CONET Technologie-Blog

TECHNOLOGIE-BLOG

Digital Operational Resilience Act (DORA) – Zielsetzung und Auswirkungen auf die Softwareentwicklung im Finanzsektor

von Markus May ·

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung (EU 2022/2554), die nahezu alle Institute und Unternehmen im Finanzsektor betrifft. Sie soll sicherstellen, dass Finanzinstitute ihre digitalen Systeme gegen Cyber-Bedrohungen und technische Störungen absichern. Damit reagiert die EU auf die steigende Abhängigkeit von digitalen Prozessen und die wachsenden Risiken im Bereich der IT-Sicherheit. Auch die Softwareentwicklung ist betroffen, da sie eine zentrale Rolle in der digitalen Infrastruktur spielt. Im Folgenden werden verschiedene Berührungspunkte und Maßnahmen betrachtet, die aus der Praxis eines Softwareentwicklers in der Versicherungsbranche hervorgehen.

Inhaltsverzeichnis

Security by Design für mehr Sicherheit im Entwicklungsprozess

Ein sicherer Entwicklungsprozess ist wichtig, um potenzielle Schwachstellen frühzeitig zu erkennen und beheben zu können. Dazu dienen Security-by-Design-Prinzipien. Mit der Umsetzung der Security-by-Design-Prinzipien kann die von DORA verlangte Resilienz gegenüber Cyber-Gefahren durchgesetzt werden.

Die Implementierung von Security-by-Design-Prinzipien bedeutet, dass Sicherheitsaspekte von Beginn an in die Softwareentwicklung integriert werden. Dies umfasst Maßnahmen wie die frühzeitige Identifikation potenzieller Bedrohungen, die Nutzung sicherer Architekturen und Frameworks sowie die kontinuierliche Überprüfung des Codes auf Sicherheitslücken (CVEs) von Drittanbieterkomponenten. Dazu können Tools wie zum Beispiel Trivy oder Prisma eingesetzt werden, die bereits in der Produktion befindliche Artefakte überprüfen, oder diese bereits während des Entwicklungsprozesses reporten.

Foto: Schwebendes Sicherheitsschloss vor Laptop mit weiteren Symbolen

Um automatisch Aktualisierungen von verwendeten Softwarekomponenten durchführen zu können, und somit Schwachstellen proaktiv zu vermeiden, gibt es Tools wie beispielsweise renovate oder dependabot. Diese Tools können, basierend auf den definierten Abhängigkeiten des Projektes in dem genutzten Build-Tool (Maven, gradle, npm, …), die Version der Abhängigkeiten auf den Ebenen patch, minor und major reporten und bestenfalls direkt Pull Requests öffnen.

Risikomanagement nach DORA: Transparenz und Steuerung von IT-Risiken

Ein Risikomanagement ist unerlässlich, um Bedrohungen frühzeitig zu identifizieren und angemessen zu reagieren. Dieses Risikomanagement ist im Digital Operational Resilience Act vorgeschrieben und sorgt für eine Transparenz über die in der IT vorhandenen Risiken und dazugehörigen Mitigationsmaßnahmen.

Als ein integraler Bestandteil des Risikomanagements werden Sicherheitskonzepte angelegt. Hier werden definierte Fragen zu den betreuten Anwendungen beantwortet und auf andere im Unternehmen als Querschnittsaufgaben definierte Komponenten verwiesen, beispielsweise auf gemeinsam genutzte Datenbanken. Dazu ist ein umfassendes Know-how der in der lokalen Komponente und im Unternehmen verwendeten und etablierten Systeme notwendig.

Um die Risiken beherrschbar und auch bekannt zu machen, ist es erforderlich, dass Dokumentationen über alle Komponenten hinweg weitgehend einheitlich erstellt und aktuell gehalten werden. Dies muss ein integraler Bestandteil der Definition-of-Done in einem Team sein.

Compliance und Dokumentation: Sicherheitsstandards effektiv im Code verankern

Die Einhaltung regulatorischer Vorgaben und die lückenlose Dokumentation von sicherheitsrelevanten Aktivitäten sind für die DORA-Compliance von großer Bedeutung. Das bedeutet für die Softwareentwicklung, dass alle sicherheitsrelevanten Änderungen, Code-Änderungen und Systemkonfigurationen nachvollziehbar dokumentiert und revisionssicher abgelegt werden. Dies kann durch den Einsatz von Audit-Trails, automatisierten Compliance-Checks und Versionskontrollsystemen wie Git erfolgen.

