cloud-Anbietern in Bezug auf die Einhaltung von DORA ab?

AWS ist mit anderen Cloud-Anbietern vergleichbar. Wie bereits erwähnt, bietet das Unternehmen eine umfassende Palette von Sicherheits- und Compliance-Diensten. AWS hat wie andere Cloud-Anbieter erhebliche Anstrengungen unternommen, um sich an DORA anzupassen. Ein Vergleich würde von spezifischen Dienstleistungen, Kundenbedürfnissen und ähnlichen Faktoren abhängen.

3. Was sind die Strafen für die Nichteinhaltung der DORA-Vorschriften?

Die Nichteinhaltung kann zu finanziellen und rechtlichen Konsequenzen führen. Laut Infosecurity Europe kann die Nichteinhaltung von DORA zu einer Geldstrafe von bis zu 2 % des weltweiten Jahresumsatzes oder 10 Millionen Euro führen, je nachdem, welcher Betrag höher ist.

Sicherstellung der AWS-DORA-Compliance

In der EU tätige Finanzinstitute müssen sich an die DORA halten. Da es sich jedoch um eine relativ neue Technologie handelt, besteht noch Ungewissheit darüber, wie sie sich auf die AWS-Nutzer auswirkt. Amazon Web Services verfügt über eine Reihe robuster Tools, die Ihnen helfen können, diese Bestimmungen effizient zu erfüllen. Es wird jedoch empfohlen, dass Sie mit Ihrem speziellen Account-Team sprechen, um genau zu erfahren, was Sie tun müssen, um eine sichere und konforme Cloud-Umgebung aufzubauen.

Kostenlos Testen

Das könnte Sie auch interessieren

Ausblenden oder Anzeigen von Sekunden in der Systemablage Uhr in Windows 11 Blog-Banner-Bild

Ausblenden oder Anzeigen von Sekunden in der Systemablage in Windows 11

Aktivieren oder Deaktivieren von Netzwerkadaptern in Windows Blog-Bannerbild

Aktivieren oder Deaktivieren von Netzwerkadaptern in Windows

Wie man einen bootfähigen USB-Stick für macOS Blog-Banner-Image erstellt

So erstellen Sie einen bootfähigen USB-Stick für macOS

Deaktivieren des modernen Standby-Modus in Windows 11 Blog-Bannerbild

Deaktivieren des modernen Standby-Modus in Windows 11

What is Zero Trust Network Access (ZTNA)? blog banner image

Was ist Zero Trust Network Access (ZTNA)?

Was ist Secrets Management? Blog-Bannerbild für bewährte IT-Sicherheitspraktiken

Was ist Secrets Management? Bewährte IT-Sicherheitspraktiken

Zurück zur Blog-Startseite
Sind Sie bereit, die schwierigsten Aufgaben der IT zu vereinfachen?
Kostenlose Testversion starten
Produktvorstellung erhalten
×

Sehen Sie NinjaOne in Aktion!

Mit dem Absenden dieses Formulars akzeptiere ich die Datenschutzerklärung von NinjaOne.

NinjaOne Allgemeine Geschäftsbedingungen für Skripte

Indem Sie unten auf die Schaltfläche „Ich akzeptiere“ klicken, erklären Sie Ihr Einverständnis mit den folgenden rechtlichen Bedingungen sowie mit unseren Nutzungsbedingungen:

  • Eigentumsrechte: NinjaOne besitzt und wird weiterhin alle Rechte, Titel und Interessen an dem Skript (einschließlich des Urheberrechts) behalten. NinjaOne gewährt Ihnen eine eingeschränkte Lizenz zur Nutzung des Skripts in Übereinstimmung mit diesen rechtlichen Bedingungen.
  • Einschränkung der Nutzung: Sie dürfen das Skript nur für Ihre legitimen persönlichen oder internen Geschäftszwecke verwenden und es nicht an Dritte weitergeben.
  • Verbot der Wiederveröffentlichung: Sie sind unter keinen Umständen berechtigt, das Skript in einer Skriptbibliothek, die einem anderen Softwareanbieter gehört oder von diesem kontrolliert wird, erneut zu veröffentlichen.
  • Gewährleistungsausschluss: Das Skript wird „wie gesehen“ und „wie verfügbar“ bereitgestellt, ohne jegliche Garantie. NinjaOne gibt keine Versprechen oder Garantien, dass das Skript frei von Fehlern ist oder dass es Ihre speziellen Bedürfnisse oder Erwartungen erfüllt.
  • Risikoübernahme: Die Verwendung des Skripts erfolgt auf eigene Gefahr. Sie erkennen an, dass die Nutzung des Skripts mit bestimmten Risiken verbunden ist, und Sie verstehen und übernehmen jedes dieser Risiken.
  • Verzicht und Freigabe: Sie machen NinjaOne nicht für nachteilige oder unbeabsichtigte Folgen verantwortlich, die sich aus Ihrer Nutzung des Skripts ergeben, und Sie verzichten auf alle gesetzlichen oder billigkeitsrechtlichen Rechte oder Rechtsmittel, die Sie gegen NinjaOne im Zusammenhang mit Ihrer Nutzung des Skripts haben könnten.
  • EULA: Wenn Sie ein NinjaOne-Kunde sind, unterliegt Ihre Nutzung des Skripts dem für Sie geltenden Endbenutzer-Lizenzvertrag (EULA).
Ich akzeptiere