Resilienz in der IT durch EU DORA und NIS2 – Begriff, Zusammenhang und Historie

Resilienz. Es klingt zunächst wie ein weiteres Buzzword, etwas nach Nachhaltigkeit und fast ein wenig esoterisch. Dabei ist der Begriff alles andere als neu. Ich weiss noch genau, wann ich ihn zum ersten Mal im Kontext IT gelesen habe: Im Jahr 2008 war ich frisch als IT-Leiter in einem börsennotierten Energiekonzern zu Gange und hatte den klaren Auftrag, gezielte Redundanz und die Absicherung von wertschöpfenden Prozessen durch die IT umzusetzen.

An sich waren das genau meine Themen, wodurch ich aus meiner Erfahrung schöpfen konnte – doch dann las ich in einem Fachartikel zum Thema Governance die begriffliche Kombination „IT Continuity & Business Resiliency Management“. Als jemand, der lieber mehr als ein Backup anlegt und tatsächlich Freude am Prüfen von Logdateien hat, war es quasi sofort um mich geschehen. Denn was sich hinter dem Wort Resilienz verbarg, eröffnete mir den Blick auf das große Ganze, noch bevor die IT in den Folgejahren mit der Ära der Smartphones, Apps und Mobile-First Ansätze ganz einfach jedes Business durchdringen sollte.

Resilienz – Begriff und Historie

Zunächst ist der Begriff keine neue Schöpfung und hat auch nichts mit IT zu tun. Vielmehr hat er seinen historischen Ursprung in der Widerstandsfähigkeit und somit vor allem in der Medizin. Um nicht zu weit auszuholen, zitieren wir einfach den ersten Wikipedia Eintrag aus dem Jahr 2001:

Lebende Systeme können innere und äussere Gegebenheiten niemals vollständig beherrschen. Sie müssen daher in der Lage sein, Abweichungen (Fehler) auszugleichen. Sie müssen fehlertolerant, fehlerfreundlich sein. Resilienz: Die Fähigkeit des Stehaufmännchens.

– ein Satz, mehr nicht. Und er bringt es ziemlich gut auf den Punkt. In 2009 war der Umfang kein anderer, jedoch wurde die Aussage etwas geschärft:

(…)Fachausdruck, der in verschiedenen Wissenschaftsdisziplinen unterschiedlich verwendet wird und allgemein die Toleranz eines Systems gegenüber Störungen beschreibt.

Mehr musste ich damals nicht wissen, um meinen vom Vorstand erteilten Auftrag auch unter diesem Aspekt auszuführen. Es ging seitdem für mich nicht mehr nur um Datensicherungen, Nachvollziehbarkeit von Änderungen oder Ausfallsicherheit – ich wollte das Unternehmen gegen Störungen aller Art absichern und hatte mit dem Neubau der Firmenzentrale zwei Jahre später die einmalige Chance, auf einer faktisch grünen Wiese all das umzusetzen, was mich 2008 noch durch den Altbau einschränkte. Jeder Bereich sollte arbeitsfähig bleiben, egal wo etwas ausfällt, gewartet wird oder Updates eingespielt werden.

