Industrie

Die Rolle von Digital Experience Assurance (DXA) im Digital Operational Resilience Act (DORA)

Von Ian Waters
| | 17 Minuten Lesezeit

Zusammenfassung

Mit dem Digital Operational Resilience Act (DORA) werden Maßnahmen für Widerstandsfähigkeit im Finanzsektor auf digitale Services ausgeweitet. In diesem Blog-Eintrag geht es um DORA, die sich daraus ergebenden Anforderungen und den Beitrag, den ThousandEyes innerhalb dieses Frameworks leisten kann.


An einem durchschnittlichen Tag nutzen wir mehrere Hundert – wenn nicht gar Tausende – digitale Services. Sowohl bei der Arbeit als auch im Privatleben ist die Digital Experience längst zu einem wichtigen Bestandteil geworden. Die innovativen modernen Applikationen von heute beruhen auf einem komplexen Ecosystem aus Verbindungen, Plattformen, APIs und Integrationen, die ineinandergreifen müssen, damit alles wie erwartet funktioniert.

Im Finanzsektor ist diese Tatsache präsenter als in den meisten anderen Branchen. Viele von uns interagieren inzwischen überwiegend digital mit Banken, Versicherungen und Handelsplattformen. Natürlich müssen deshalb in vielen Ländern Zweigstellen geschlossen werden, doch es ist kaum zu leugnen, dass die digitalen Services uns das Leben leichter machen. Heute würde es uns sehr umständlich erscheinen, für jede Überweisung erst zur nächsten Bankfiliale fahren zu müssen.

Da diese digitalen Services für Bankkunden so wichtig sind, müssen sie zuverlässige Leistung erbringen. Bei Problemen in diesem Bereich steht schnell der gute Ruf des Finanzinstituts unter Kunden und Gesetzgebern auf dem Spiel.

ThousandEyes kann auf langjährige Beziehungen zu vielen der weltweit führenden Unternehmen aus dem Finanzsektor zurückgreifen. Diese Unternehmen nutzen unsere Plattform als Assurance für die Digital Experiences, die sie für verschiedene Anwendungsfälle anbieten. Eine neue EU-Verordnung gibt nun vor, was künftig von Finanzinstituten hinsichtlich digitaler Abläufe und Widerstandsfähigkeit erwartet wird.

Ausblick auf den 17. Januar 2025

Im September 2020 hat die Europäische Kommission einen Entwurf für den Digital Operational Resilience Act (DORA) als Teil des Pakets zur Digitalisierung des Finanzsektors (Digital Finance Package, DFP) vorgelegt. Etwa zu dieser Zeit hatte Cisco gerade ThousandEyes übernommen, um sein Angebot im Bereich Digital Experience Monitoring (DEM) auszubauen. DORA soll einen einheitlichen Ansatz für Maßnahmen zur Stärkung der Sicherheit und Widerstandsfähigkeit im Finanzsektor schaffen. Die Verordnung betrifft mehr als 22.000 Unternehmen, die entweder selbst ihren Sitz in der EU haben oder in der EU Geschäfte tätigen.

Bei DORA geht es nicht nur um die finanzielle Widerstandsfähigkeit. Das Framework gilt auch für digitale Services und gibt neue Erwartungen für den Fall schwerwiegender Störungen im Betrieb vor, d. h. für Situationen, in denen Sicherheits- oder IT-Probleme die Bereitstellung der Services behindern. Von Finanzinstituten wird erwartet, dass sie die Verantwortung für die gesamte Digital Experience selbst übernehmen und Einblick in servicerelevante Probleme haben, wo auch immer diese auftreten.

Für die Umsetzung der Verordnung hat die EU einen Zeitrahmen von zwei Jahren ab dem 16. Januar 2023 vorgesehen. Die Vorgaben müssen somit spätestens ab dem 17. Januar 2025 erfüllt werden. Das heißt, ab diesem Datum wird von allen Finanzunternehmen, die ihren Sitz in der EU haben oder in der EU Geschäfte tätigen, DORA-Konformität erwartet. In Australien und den USA wurden ähnliche Auflagen für Unternehmen aus dem Finanzsektor eingeführt.

Externe IKT-Service-Provider

DORA gilt für mehr Unternehmen aus der Branche als die bisherigen Vorschriften. Erstmals sind auch neuere Akteure des Finanzsektors, wie Crowdfunding-Provider und Krypto-Asset-Service-Provider, mit inbegriffen. Sie alle müssen künftig bestimmte Erwartungen hinsichtlich Management, Tests und Berichterstattung zu Problemen mit Informations- und Kommunikationstechnik (IKT) erfüllen. Bemerkenswert ist bei DORA besonders der Fokus auf externe IKT-Service-Provider.

