Configuration Management in Banken: DORA-konforme Resilienz und Best Practices 2026

von | Juli 24, 2022 | Analysen | 0 Kommentare

Configuration Management in Banken

In der hochkomplexen und regulierten IT-Landschaft von Banken ist ein effektives Configuration Management (CM) nicht nur eine Best Practice, sondern eine absolute Notwendigkeit. Angesichts der zunehmenden Cyberbedrohungen und der Einführung des Digital Operational Resilience Act (DORA) in der Europäischen Union, der ab Januar 2025 vollständig anwendbar ist, hat sich die Bedeutung von CM für Finanzinstitute nochmals drastisch erhöht. CM ist der Prozess, der die Konsistenz, Integrität und Nachvollziehbarkeit der Konfigurationen aller IT-Assets über ihren gesamten Lebenszyklus hinweg sicherstellt. Im Jahr 2026 ist CM der Schlüssel, um Stabilität, Compliance und die geforderte digitale operationale Resilienz zu gewährleisten.

Die zentrale Rolle des Configuration Managements in der Banken-IT

Banken operieren mit einer Vielzahl von IT-Systemen, Anwendungen, Netzwerken und Infrastrukturkomponenten, die alle präzise konfiguriert und verwaltet werden müssen. Jede Fehlkonfiguration kann weitreichende Folgen haben, von Systemausfällen über Sicherheitslücken bis hin zu Compliance-Verstößen. Configuration Management bietet hier einen strukturierten Ansatz, um diese Risiken zu minimieren.

Kernaufgaben des Configuration Managements:

  • Identifikation und Dokumentation: Erfassung aller Konfigurationselemente (CIs) und ihrer Attribute.
  • Baseline-Management: Definition und Pflege von genehmigten Konfigurations-Baselines.
  • Versionskontrolle: Nachverfolgung von Änderungen an Konfigurationen.
  • Audit und Verifizierung: Überprüfung der Konfigurationen auf Übereinstimmung mit Baselines und Richtlinien.
  • Reporting: Bereitstellung von Informationen über den Konfigurationsstatus.

Traditionell konzentrierte sich CM oft auf die Stabilität und die Vermeidung von Fehlern. Mit DORA rückt jedoch die digitale operationale Resilienz in den Vordergrund, was eine Erweiterung des CM-Ansatzes erfordert.

DORA und Configuration Management: Eine untrennbare Verbindung

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die darauf abzielt, die digitale operationale Resilienz des europäischen Finanzsektors zu stärken. Sie verpflichtet Finanzinstitute, robuste Rahmenwerke für das Management von IKT-Risiken zu implementieren und ihre Fähigkeit zu verbessern, auf IKT-bezogene Störungen und Bedrohungen zu reagieren, sich davon zu erholen und sich davor zu schützen [1]. Configuration Management ist dabei ein fundamentaler Baustein zur Erfüllung vieler DORA-Anforderungen.

Wie CM zur DORA-Compliance beiträgt:

  1. IKT-Risikomanagement (DORA Art. 5): Ein umfassendes CM-System ermöglicht es Banken, ihre IKT-Umgebung transparent zu machen. Durch die genaue Kenntnis aller Konfigurationen können potenzielle Schwachstellen und Abhängigkeiten identifiziert und bewertet werden. Dies ist entscheidend für die Entwicklung eines effektiven IKT-Risikomanagement-Rahmenwerks, das DORA vorschreibt [2].
  2. Management von IKT-Vorfällen (DORA Art. 17): Im Falle eines IKT-Vorfalls ist eine schnelle und präzise Reaktion unerlässlich. CM-Daten liefern die notwendigen Informationen über den Zustand der betroffenen Systeme vor dem Vorfall, ermöglichen eine schnellere Ursachenanalyse und unterstützen die Wiederherstellung auf eine bekannte, sichere Konfiguration [3].
  3. Tests der digitalen operationalen Resilienz (DORA Art. 21): DORA verlangt regelmäßige Tests der IKT-Systeme, einschließlich Penetrationstests und Schwachstellenanalysen. CM stellt sicher, dass die Testumgebungen den Produktionsumgebungen entsprechen und dass die Testergebnisse auf konsistente Konfigurationen angewendet werden können. Zudem hilft es, die Auswirkungen von Änderungen zu bewerten, bevor sie in die Produktion gelangen [4].
  4. Management des IKT-Drittparteienrisikos (DORA Art. 28): Banken sind zunehmend von externen IKT-Dienstleistern abhängig. CM muss auch die Konfigurationen und Abhängigkeiten dieser Drittparteien umfassen, um das Risiko in der Lieferkette zu managen. Dies beinhaltet die Überwachung der Konfigurationsstandards von Dienstleistern und die Sicherstellung, dass diese den eigenen Resilienz-Anforderungen entsprechen [5].
  5. Informationsaustausch (DORA Art. 45): DORA fördert den Austausch von Informationen über Cyberbedrohungen und Schwachstellen. Ein gut gepflegtes CMDB (Configuration Management Database) kann relevante Konfigurationsdaten bereitstellen, um solche Informationen effektiv zu nutzen und eigene Systeme proaktiv zu schützen.