Resilienz und Wirtschaft: Das Ökosystem Europa und der Einfluss von Krisen

Wenn man von der Wirtschaftskrise 2008 einmal absieht, gab es in den Folgejahren eigentlich nichts, worüber man sich besonders beschweren konnte – erst 2018 kam durch die EU-DSGVO ein Thema auf die Bühne, welches dem unaufhaltbaren Siegeszug der Digitalisierung einen Dämpfer verpasste. Denn plötzlich gab es Regeln und eine sprichwörtliche Grundordnung für die Verarbeitung von personenbezogenen Daten, die Einfluss auf fast alle Prozesse, Cloud-Projekte und Verträge hatte. Kaum gemeistert, zerriss die Covid19-Krise viele Lieferketten, die Chipkrise kam, Fabriken schlossen ihre Türen, Grenzen waren unpassierbar und selbst 2022, als es langsam nach Normalität roch, begann der Krieg in der Ukraine. Man muss kein Wirtschaftsweiser sein, um klar zu bekennen: Die aktuelle Zeit hat immer mehr Krisen, globale Verwerfungen und damit Herausforderungen zu bieten, welche jedes Unternehmen treffen kann – und faktisch trifft. Dieser Satz ist vor allem Kontext von Hacker-Angriffen und Cybersecurity-Maßnahmen zu hören: „Es ist nicht die Frage, ob es einen erwischt, sondern wann“. Um es ganz genau zu sagen, müsste man sogar „und vielleicht ist es schon gestern geschehen“ hinzufügen. Gründe für das Thema Resilienz gibt es also ausreichend und quasi „wie am Fließband“.

Resilienz und Verordnungen – Branchen, Kontext, Ausblick

Besonders die sogenannten KRITIS-Branchen, bspw. Finanz- und Versicherungsunternehmen, aber auch Gesundheitswesen und Energiewirtschaft sind gute Beispiele für Wirtschaftszweige, welche besonders mit Anforderungen gesetzlicher Natur konfrontiert sind. KRITIS als Schlagwort in der deutschen Umsetzung der Anforderungen aus der EU-Richtlinie NIS1 des Jahres 2016, wurde 2022 durch NIS2 sekundiert. Der Fokus von NIS liegt seit jeher auf dem Risikomanagement und der Cybersecurity, wobei NIS2 vor allem die Ausweitung auf weitere Branchen, wie bspw. Post- und Kurierdienste sowie die Lebensmittelbranche umfasst.

Der spezielle Fokus auf Resilienz, und die damit verbundene „in aller Munde“ Wahrnehmung liegt jedoch an EU DORA – dem „Digital Operational Resilience Act“. Da ist sie nun, die EU-Verordnung mit dem Schlüsselwort im Namen, welche primär auf Unternehmen der Finanz- und Versicherungsbranche abzielt. Primär deshalb, da immer mehr Unternehmen, welche man so gar nicht auf dem Schirm hat, Dienstleistungen in diesem Bereich erbringen und nun handeln müssen. Dabei führt die Verordnung zunächst vor allem IT Risiken und Resilienzmaßnahmen im Bereich der Cybersecurity an. Doch wer genauer hinsieht – oder sich in seiner beruflichen Umgebung damit auseinandersetzt – stellt fest: Es steckt tatsächlich Business Resilience dahinter. Denn IT ist, wie eingangs erläutert, aus keinem Geschäftsprozesse mehr wegzudenken, rauszuhalten oder eine entscheidbare Option. IT ist überall. Wo sie ausfällt, bleiben Prozesse stehen und so das Business. DORA beinhaltet weitere Details und Anforderungen, welche teils sehr spezifisch sind – zum Beispiel die Durchführung von Penetration Tests und Code Analysen – und über diesen Artikel hinausgehen, jedoch exakt auf die im vorherigen Absatz aufgeführten Risiken der Cybersecurity abzielen. Genau das zeigt also, wie wichtig bereits die grundlegende Auseinandersetzung mit Resilienz ist, da solch weiterführende Disziplinen sonst ins Leere greifen würden. Es ist ein wenig wie die Sicherung gegen stürmisches Wetter: Wo keine Vorkehrungen getroffen werden, reicht schon eine leichte Brise. Und als Verordnung bringt DORA direkte Anwendbarkeit, sie muss nicht erst wie die Richtlinie NIS2 in nationales Recht überführt werden.

EU DORA – Cheat Sheet, versteckte Challenges, Zeitschiene

Nutzen wir den aktuellen Fokus auf EU DORA also, um ein paar wirklich wichtige, oft übersehene Aspekte der Business Resilience zu beleuchten und vorbereitende Punkte zu klären – denn so manches Unternehmen hat vielleicht schon mehr davon geschafft, als man denkt!