Beispielhaft für die Nachvollziehbarkeit steht die Verknüpfung von Änderungen im Source-Code und den fachlichen Anforderungen im Ticketing System (beispielhaft JIRA). Dazu können Commit Messages eine Referenz zum jeweiligen Issue enthalten. Dies kann durch ein Pattern in den Commit Messages sichergestellt werden, das auf den Conventional Commits basiert.

Entwicklungs- und Hauptzweige werden als geschützte Branches behandelt, um die Code-Qualität und Sicherheit zu gewährleisten.

Dies bedeutet:

  • Direkte Commits sind nicht erlaubt, Änderungen müssen über Merge Requests erfolgen
  • Mindestens zwei Reviewer müssen eine Änderung genehmigen, bevor sie in geschützte Branches gemerged wird.
  • Automatische Tests werden vor dem Merge ausgeführt

Fachliche und technische Abnahme neuer Features

Vor dem Go-Live neuer Features muss eine umfassende Abnahme erfolgen, um sicherzustellen, dass die Änderungen sowohl den fachlichen als auch den technischen Anforderungen entsprechen. Dabei werden auch Prüfungen auf sicherheitsrelevante Änderungen durchgeführt, um weiterhin die Sicherheit des Systems gewährleisten zu können.

Dieser Prozess wird durch zwei unabhängige Reviewer aus getrennten Gruppen durchgeführt, um eine objektive Bewertung sicherzustellen. Die Kombination beider Prüfungen gewährleistet, dass sowohl der geschäftliche Nutzen als auch die technische Stabilität sichergestellt sind.

Monitoring und Incident Response: Frühwarnsysteme für eine widerstandsfähige IT

Um schnell auf Sicherheitsvorfälle reagieren zu können, sind umfassende Monitoring- und Incident-Response-Maßnahmen erforderlich. Hier spielen Application Performance Monitoring (APM) und das ELK-Stack (Elasticsearch, Logstash, Kibana) eine zentrale Rolle. APM hilft dabei, die Performance und Sicherheit von Anwendungen in Echtzeit zu überwachen und Engpässe oder Anomalien frühzeitig zu erkennen. Der ELK-Stack ermöglicht die zentrale Erfassung, Verarbeitung und Analyse von Logs, um Sicherheitsvorfälle effizient zu identifizieren und zu untersuchen. Durch die Kombination dieser Technologien können Entwickler frühzeitig auf Bedrohungen reagieren, Angriffsvektoren besser nachvollziehen und gezielte Gegenmaßnahmen ergreifen.

Häufig werden Warnmeldungen in den Monitoring-Systemen eingestellt, sodass die Team-Mitglieder im Push-Prinzip über wahrscheinliche Vorfälle informiert werden. Dies kann zum Beispiel über Meldungen per E-Mail, per Teams- oder Slack-Message erfolgen. Das Monitoring und Incident Response sind im Digital Operational Resilience Act essenziell, da dies die operationale Widerstandsfähigkeit erhöht.

Hohe Testabdeckung und automatisierte Tests

DORA erfordert eine robuste Teststrategie, die sicherstellt, dass Änderungen keine negativen Auswirkungen auf die Produktionsumgebung haben. Auch die Softwarequalität wird durch eine hohe Testabdeckung unterstützt und ist in agilen Projekten wichtig.

Der Fachbereich sollte durch fachliche Akzeptanz-Test gewährleisten, dass die geforderte Fachlichkeit tatsächlich umgesetzt wurde. Aus Sicht der Softwareentwicklung ist es wünschenswert, dass diese Tests als Regressions-Test zur Sicherstellung der bestehenden Funktionalitäten automatisiert werden. Dies kann zum Beispiel durch die Verwendung von Cucumber erfolgen.

Auch Last-Tests und in regelmäßigen Abständen durchgeführte Penetrationstests müssen durchgeführt werden. Insbesondere Last-Tests können in den Deployment-Pipelines (nicht in der Produktionsumgebung) ausgeführt werden.