Provider von Cloud-Services und andere externe IKT-Service-Provider werden von der Verordnung mit abgedeckt. Die für die IT-Sicherheit zuständigen Teams aus Finanzinstituten, für die DORA gilt, müssen sich in Zukunft von der Widerstandsfähigkeit der von ihnen genutzten externen Service-Provider überzeugen. Dies ist nur im Rahmen einer engen Interaktion und Zusammenarbeit mit den Providern kritischer IKT-Services möglich – insbesondere bei für das Unternehmen wichtigen Services. DORA verlangt von den Unternehmen eine Aufschlüsselung dieser wichtigen Services mit den zugehörigen internen und externen Abhängigkeiten. Die entsprechenden Provider müssen also künftig bei Planung, Tests, Management und Berichterstellung berücksichtigt werden, was wiederum neue Ansätze für Digital Assurance und Transparenz erfordert.

Wir bei ThousandEyes setzen uns schon lange dafür ein, dass Unternehmen die Kontrolle über die gesamte Digital Experience übernehmen. Zu diesem Zweck bieten wir Einblicke und Transparenz für die verteilten digitalen Services. Auch wenn Ihnen nicht alle einzelnen Komponenten gehören, sind Sie dennoch verantwortlich für die User Experience mit diesen Komponenten. Da es inzwischen so gut wie unmöglich ist, sämtliche Komponenten selbst zu besitzen, stellt sich die Frage, wie Unternehmen ihre Systeme und Prozesse an die neuen Anforderungen anpassen können.

Die fünf wesentlichen Bereiche von DORA

Um die Bedeutung von DORA und die Rolle von ThousandEyes in diesem Zusammenhang besser zu verstehen, müssen wir uns die Verordnung näher ansehen. DORA hat fünf wesentliche Bereiche:

  1. IKT-Risikomanagement: Im Grunde wird von Unternehmen neben umfassenden Plänen für Business Continuity und Disaster Recovery ein ausfallsicheres IKT-Framework mit Monitoring, Identifizierung und Dokumentation verlangt, damit Anomalien schnell isoliert werden können.

  2. Management, Klassifizierung und Berichterstellung zu IKT-Vorfällen: Es müssen Prozesse vorhanden sein, mit denen IKT- Probleme ermittelt und protokolliert, schwerwiegende Fälle identifiziert sowie Erst-, Zwischen- und Abschlussberichte dazu mithilfe von Standardvorlagen erstellt werden können.

  3. Tests der digitalen betrieblichen Widerstandsfähigkeit: Unternehmen müssen ihre IKT-Tools und -Systeme jährlich testen, um Schwachstellen, Mängel oder Lücken zu ermitteln, zu behandeln und umgehend zu beseitigen.

  4. Risikomanagement hinsichtlich externer IKT-Service-Provider: Alle ausgelagerten Aktivitäten müssen im Rahmen eines von der EU vorgegebenen Frameworks registriert werden. Dies gilt insbesondere im Hinblick auf kritische externe IKT-Service-Provider. Die mit diesen Providern abgeschlossenen Verträge müssen den neuen Anforderungen genügen und es wird ein umfassender Monitoring-Ansatz für die Provider gefordert.

  5. Informationsaustausch: Im Finanzsektor ist es den Unternehmen erlaubt, Informationen miteinander zu teilen, insbesondere wenn es um Erkenntnisse und Informationen zu Bedrohungen in der Cybersicherheit geht.

Wie Sie vermutlich bemerkt haben, beziehen sich viele der oben genannten Punkte auf Monitoring, Tests, Ermittlung, Dokumentation und Berichterstellung zu IKT-Problemen mit dem Ziel, diese zu behandeln, Störungen zu vermeiden, eine schnelle Wiederherstellung zu gewährleisten und Verbesserungen vorzunehmen. In einer verteilten Umgebung, in der moderne Applikationen nicht ohne Netzwerke und Services funktionieren können, die außerhalb Ihrer Kontrolle liegen, stellt sich jedoch die Frage: Wo sollten Sie mit der Umsetzung dieser Vorgaben ansetzen? ThousandEyes Digital Experience Assurance kann in Ihrer Strategie zur Vorbereitung auf DORA und für die entsprechenden Prozesse eine wichtige Rolle übernehmen. Die ThousandEyes Plattform ist speziell darauf ausgelegt, Ihnen Einblicke in die Komponenten der Servicebereitstellung zu bieten, die Sie zwar dringend benötigen, die jedoch nicht unter Ihrer Kontrolle stehen. Zu diesem Zweck erstellen wir fortlaufend Baselines sowie Zuordnungen Ihres Netzwerks und der Netzwerke Ihrer wichtigsten externen IKT-Provider. Unser Ansatz ist datengesteuert, intuitiv und auf einen unkomplizierten Informationsaustausch zugeschnitten.