1. Risikoappetit – auch fernab der Lebensmittelbranche

Wer mit mir arbeitet, kommt an diesem Wort nicht vorbei. Dabei handelt es sich weder um ein Kunstwort, noch eine Schöpfung meinerseits. Der Begriff ist in einem der führenden Governance-Frameworks, COBIT, fest verankert – und zieht sich seit der ersten Version in den 90er Jahren, als COBIT in der IT-Revision der Finanzbranche geboren wurde, wie ein roter Faden durch jedes Audit. Dabei ist die Bedeutung recht einfach erklärt: Jedes Unternehmen hat mit Risiken zu tun. Manche kann man mitigieren (vermeiden, behandeln, reduzieren), andere muss man tragen (zu teuer, in der Natur der Sache, unverhältnismäßiger Aufwand). Doch zu wissen, wieviel Toleranz, hier „Appetit“, das Unternehmen besitzt, verträgt und tolerieren kann, wurde vielerorts schlicht und ergreifend nie betrachtet. Dies ist jedoch unabdingbar und sollte mindestens einmalig durchgeführt werden, bevor man sich mit dem Thema Resilienz auseinandersetzt. Wie sonst sollte man wissen, gegen welche Risiken und Einflussfaktoren man diese Widerstandsfähigkeit entwickeln könnte?

DORA führt das IKT Risikomanagement in Kapitel II als erste klare Forderung auf – und nennt es bereits in den ersten Passagen der Verordnung plakativ das „übergeordnete Prinzip“.

2. Transparenz – nicht immer beliebt, jetzt unverzichtbar

Über Risiken zu sprechen, führt fast automatisch zu Transparenz. Sie fest- und oftmals auszuhalten, ist für viele Unternehmen Neuland – darum sei dringend empfohlen, keinen Beauty-Contest zu starten. In jeder Abteilung, jedem Unternehmensteil und Prozess gibt es Potentiale, Probleme, Sorgen und Schwierigkeiten. Wer hier nicht ehrlich ist und Transparenz als bewusste Auseinandersetzung für die Optimierung der Resilienz begreift, gerät schnell auf eine theoretische Bahn der gefühlten, nicht wirklich vorhandenen Zustände. Und diese tragen meist genau dann nicht, wenn es darauf ankommt. Gewinner ist, wer jetzt realisiert, dass Transparenz als Paradedisziplin und Beschleuniger ein echter Hebel sein kann.
DORA führt das Thema Transparenz u.a. in Form der Kapitel III (Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle) und Kapitel IV (Testen der digitalen operationalen Resilienz) an.

3. Prozesse – mehr als Fähigkeiten und Diagramme

Irgendwo sind Prozesse immer dokumentiert. Ganz vorne: Powerpoint, Excel oder vielleicht wirklich ein BPM-Tool. Oft reicht die Dokumentation von einem Audit zum nächsten und verschwindet wieder in der Schublade, Neudeutsch: Sharepoint. Dabei kann hier ein echter Vorsprung entstehen: Wo Unternehmen die Geschäftsfähigkeiten für alle sichtbar aufzeigen, Zusammenhänge und unterstützende Prozesse transparent machen und Fachbereiche verstanden haben, dass sie ohne die passende IT-Unterstützung nicht überleben können, entsteht eine echte Ende-zu-Ende Sicht. Und diese geht weit über eine Liste, Diagramme oder Toolsilos hinaus. Hier kann das Enterprise Architecture Management wertvoll unterstützen, da es die gesamte Architektur von Business bis IT betrachtet und bei der Analyse bzw. Berichterstattung hilft.
DORA führt das Thema Prozesse und IT-Unterstützung u.a. in Kapitel V (Management des IKT-Drittparteienrisikos) an.