Best Practices für ein DORA-konformes Configuration Management 2026

Um den Anforderungen von DORA gerecht zu werden und die digitale operationale Resilienz zu maximieren, sollten Banken folgende Best Practices im Configuration Management implementieren:

Best Practice Beschreibung DORA-Relevanz
Automatisierung von CM-Prozessen Einsatz von Tools für automatische Erkennung, Baseline-Erstellung und Konfigurationsüberwachung, um manuelle Fehler zu reduzieren und die Geschwindigkeit zu erhöhen. Effizientes IKT-Risikomanagement, schnelle Reaktion auf Vorfälle.
Integrierte CMDB Eine zentrale, aktuelle und zuverlässige Configuration Management Database als Single Source of Truth für alle IKT-Assets und deren Konfigurationen. Transparenz für Risikobewertung, Incident Response und Audit.
Immutable Infrastructure Infrastrukturkomponenten werden nach der Bereitstellung nicht mehr verändert, sondern bei Bedarf durch neue, korrekt konfigurierte Instanzen ersetzt. Erhöhte Stabilität, vereinfachte Wiederherstellung, reduzierte Drift.
Security by Design in CM Sicherheitsaspekte werden von Anfang an in die Konfigurationsprozesse integriert, z.B. durch sichere Standardkonfigurationen und regelmäßige Sicherheitsprüfungen. Stärkung der Cyber-Resilienz, Prävention von Sicherheitsvorfällen.
Regelmäßige Audits und Compliance-Checks Kontinuierliche Überprüfung der Konfigurationen auf Einhaltung interner Richtlinien und externer regulatorischer Anforderungen (DORA). Nachweis der Compliance, frühzeitige Erkennung von Abweichungen.
Umfassendes Drittparteien-CM Erweiterung des CM auf IKT-Dienstleister und deren Konfigurationen, um das Risiko in der Lieferkette zu managen. Erfüllung der DORA-Anforderungen an das Drittparteienrisiko.
Integration mit Incident & Change Management Nahtlose Verknüpfung von CM-Daten mit Prozessen für Incident Response und Change Management zur Verbesserung der Reaktionsfähigkeit und Kontrolle. Effektives Management von IKT-Vorfällen, kontrollierte Änderungen.

Herausforderungen bei der Implementierung

Trotz der klaren Vorteile stehen Banken bei der Implementierung eines DORA-konformen Configuration Managements vor Herausforderungen:

  • Komplexität der IT-Landschaft: Heterogene Systeme, Legacy-Anwendungen und Cloud-Umgebungen erschweren eine einheitliche CM-Strategie.
  • Datenqualität: Die Pflege einer genauen und aktuellen CMDB erfordert erhebliche Anstrengungen und Prozesse.
  • Kultureller Wandel: Die Notwendigkeit einer disziplinierten Konfigurationsverwaltung muss in der gesamten Organisation verankert werden.
  • Automatisierung: Die Implementierung von Automatisierungstools erfordert Fachwissen und Investitionen.

Fazit: Configuration Management als Fundament digitaler Resilienz

Im Jahr 2026 ist Configuration Management mehr denn je das Rückgrat der digitalen operationalen Resilienz von Banken. Es ist nicht länger eine rein technische Disziplin, sondern ein strategischer Imperativ, der direkt zur DORA-Compliance und zur Minimierung von IKT-Risiken beiträgt. Durch die Implementierung von Best Practices, die Automatisierung von Prozessen und die Integration von CM in ein umfassendes IKT-Risikomanagement-Framework können Finanzinstitute ihre Stabilität, Agilität und vor allem ihre Widerstandsfähigkeit gegenüber den ständig wachsenden digitalen Bedrohungen stärken. Ein proaktives und DORA-konformes Configuration Management ist somit unerlässlich für den langfristigen Erfolg im digitalen Bankensektor.

Referenzen

  1. EIOPA: Digital Operational Resilience Act (DORA)
  2. Fortra: The Ultimate Guide to DORA Compliance for the Financial Sector
  3. Invicti: DORA Compliance Checklist: How to Prepare for the Digital Operational Resilience Act
  4. Regulation DORA: DORA Banking Sector Guide
  5. BMC: The Digital Operational Resilience Act (DORA) Explained
Jens

Dr. Jens Bölscher ist studierter Betriebswirt mit Schwerpunkt Wirtschaftsinformatik. Er promovierte im Jahr 2000 zum Thema Electronic Commerce in der Versicherungswirtschaft und hat zahlreiche Bücher und Fachbeiträge veröffentlicht. Er war langjährig in verschiedenen Positionen tätig, zuletzt 14 Jahre als Geschäftsführer. Seine besonderen Interessen sind Innovationen im IT Bereich.