ThousandEyes und DORA

ThousandEyes kann in den fünf wesentlichen Bereichen von DORA als Teil Ihrer allgemeinen Strategie auf folgende Arten von Vorteil sein:

IKT-Risikomanagement

ThousandEyes ist eine SaaS-basierte Plattform für das Monitoring verteilter Servicebereitstellungsarchitekturen, die Einblicke in die gesamte Lieferkette für digitale Services bietet. Die ThousandEyes Agents testen Ihre wichtigsten Applikationen fortlaufend aus der User-Perspektive, damit Sie als Finanzinstitut IKT-Risiken proaktiv ermitteln und mindern können. Diese Agents berücksichtigen interne Netzwerke, Internetabhängigkeiten und Cloud-Services und liefern Ihnen damit einen umfassenden Überblick über potenzielle servicerelevante Probleme.

Bei Anomalien werden Ihre Teams von der Plattform entweder direkt oder über offene Integrationsstandards für andere Workflow-Systeme benachrichtigt. Dabei wird angegeben, auf welche mögliche Ursache die Hinweise hindeuten und wo das potenzielle Problem aufgetreten ist. Die Teams erhalten auch die erforderlichen Daten zur Dokumentation von servicerelevanten Problemen. Diese Tests können auch für andere Risikobereiche eingesetzt werden, beispielsweise für laufende Datenübertragungen, bei denen der Datenverkehr an unerwartete oder suboptimale Ziele weitergeleitet wird (BGP-Route-Hijacking im Internet), oder für Aspekte wie die Datensouveränität, bei der Sie gesetzlich dazu verpflichtet sind, zu jedem Zeitpunkt angeben zu können, wo sich Ihre Daten gerade befinden.

Management, Klassifizierung und Berichterstellung zu IKT-Vorfällen

Mit umfassenden Funktionen für Monitoring und Warnmeldungen kann ThousandEyes zur frühen Erkennung IKT-bezogener Vorfälle beitragen und eine effiziente Berichterstattung an Behörden ermöglichen. Die bereitgestellten detaillierten Analysen und Visualisierungen verdeutlichen das Ausmaß und die Auswirkungen von Vorfällen, was ebenfalls zu einer genauen, zeitnahen Berichterstattung beiträgt.

Auf der Plattform werden Daten zu den wichtigsten servicerelevanten Metriken angegeben. Sie erhalten Einblick in die Applikationsverfügbarkeit und in Aspekte wie Reaktionszeit, Durchsatz, Jitter, Latenz und Paketverlust. Für die Berichterstellung zu den wichtigsten KPIs können Sie Dashboards mit Ihren Grenzwerten erstellen. Alternativ können Sie Ihre Daten für andere Visualisierungsplattformen wie Splunk exportieren, da ThousandEyes den OpenTelemetry-Standard unterstützt. Auf diese Weise lassen sich die Daten mit anderen kombinieren, sodass eine kontextbezogene Ansicht der Integrität und Performance Ihrer Applikationen entsteht.

Die ThousandEyes Plattform ist Cloud-basiert. Das heißt, pro Tag werden mehrere Milliarden Datenpunkte aus weltweiten Quellen berücksichtigt. Daraus ergibt sich ein Überblick über den Zustand des globalen Internets, der Services großer Cloud- und SaaS-Provider sowie anderer grundlegender Bausteine zur Bereitstellung digitaler Services. Diese Datensätze werden Ihnen als Kunden über Internet Insights zur Verfügung gestellt. So können Sie beurteilen, ob nur Sie eine Serviceverschlechterung festgestellt haben oder ob es sich um ein generelles Problem handelt und wie weitreichend dieses Problem ggf. ist.

Tests der digitalen betrieblichen Widerstandsfähigkeit

ThousandEyes ist von Anfang an als moderne, globale Web-Scale-Plattform ausgelegt. Die zentrale Codebasis ermöglicht regelmäßige Updates und neue Funktionen, die allen Kunden sofort zur Verfügung gestellt werden. Es gibt also keine „veralteten“ Versionen und Kunden haben keinen Aufwand mit der Versionskontrolle. Unternehmen können auf der Plattform die Widerstandsfähigkeit ihrer Netzwerke und Applikationen gegenüber verschiedenen IKT-Störungen simulieren und testen. Dies kann im Rahmen regelmäßiger Tests der Widerstandsfähigkeit erfolgen, um potenzielle Schwachstellen und Engpässe bei der Performance zu ermitteln, die behoben werden müssen.

Viele der weltweit größten Finanzinstitute nutzen die Plattform bereits und vertrauen uns ihre Daten an. Der Support erfolgt direkt auf der Plattform durch qualifizierte Techniker:innen, die rund um die Uhr per Chat erreichbar sind und Ihnen helfen, servicerelevante Probleme zu ermitteln und zu beheben und Sie zu beraten. ThousandEyes betreibt eine separate EU-Region und ist nach EU Cloud Code of Conduct Level 3 sowie nach ISO 27018 und 27701 zertifiziert.