DORA-konforme Dokumentation aller Deployments

DORA verlangt eine detaillierte Dokumentation aller Änderungen an den IT-Systemen. So muss dann auch jeder Go-Live-Prozess vollständig dokumentiert werden. Dazu gehören Informationen wie der Zeitpunkt des Deployments, die beteiligten Personen, die durchgeführten Änderungen sowie Testergebnisse und Abnahmeprotokolle. Diese Dokumentation ist essenziell für die Nachverfolgbarkeit und regulatorische Compliance im Rahmen von DORA. Durch die automatische Erstellung von Changelogs für neue Versionen kann dieser Prozess Teilen durch die Softwareentwicklung unterstützt werden.

Konsistenz zwischen Staging- und Produktionsumgebungen

Mit der Konsistenz zwischen den verschiedenen Umgebungen in der Softwareentwicklung werden Fehler und Ausfälle in der Produktion minimiert. Angriffsvektoren können frühzeitig bereits in den Testumgebungen erkannt und behoben werden. In den Vor-Produktionsumgebungen durchgeführte Tests können einfach auf die Produktionsumgebung übertragen werden.

Artefakte, die in der Staging-Umgebung getestet wurden, müssen unverändert in die Produktion übernommen werden. Dies ist essenziell, um sicherzustellen, dass die getesteten und freigegebenen Versionen exakt den in der Produktion eingesetzten entsprechen. Änderungen an Artefakten nach der Testphase könnten zu unerwarteten Fehlern, Sicherheitsrisiken oder Inkonsistenzen zwischen den Umgebungen führen. Dies entspricht einem der wesentlichen Prinzipien der 12-Faktor-App und verhindert Fehler durch unkontrollierte Änderungen.

Fazit

Der Digital Operational Resilience Act stellt hohe Anforderungen an die digitale Widerstandsfähigkeit von Finanzinstituten. Laut einer Studie der Europäischen Zentralbank aus dem Jahr 2022 wird beleuchtet, wie sehr Finanzinstitute von Cyber-Angriffen betroffen sind, was die Notwendigkeit robuster Schutzmaßnahmen unterstreicht. Die Verordnung soll sicherstellen, dass Unternehmen diesen Bedrohungen mit klaren Prozessen und einer stabilen IT-Infrastruktur begegnen können. Besonders in der Softwareentwicklung sind zahlreiche Maßnahmen erforderlich, um die Einhaltung der Vorgaben sicherzustellen. Durch strukturierte Prozesse, hohe Testabdeckung und klare Sicherheitsrichtlinien kann gewährleistet werden, dass Unternehmen nicht nur regelkonform arbeiten, sondern auch ihre IT-Sicherheit und Betriebsstabilität nachhaltig verbessern. Eine Vielzahl der erforderlichen Maßnahmen unterstützen auch und insbesondere die Qualität der erstellten Software. DORA ist also nicht nur ein Selbstzweck, sondern unterstützt dabei, resiliente und sichere Systeme umzusetzen.

CONET ist Ihr Partner für digitale Resilienz und sichere IT-Prozesse

Mit fundierter Erfahrung in der Softwareentwicklung, IT-Sicherheit und der Umsetzung regulatorischer Vorgaben unterstützt CONET Unternehmen dabei, die Anforderungen des Digital Operational Resilience Act (DORA) zuverlässig zu erfüllen. Unsere Expertinnen und Experten bringen praxiserprobtes Know-how in Automatisierung, sichere Deployment-Prozesse und GitOps ein – für robuste, zukunftssichere IT-Lösungen.

Zu unseren Leistungen

Über den Autor

Foto: Markus May
Markus May
Manager Individual Software Development | Website

Markus May ist ein erfahrener Softwareentwickler, der seit 2017 bei CONET in der Softwareentwicklung arbeitet. Einen großen Teil dieser Zeit war er in der Versicherungsbranche tätig, mit besonderem Fokus auf Automatisierung, IT-Sicherheit und regulatorischen Anforderungen. Sein Steckenpferd sind Versionskontrolle, GitOps und automatisierte Tests. Durch seine praktische Erfahrung mit sicheren Entwicklungs- und Deployment-Prozessen trägt er dazu bei, dass seine Kunden den hohen Anforderungen der digitalen Widerstandsfähigkeit gerecht werden.

Tags:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert