Java spielt eine wichtige Rolle bei der DORA-Compliance

Seit dem 17. Januar 2025 ist die EU-Verordnung über digitale operationale Resilienz im Finanzsektor (DORA) verbindlich in Kraft getreten. In diesem Kontext spielt Java eine entscheidende Rolle bei der DORA-Compliance.

Mit dem Digital Operational Resilience Act (DORA) möchte die EU sicherstellen, dass Finanzinstitute Cyberrisiken effektiv managen. Die Verordnung betrifft Banken, Zahlungsdienstleister, Investmentfirmen, Versicherungen sowie ICT-Dienstleister, die mit diesen Unternehmen kooperieren. Obwohl sich DORA primär auf Unternehmen innerhalb der EU konzentriert, hat sie auch Auswirkungen auf internationale Finanzunternehmen, die Geschäftsbeziehungen mit der EU unterhalten. Viele Unternehmen sind jedoch nicht ausreichend vorbereitet: Laut einer McKinsey-Studie gehen nur 31 Prozent der Finanzdienstleister davon aus, alle DORA-Anforderungen bis Januar 2025 erfüllt zu haben. Bei Verstößen drohen Bußgelder von bis zu zwei Prozent des Jahresumsatzes, Lizenzentzug und Reputationsverluste. Die Umsetzung von DORA ist daher eine Herausforderung, die nicht zu unterschätzen ist.

Java ist die bevorzugte Programmiersprache im Finanzsektor

Sie macht mehr als die Hälfte des Software-Codes in der Branche aus und spielt daher eine zentrale Rolle bei der Umsetzung der DORA-Vorgaben. Veraltete oder nicht-unterstützte Java-Versionen stellen dabei ein erhebliches Risiko dar. Viele Unternehmen verwenden immer noch Versionen wie Oracle JDK 6 und 7, die keine Sicherheits-Updates mehr erhalten. Das macht sie besonders anfällig für Cyberangriffe. Der aktuelle State of DevSecOps-Report zeigt, dass 90 Prozent der Java-Dienste mindestens eine schwere Sicherheitslücke aufweisen. Ein prominentes Beispiel für diese Problematik ist die Log4Shell-Schwachstelle, die Ende 2021 in der Log4j-Bibliothek entdeckt wurde. Diese Sicherheitslücke, die weltweit 80 Prozent der Unternehmen betraf – und auch heute bei vielen Unternehmen noch nicht vollständig geschlossen ist – verdeutlicht die Dringlichkeit, Java-Umgebungen kontinuierlich zu aktualisieren und zu sichern. Zudem erschwert die Nutzung unterschiedlicher Java-Versionen innerhalb eines Unternehmens das Sicherheitsmanagement erheblich.

Fünf Schritte zu einer sicheren Java-Umgebung

DORA definiert fünf zentrale Bereiche, die Finanzdienstleister umsetzen müssen – mit direkten Auswirkungen auf Java-Umgebungen:

1. Zunächst ist das ICT-Risikomanagement essenziell, um Sicherheitsrisiken durch veraltete Software zu vermeiden. Unternehmen sollten alle eingesetzten Java-Versionen und -Abhängigkeiten systematisch inventarisieren, um Schwachstellen zu identifizieren und gezielt zu beseitigen. Dies erfordert eine klare Priorisierung der Aktualisierung veralteter Versionen, da diese oft die größten Risiken für Cyberangriffe darstellen. Der Wechsel zu supporteten Java-Versionen gewährleistet, dass Sicherheitsupdates regelmäßig bereitgestellt werden und bekannte Schwachstellen schnell geschlossen werden können.
    
2. Ein weiterer wichtiger Aspekt ist die Meldung von ICT-bezogenen Sicherheitsvorfällen. Finanzdienstleister müssen Systeme einsetzen, die Sicherheitsvorfälle kontinuierlich protokollieren, klassifizieren und analysieren. Monitoring-Systeme sollten Schwachstellen in Echtzeit erkennen und automatisch Berichte erstellen, um die schnelle Behebung zu ermöglichen. Besonders effektiv sind Schwachstellenscanner, die direkt in die Java Virtual Machine (JVM) integriert werden. Diese Scanner können nicht nur bekannte Sicherheitslücken identifizieren, sondern auch versteckte Risiken aufdecken, die durch komplexe Abhängigkeiten innerhalb der Java-Umgebung entstehen können. Ein umfassendes Monitoring muss sowohl in der Entwicklungs- als auch in der Betriebsphase erfolgen, um potenzielle Schwachstellen frühzeitig zu erkennen und zu adressieren.
    
3. Regelmäßiges Testen der digitalen operationalen Resilienz ist notwendig, um sicherzustellen, dass ICT-Systeme resilient und sicher funktionieren. Unternehmen sollten Testumgebungen schaffen, die die Produktionsumgebungen möglichst genau nachbilden, um realistische und verlässliche Ergebnisse zu erzielen. Diese Tests decken nicht nur Sicherheitslücken auf, sondern ermöglichen es auch, die Belastbarkeit und Stabilität der Systeme unter verschiedenen Szenarien zu überprüfen. Moderne Java-Versionen bieten hier eine entscheidende Grundlage, da sie über verbesserte Sicherheitsmechanismen und Testfunktionen verfügen, die speziell für die Herausforderungen heutiger ICT-Umgebungen entwickelt wurden.
    
4. Das Management von Drittanbieter-Risiken erfordert, dass alle Partner innerhalb der ICT-Lieferkette strenge Sicherheitsstandards einhalten und zertifizierte Java-Distributionen nutzen. Finanzdienstleister müssen sicherstellen, dass ihre Partner nicht nur mit modernen und sicheren Technologien arbeiten, sondern auch transparente Prozesse zur Verwaltung und Minimierung von Risiken einsetzen.
    
5. Ein zentraler Bestandteil dieses Risikomanagements ist der regelmäßige Austausch von Informationen über Cyberbedrohungen. Dies trägt dazu bei, potenzielle Gefahren frühzeitig zu erkennen und gemeinsam Gegenmaßnahmen zu entwickeln. Der Einsatz zertifizierter Java-Distributionen hilft dabei, relevante Bedrohungsinformationen schnell miteinander zu teilen und erhöht so bei allen Partnern die Konsistenz und Sicherheit innerhalb der Lieferkette.

Mehr Resilienz durch sichere Java-Umgebungen

Die Umsetzung der DORA-Vorgaben stellt für Finanzdienstleister eine Herausforderung dar, bietet jedoch auch die Chance, ihre Cybersicherheit nachhaltig zu verbessern. Eine sichere und kontinuierlich überwachte Java-Umgebung ist ein zentraler Baustein, um den IT-Betrieb DORA-konform zu gestalten. Indem Unternehmen proaktiv Schwachstellen schließen, auf supportete Java-Distributionen setzen und ihre Systeme regelmäßig prüfen, können sie nicht nur Strafen vermeiden, sondern auch ihre Widerstandsfähigkeit gegen Cyberangriffe erhöhen. Dies bietet einen entscheidenden Wettbewerbsvorteil in einer zunehmend digitalen Welt.