4. IT – Fachabteilungen & Dienstleister als Schlüssel

Fast nirgendwo sind Gräben so tief wie zwischen Fachabteilungen und IT – dazu kommen häufig Dienstleister und Cloud-Provider, von denen man vor allem die Rechnungen kennt. Wo die Daten liegen, und welcher Fachbereich auf was angewiesen ist, bleibt meist verborgen. Doch auch hier stecken echte Chancen: Wer Brücken baut und miteinander arbeitet, plant und umsetzt, braucht keine Buzzwords wie DevOps oder Tools und Schulungen. Richtig starke Fachbereiche, die mit der IT schnell, resilient und vorausschauend arbeiten und ihre Drittanbieterbezüge im Griff haben, durfte ich selbst erleben. Oft war dies in produzierenden, zeitkritisch aufgestellten Unternehmen mit Produktionsstraßen der Fall, in welchen nicht diskutiert – sondern einfach gemacht wird und man tatsächlich vermeiden möchte, dass etwas schiefgeht. Ein gut gemanagtes Konzentrationsrisiko vermeidet dabei, zu stark auf einen Anbieter zu setzen.

DORA führt das IKT-Drittparteienrisiko als besonderen Fokusbereich an, wodurch die genannten Verantwortungen interner Parteien implizit enthalten sind. Das Aufzeigen der Bereiche und ihrer individuellen Nutzung von IKT Diensten ist zudem fester Bestandteil des zu pflegenden Informationsregisters.

5. Architektur – das Zusammenspiel managen

Das Enterprise-Architecture-Management (EAM) wurde viele Jahre, wenn nicht Jahrzehnte, durch Tools und komplizierte Frameworks definiert. Hunderte Menschen gingen auf TOGAF-Schulungen, meinten mit dem neuesten EAM-Tool endlich den heiligen Gral der Business-IT-Value gefunden zu haben und versenkten Millionen in das nächste Architekturprojekt. Doch seit einigen Jahren ist klar: Nur ein EA-Ansatz, der quer durch das Unternehmen getragen wird und dabei „von Oben“ ebenso gewünscht wie unterstützt ist, bringt wirklich den Hebel in Richtung Steuerungsfähigkeit.

DORA führt das Thema Architektur im Artikel 6 zum Kontext IKT-Risikomanagementrahmen als IKT-Referenzarchitektur an und fordert über das Informationsregister die Vorhaltung entsprechender Dokumentation. Viele Banken kennen die Anforderung zur Architekturdokumentation zur Sicherstellung der Resilienz bereits aus der VAIT Novelle der BaFin aus dem Jahr 2022 – hier zeigt sich wieder: Wer hier früh aktiv wurde, den erschreckt auch DORA nicht. Denn auch das Führen eines zentralen Registers kritischer bzw. wesentlicher Anwendungen als Baustein im Risikomanagement und der Berichterstattung war schon vor 2 Jahren Teil der Forderungen. Nun gilt es, bis Ende des Jahres damit fertig zu werden – denn die Übergangsfrist für DORA endet bereits im Januar 2025.

Resilienz konkret: Welche Szenarien kann man sich merken und wie wahrscheinlich sind sie?

Oft werde ich gefragt, wie wahrscheinlich welche Situationen konkret sind und wie man ihnen unter Einbezug der beschriebenen Maßnahmen begegnen kann. Nehmen wir also an, ein Unternehmen hat es bis 2025 geschafft und steht tatsächlich gut da, hat Resilienzmaßnahmen umgesetzt und es ist soweit – die nächste Krise steht an. Dazu 3 Beispiele:

A. Datenverarbeitung mit einem Drittland oder Anbieter unter neuen vertraglichen Grundlagen

Wie zuletzt 2019 im Kontext Schrems-II kann es quasi jeden Moment wieder zu rechtlichen Entscheidungen kommen, welche laufende Projekte oder etablierte Prozesse zum Stillstand bringen. Wer jetzt klar eingrenzen kann, welche Technologien, Services und Provider unter den aktuellen Entscheid fallen, kann anders, schneller und effizienter reagieren. Ich habe es 2019 selbst in einem großen Cloud Projekt erlebt und es herrschte, milde ausgedrückt, einfach nur Panik. Als Berater war ich zum Glück Teil der Lösungsfindung, nicht des Problems. Flexibel sein und auf Standards setzen hilft, sich von einem Anbieter auch wieder lösen zu können – oder idealerweise in einem Verbund von Anbietern seine bezogenen Services neu auszurichten.

