Übersicht: DORA-Konformität von imc Express

Die Digital Operational Resilience Act (DORA) stellt umfassende Anforderungen an die digitale operative Resilienz von Finanzunternehmen. imc Express erfüllt durch seine robuste Sicherheitsarchitektur und etablierten Compliance-Praktiken die wesentlichen DORA-Säulen.

1. ICT-Risikomanagement-Framework

ISO 27001 Zertifizierung als Fundament

  • Implementiert: Vollständiges Informationssicherheits-Managementsystem (ISMS)
  • Compliance-Relevanz: Erfüllt DORA-Anforderungen für strukturiertes ICT-Risikomanagement
  • Nachweis: Zertifiziertes Entwicklungsteam mit kontinuierlichen Sicherheitsschulungen

Definierte Sicherheitsprozesse

  • Security Incident Management: Strukturierte Prozesse nach ISO 27001 für Behandlung von Sicherheitsereignissen
  • Risikobewertung: Regelmäßige Identifikation und Bewertung von ICT-Risiken
  • Governance: Klare Verantwortlichkeiten und Eskalationswege implementiert

2. ICT-bezogenes Incident Management

Incident Response Framework

  • Strukturierter Ansatz: Definierte Prozesse für Sicherheitsereignisse im Rahmen von ISO 27001
  • Stakeholder-Kommunikation: Etablierte Verfahren zur Information aller Beteiligten
  • Präventive Maßnahmen: Systematische Analyse zur Verhinderung zukünftiger Incidents

Audit-Logging und Nachverfolgbarkeit

  • Umfassendes Audit-Log: Chronologische Aufzeichnung aller Systemaktivitäten
  • Kategorisierte Events: Detaillierte Protokollierung von Authentifizierung, Benutzer- und Projektmanagement
  • Compliance-Support: Vollständige Rückverfolgbarkeit für regulatorische Anforderungen

3. Digitale Operationale Resilienz-Tests

Regelmäßige Penetrationstests

  • Externe Expertise: Durchführung durch unabhängige Sicherheitsexperten
  • Vulnerability Assessment: Systematische Identifikation von Schwachstellen
  • Kontinuierliche Verbesserung: Regelmäßige Tests zur Stärkung der Abwehrmechanismen

Automatisierte Sicherheitsprüfungen

  • Code-Analyse: Automatische Überprüfung des gesamten Quellcodes auf Sicherheitslücken
  • Dependency-Scanning: Kontinuierliche Überwachung aller Abhängigkeiten auf bekannte Vulnerabilities
  • Container-Security: Automatische Überprüfung aller Container-Images vor Deployment

4. ICT-Drittanbieter-Risikomanagement

Sichere Cloud-Infrastruktur

  • AWS Frankfurt: Hosting in der EU-Region mit höchsten Sicherheitsstandards
  • Zertifizierte Infrastruktur: AWS-Compliance mit internationalen Standards (ISO, SOC)
  • Verschlüsselte Datenübertragung: Alle Schnittstellen zu Drittanbietern TLS-verschlüsselt

Dokumentierte Datenflüsse

  • Transparente Architektur: Vollständige Dokumentation aller Datenverarbeitungsprozesse
  • Subunternehmer-Management: Sichere und verschlüsselte Verbindungen zu allen Partnern
  • Risikobewertung: Regelmäßige Evaluation der Drittanbieter-Risiken

5. Betriebsausfallresilienz

Hochverfügbare Architektur

  • Kubernetes-Cluster: Automatische Failover-Mechanismen und Lastverteilung
  • Multi-Zone Deployment: Verteilung über mehrere Verfügbarkeitszonen in Frankfurt
  • Skalierbarkeit: Automatische Anpassung der Ressourcen bei Lastspitzen

Business Continuity Management

  • Automatisierte Backups: Häufige und routinemäßige Datensicherungen
  • Disaster Recovery: Etablierte Verfahren zur schnellen Wiederherstellung
  • Kontinuierliche Überwachung: 24/7 Monitoring der kritischen Systeme

DDoS-Schutz und Netzwerksicherheit

  • AWS Shield: Professioneller Schutz gegen Denial-of-Service-Angriffe
  • Web Application Firewall (WAF): Schutz vor Cyberangriffen wie SQL-Injection
  • Intrusion Detection: Containerisierte Sicherheitsarchitektur mit nativen Kubernetes-Tools

6. Datenschutz und Verschlüsselung

Ende-zu-Ende Verschlüsselung

  • Daten in Transit: TLS 1.3 mit AES-256-GCM Verschlüsselung
  • Daten at Rest: AES-256 Verschlüsselung für alle gespeicherten Daten
  • Key Management: Automatische Schlüsselrotation alle 12 Monate

GDPR-Compliance

  • Datenschutz by Design: Integrierte Datenschutzmaßnahmen in der Systemarchitektur
  • Benutzerrechte: Vollständige Unterstützung aller GDPR-Benutzerrechte
  • Mitarbeiterschulungen: Regelmäßige GDPR-Schulungen für das gesamte Entwicklungsteam

7. Kontinuierliche Verbesserung

Agile Security Development

  • DevSecOps: Sicherheit als integraler Bestandteil des Entwicklungsprozesses
  • Continuous Monitoring: Permanente Überwachung und Verbesserung der Sicherheitsmaßnahmen
  • Feedback-Integration: Systematische Einarbeitung von Sicherheits-Feedback in neue Releases

Proaktive Threat Intelligence

  • OWASP-Compliance: Berücksichtigung aller OWASP-Standards und Best Practices
  • Vulnerability Management: Proaktive Identifikation und Behebung von Sicherheitslücken
  • Security Updates: Sofortige Bereitstellung von Hotfixes bei kritischen Sicherheitsproblemen