Risikomanagement hinsichtlich externer IKT-Service-Provider

Eines der wichtigsten Nutzenversprechen von ThousandEyes ist die Möglichkeit zum Management der Servicebereitstellungsperformance auch bei Netzwerken, die sich außerhalb Ihrer Kontrolle befinden. Zu diesem Zweck werden automatisch Einblicke zu externen IKT-Service-Providern wie Internet-Service-Providern, Cloud-Providern, CDNs, DNS, DDoS-Abwehrservices, SaaS-Providern, API-Gateways und Zahlungsanbietern erfasst, wenn diese Provider auf dem Pfad zwischen unseren Agents und den für Sie wichtigen Applikationen liegen.

Diese Transparenz der Performance und Verfügbarkeit von externen IKT-Services ermöglicht das Management und die Beseitigung von Risiken im Zusammenhang mit externen Abhängigkeiten – ein Aspekt, der gut zu den DORA-Vorgaben zum Monitoring von Risiken bei externen Providern passt, die sich nicht auf die betriebliche Widerstandsfähigkeit auswirken sollen. Betriebsteams erhalten die benötigten Daten, um Problemursachen in für die Servicebereitstellung unverzichtbaren Netzwerken zu ermitteln und sich Einblick in die Performance wichtiger Provider im zeitlichen Verlauf zu verschaffen. Diese Informationen können sie für Review-Meetings, Bewertungen von Anbietern und das SLA-Management nutzen.

Darüber hinaus können Finanzinstitute ihre wichtigsten Provider – beispielsweise Internet-Service-Provider in entscheidenden Regionen oder auch neue Cloud-Provider, Cloud-Regionen und regionale Paare – testen, bevor sie neue Services implementieren oder Workloads zur Cloud migrieren. Auf diese Weise wird ein datengesteuerter Ansatz für das Monitoring und die Berichterstellung bei größeren Migrationen und Änderungen vor, während und nach der Implementierung möglich.

Und schließlich ist die Plattform offen und über unsere REST-basierte API, Webhooks oder OpenTelemetry erweiterbar. So können Kunden ihre Testdaten mit Daten aus anderen Quellen kombinieren, zum Beispiel mit Plattformen für das Management der Application Performance wie Splunk oder AppDynamics, um eine umfassendere Observability-Strategie verfolgen zu können.

Informationsaustausch

ThousandEyes unterstützt die unternehmensübergreifende Zusammenarbeit an gemeinsamen servicerelevanten Problemen. Daher sind alle von ThousandEyes erfassten Vorfälle teilbar. Zum Teilen werden Sharelinks verwendet – eine interaktive Ansicht eines relevanten Ereignisses über einen bestimmten Zeitraum (bis zu 48 Stunden) hinweg. Diese Sharelinks werden dauerhaft gespeichert. Sie ermöglichen eine nachträgliche Analyse und Anzeige von Problemen mit Applikationen, Netzwerken und dem Internet-Routing-Layer. Auf der Plattform können Sie diese Ansicht der Vorfälle intern oder extern teilen, damit alle Beteiligten mit derselben datengesteuerten Ansicht arbeiten.

Fazit

DORA stellt für Finanzunternehmen einen wesentlichen Antrieb dar, sich der Herausforderung der digitalen Servicebereitstellung innerhalb einer dezentralisierten Architektur für verteilte User anzunehmen. ThousandEyes ist als Plattform für Digital Experience Assurance für genau diese neue Realität konzipiert. Kunden nutzen unsere Plattform schon heute, um sich einen umfassenden Überblick über die Digital Experience ihrer User bei den für Unternehmen inzwischen unverzichtbaren Applikationen zu verschaffen. ThousandEyes kann Finanzinstituten helfen, die komplexen Anforderungen der DORA-Compliance zu erfüllen. Dafür bieten wir erweiterte Funktionen für Monitoring, Tests und Risikomanagement an. Diese Tools tragen zur Einhaltung der gesetzlichen Bestimmungen bei und verbessern zudem die betriebliche Widerstandsfähigkeit von Unternehmen aus dem Finanzsektor gegenüber den sich ständig wandelnden IKT-Bedrohungen und -Herausforderungen.


Wenn Sie mehr darüber erfahren möchten, wie ThousandEyes Ihnen helfen kann, sich auf DORA vorzubereiten (oder ganz allgemein auf die neuen Anforderungen an Assurance für ein digitales Unternehmen), können Sie sich gerne an Ihren Cisco Partner oder das Cisco Account Team wenden und um einen Termin mit einer Expertin bzw. einem Experten von ThousandEyes bitten.

Upgrade your browser to view our website properly.

Please download the latest version of Chrome, Firefox or Microsoft Edge.

More detail