B. Jog4J 2.0: Zentrale Komponente der IT ist nicht mehr sicher, fällt aus oder muss abgelöst werden

Ende 2021 war es fast einmal soweit – „Das Internet ist kaputt“, scherzten einige – „Ohje, wo haben wir das denn im Einsatz?“, seufzten andere. In der Medizinbranche ist das Managen der digitalen Zutatenliste längst Anforderung internationaler Behörden und Zulassungsverfahren. Wem es nicht gelingt, Komponenten, Middleware, Kaufprodukte und Softwaremodule schnell und übergreifend zu identifizieren, wird vom nächsten Hackerangriff nicht verschont bleiben und seine Cybersecurity-Versicherung nicht behalten. Spezialisierte Beratungshäuser und Anbieter von Penetration Tests können dabei helfen, sich von „guten Hackern“ auf den Zahn fühlen zu lassen – also wie bei der Hauptuntersuchung eines Autos.

C. Politische oder gesellschaftliche Krise globalen Ausmaßes (bspw. Krieg, Währungskrise oder Lieferketten)

Ganz gleich ob Pandemie, verstopfter Ärmelkanal oder die nächste Präsidentschaftswahl – der Status Quo war noch nie so brüchig wie heute. Wer dies im Blick behält und die Komposition von Geschäftsfähigkeiten im Kontext von Drittanbietern, internationalen Bezügen und Datenaustausch über das eigene Netzwerk hinaus betrachtet, ist komplett anders aufgestellt als jene Unternehmen, welche plötzlich nicht mehr an ihr bekanntes Gegenüber herantreten können. Bilden Sie Szenarien, gewichten Sie diese, planen Sie Fälle aus und iterieren Sie mehrmals pro Jahr. Die nächste Krise ist nur eine Frage der Zeit und wird Ihre Resilienz testen!

Schlusswort

Wir können also festhalten: Resilienz im Digitalbereich ist heute so viel mehr als das, was noch vor 20 Jahren bekannt war. Aktuelle Verordnungen wie DORA, Richtlinien wie NIS2 und unsere globalisierte, von Krisen erschütterte Welt mit voneinander abhängigen Ökosystemen erfordert es, sich stets mit dem Thema der Widerstandsfähigkeit auseinander zu setzen. Resilienz betrifft Stromnetze, Zahlungsdienstleister, IT-Abteilungen und Risikomanager gleichermaßen – wer weiss, wo sein Risiko liegt und den individuellen Appetit kennt, ist gut vorbereitet. Lassen Sie sich hier nur nicht von den Werbeversprechen der Toolhersteller blenden, denn jeder Anbieter versucht, seine Lösung als Eckstein der Resilienz zu verkaufen. Schenken Sie daher den Dienstleistern Betrachtung, die mit einem Teamansatz antreten und Tool-agnostisch denken. Denn für Befindlichkeiten ist hier kein Platz.

Philipp Schneidenbach

Philipp Schneidenbach ist Experte auf den Gebieten Enterprise Architecture, Governance, Risk und Compliance. In seiner derzeitigen Position bei Materna vereint er die Erfahrung aus mehr als 25 Jahren Beratung und Linienverantwortung in verschiedenen Industriezweigen und Märkten. Als Autor, Researcher und Speaker engagiert er sich unter anderem in Organisationen und Berufsverbänden wie der IEEE, ISACA und MoreThanDigital.