Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

DORA Kapitel III

IKT-Vorfälle beherrschen, klassifizieren und meldefähig machen.

Ein wirksamer Vorfallprozess verbindet technische Erkennung, fachliche Bewertung, regulatorische Klassifizierung, Eskalation und Lessons Learned. Art. 18 DORA definiert die Meldeanforderungen an nationale Aufseher.

Disclaimer: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA IKT-Vorfälle dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

  • IKT-Vorfallsmanagement nach Art. 18 DORA ist dokumentiert, getestet und an das Meldewesen angebunden; Initialmeldung bei meldepflichtigen Vorfällen erfolgt innerhalb von maximal 4 Stunden.
  • Vorfallstaxonomie und Klassifizierungskriterien (Major/Significant/Minor) sind definiert und konsistent angewendet; Meldeentscheidungen sind nachvollziehbar dokumentiert.
  • Schnittstellen zu Informationssicherheit, IT-Betrieb, Krisenmanagement, Compliance und Drittdienstleistern sind vertraglich und prozessual geregelt.
  • Lessons-Learned-Prozess stellt sicher, dass jeder Vorfall zu identifizierten Verbesserungsmaßnahmen führt; Umsetzung wird überwacht und reportet.

Sollzustand

  • Erkennung (Art. 18 Abs. 1): Automatisierte Erkennung durch SIEM, IDS/IPS, EDR, Monitoring-Systeme; manuelle Meldewege für Mitarbeitende; 24/7-SOC-Verfügbarkeit für kritische Systeme.
  • Dokumentation und Klassifizierung (Art. 18 Abs. 2): Einheitliche Vorfallstaxonomie; Klassifizierung nach Schweregrad (Major/Significant/Minor) mit quantitativen und qualitativen Kriterien; dokumentierte Meldeentscheidung mit Begründung.
  • Bewertung und Eskalation: Fachliche Bewertung durch IT-Security und Fachbereich; Eskalation an Krisenstab bei Major-Vorfällen; Aktivierung von Business Continuity bei erheblichem Betriebsunterbruch.
  • Meldung (Art. 18 Abs. 3): Meldepflichtige Vorfälle werden der zuständigen Aufsichtsbehörde (BaFin/Bundesbank) innerhalb von 4 Stunden initial gemeldet; regelmäßige Updates gemäß Meldeanforderungen.
  • Nachbearbeitung: Ursachenanalyse (Root Cause Analysis), Impact-Bewertung, Remediation-Plan mit Fristen und Verantwortlichen; Abschlussbericht mit Lessons Learned.
  • Kontrollverbesserung: Ableitung von Verbesserungsmaßnahmen für Richtlinien, Prozesse, Technologie und Schulung; Umsetzungskontrolle durch internes Audit oder Compliance.

Umsetzungsschritte

  • 1. Vorfallstaxonomie erstellen: Einheitliche Kategorien (z. B. Malware, DDoS, Datenpanne, Insider, Supply-Chain, Naturkatastrophe); Zuordnung zu DORA-Klassifizierung Major/Significant/Minor.
  • 2. Klassifizierungskriterien definieren: Quantitative Kriterien (Anzahl betroffener Nutzer, Ausfallzeit, Datenverlust-Volumen) und qualitative Kriterien ( regulatorische Relevanz, Reputationsrisiko, Kundenimpact).
  • 3. Meldeprozess designen: Rollen (First Responder, Incident Commander, Meldeverantwortlicher), Fristen (Initialmeldung 4h, Updates 24h/72h), Eskalationsstufen, Freigabeprozesse, Kommunikationskanäle.
  • 4. IT-Integration: Anbindung von SIEM, Ticketing, EDR an Vorfallmanagement-Workflow; automatisierte Klassifizierungsvorschläge; Erinnerung und Eskalation bei Fristen.
  • 5. Schnittstellen definieren: Absprache mit IT-Betrieb (Wiederherstellung), Informationssicherheit (Containment), Compliance (Meldung), Kommunikation (externe Kommunikation), Recht (rechtliche Bewertung), Drittdienstleister (Unterstützung).
  • 6. Schulung und Übung: Halbjährliche Tabletop-Übungen für Major-Vorfall-Szenarien; jährliche Schulung aller Vorfallverantwortlichen; Simulation der Meldekette.
  • 7. Lessons-Learned-Prozess etablieren: Nach jedem Major/Significant-Vorfall: Retrospektive, Ursachenanalyse, Maßnahmenableitung, Umsetzungsverfolgung, Review nach 6 Monaten.
  • 8. Dokumentation und Audit: Vorfall-Tickets, Klassifizierungsentscheidungen, Meldungen, Eskalationsprotokolle, Ursachenanalysen, Remediation-Pläne und Lessons-Learned sind revisionssicher archiviert.

Typische Lücken & ISO/IEC 27001-Verbindung

  • Unklare Klassifizierung: fehlende einheitliche Kriterien führen zu unterschiedlichen Meldeentscheidungen; Abhilfe: dokumentierte Klassifizierungsmatrix mit quantitativen und qualitativen Schwellen.
  • Fristen nicht eingehalten: manuelle Prozesse, fehlende Erinnerungen; Abhilfe: automatisierte Workflow-Engine mit Eskalation bei Fristenüberschreitung.
  • Schnittstellen nicht definiert: Kommunikationsprobleme zwischen IT, Compliance und Fachbereich; Abhilfe: RACI-Matrix und definierte Kommunikationskanäle pro Vorfallstyp.
  • Lessons Learned nicht umgesetzt: wiederholende Vorfälle aufgrund fehlender Kontrollverbesserung; Abhilfe: Pflichtmaßnahmen nach jedem Major-Vorfall mit Frist und Verantwortlichem.
  • ISO/IEC 27001:2022: A.5.24 Planung und Vorbereitung auf Informationssicherheitsvorfälle, A.5.25 Bewertung und Entscheidung über Informationssicherheitsvorfälle, A.5.26 Reaktion auf Informationssicherheitsvorfälle, A.5.27 Lernen aus Informationssicherheitsvorfällen, A.8.15 Protokollierung, A.8.16 Überwachung von Aktivitäten.

Nachweise

  • Incident-Tickets mit Klassifizierungsentscheidung und Begründung.
  • Eskalationsprotokolle mit Zeitstempeln und Verantwortlichen.
  • Meldungen an Aufseher (Initial, Updates, Abschluss) mit Freigaben.
  • Ursachenanalyse (Root Cause Analysis) und Impact-Bewertung.
  • Remediation-Plan mit Fristen, Verantwortlichen und Status-Updates.
  • Lessons-Learned-Dokumentation und abgeleitete Kontrollverbesserungen.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Steuerungsrahmen für Vorfallsplanung, -reaktion, -bewertung und kontinuierliches Lernen.

  • A.5.24 Planung und Vorbereitung auf Informationssicherheitsvorfälle
  • A.5.25 Bewertung und Entscheidung über Informationssicherheitsvorfälle
  • A.5.26 Reaktion auf Informationssicherheitsvorfälle
  • A.5.27 Lernen aus Informationssicherheitsvorfällen
  • A.8.15 Protokollierung
  • A.8.16 Überwachung von Aktivitäten

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung