Structured development of organisational cyber-resilience

Abstract

Die Häufigkeit und der Schaden, den Cyberangriffe auf Unternehmen weltweit verursachen, haben in den letzten Jahrzehnten erheblich zugenommen und stellen die größte Bedrohung für die Informations- und Kommunikationstechnologie (IKT) in der modernen digitalen Service-Welt dar. Europäische Organisationen in kritischen Sektoren unterliegen der Regulierung im Bereich der Cybersicherheit. Rechtsvorschriften wie der Digital Operational Resilience Act (DORA), die Network and Information Security Directive (NIS2) und die Richtlinien der Europäischen Bankenaufsichtsbehörde (EBA) regeln die Cybersicherheit in den betreffenden Institutionen. Organisatorische Rahmenwerke wie ISO2700X und ITIL4 dienen als Leitfaden für die Entwicklung von Cyber-Resilienz. In dieser Masterarbeit wird eine Projektplanvorlage für Finanzinstitute erstellt und bewertet, um die organisatorische Cyberresilienz zu entwickeln und das Risiko von Cyberbedrohungen und rechtlichen Sanktionen im Rahmen von DORA zu verringern. Die Projektplanvorlage ist auf der Grundlage allgemeiner organisatorischer Rahmenbedingungen und Vorschriften aufgebaut und bietet den Finanzinstituten eine Grundlage für die Koordinierung ihrer Cyber-Resilienzbemühungen im Hinblick auf DORA. Der Kontext dieser Projektplanvorlage für Cyberresilienz wird durch ein Interview mit Österreichs federführendem Umsetzer für DORA-Audits und Mitgestalter der DORA bei der Österreichischen Nationalbank (OeNB) sowie durch eine eingehende Analyse der unterschiedlichen Facetten von Resilienz näher beleuchtet. Diese Arbeit verwendet den ``Design Science''-Forschungsrahmen, der Literaturrecherche, Requirements Engineering, Artefakterstellung und qualitative Evaluierung durch analytische Überprüfung und Experteninterviews umfasst. Design Science erleichtert die praktische Anwendung der Ergebnisse in realen Umgebungen, zeigt die Relevanz und Anwendbarkeit der Arbeit im Feld und trägt so zum allgemeinen Bereich des Informationssicherheitsmanagements bei.

The prevalence and damage caused by cyber-attacks on companies worldwide have grown significantly over the last few decades, posing the greatest threat to Information and Communication Technology (ICT) in today's digital service world. European organisations in critical sectors are subject to regulation regarding cybersecurity. Laws, including the Digital Operational Resilience Act (DORA), the Network and Information Security Directive (NIS2), and the European Banking Authority (EBA) guidelines, are put in place to regulate the robustness of cybersecurity within corresponding organisations. Organisational frameworks such as the ISO2700X and ITIL4 generally guide cyber-resilience efforts.In this master thesis, a project plan template for financial institutions is constructed and evaluated to develop organisational cyber-resilience and reduce the risk of cyber threats and legal penalties under DORA. The project plan template is structured around common organisational frameworks and regulations, providing a basis for financial institutions to coordinate their DORA-related cyber-resilience efforts.The context of this cyber-resilience project plan template is further explored through an interview with Austria's lead implementer for DORA audits and contributor to DORA at the Austrian National Bank (OeNB) and an in-depth analysis of the facets of resilience.This thesis employs the design science research framework, which includes literature research, requirements engineering, artefact creation, and qualitative evaluation through analytical verification and expert interviews. Design science facilitates the practical application of the findings in real-world settings, demonstrating the relevance and applicability of this work to the field and thereby contributing to the broader field of information security management.