logo lineofbiz

Von formaler Compliance zu echter Cyber-Sicherheit im FinanzsektorDORA ist auch eine Architekturfrage

30. März 2026
AdobeStock
Quelle. Adobe Stockphoto/Achelos

Die Anforderungen an die digitale Widerstandsfähigkeit von Banken und Versicherungen steigen. Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union einen verbindlichen Rahmen geschaffen, um IT-Risiken, Cyber-Angriffe und Abhängigkeiten von Drittdienstleistern zu adressieren. Doch regulatorische Konformität schafft nicht automatisch Sicherheit. Entscheidend ist, ob es Instituten gelingt, Governance, Technologie und operative Umsetzung zu einer konsistenten, beherrschbaren Sicherheitsarchitektur zu verbinden.

Die Bedrohungslage für den Finanz- und Versicherungssektor bleibt angespannt. Kaum eine Branche ist so regelmäßig Ziel professionell organisierter Cyber-Angriffe. Hohe Vermögenswerte, sensible Kundendaten, komplexe IT-Ökosysteme und eine starke Abhängigkeit von externen Dienstleistern erhöhen die Attraktivität für Angreifer erheblich. Ransomware, Datendiebstahl und Angriffe über die digitale Lieferkette gehören inzwischen zum realistischen Risikoszenario.

Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union darauf reagiert und einen verbindlichen regulatorischen Rahmen geschaffen. Ziel ist es, die digitale Widerstandsfähigkeit von Finanzunternehmen systematisch zu stärken. Risikomanagement von Informations- und Kommunikationstechnologie (IKT), technische Schutzmaßnahmen, strukturierte Vorfallbewältigung sowie eine strengere Steuerung von IKT-Drittdienstleistern sind nun regulatorische Pflicht für alle beaufsichtigten Finanzunternehmen in der Europäischen Union.

Viele Institute haben in den vergangenen Monaten erhebliche Anstrengungen unternommen, um diesen Anforderungen gerecht zu werden. Governance-Strukturen wurden geschärft, Richtlinien dokumentiert, Auslagerungsregister aufgebaut und Meldeprozesse definiert. Aus regulatorischer Sicht ist das ein wichtiger Schritt. Doch genau hier liegt ein oft unterschätzter Punkt:

Formale Compliance kann ein trügerisches Sicherheitsgefühl erzeugen. Digitale Resilienz entsteht nicht durch erfüllte Checklisten, sondern durch technisch beherrschbare Sicherheitsarchitekturen.

Resilienz entscheidet sich im operativen Betrieb

DORA definiert Anforderungen – ob daraus tatsächlich digitale Resilienz entsteht, entscheidet sich jedoch nicht im Dokumentationsordner, sondern im laufenden IT-Betrieb. Sicherheit muss technisch durchgängig implementiert, zentral steuerbar und dauerhaft auditierbar sein.

DORA prüft Strukturen und Prozesse. Angreifer hingegen testen technische Schwachstellen und operative Bruchstellen. Resilienz entscheidet sich in der Lücke zwischen formaler Struktur und operativer Umsetzung.

In der Praxis zeigt sich häufig ein differenziertes Bild: Während Governance und Reporting-Strukturen klar definiert sind, behindern teilweise historisch gewachsene Strukturen die technische Umsetzung. Kryptografische Schlüssel werden dezentral verwaltet, Zertifikate sind über verschiedene Systeme verteilt, Identitäts- und Berechtigungskonzepte sind nicht harmonisiert. In Cloud- und Drittumgebungen fehlt teilweise die Transparenz über sicherheitsrelevante Prozesse.

Solche Konstellationen sind nicht per se regelwidrig. Sie erhöhen jedoch die Komplexität – und damit das Risiko. Denn Resilienz bedeutet nicht nur, Maßnahmen implementiert zu haben, sondern sie im Ernstfall kontrollieren zu können. DORA verschiebt damit den Fokus weg von punktuellen Sicherheitsmaßnahmen, hin zu einer architektonisch konsistenten Sicherheitslandschaft.

Identität als zentrales Steuerungselement

Ein wesentlicher Baustein dieser Architektur ist die konsequente Ausrichtung an digitalen Identitäten. In modernen, hybriden Infrastrukturen ist der klassische Perimeter-Schutz kaum noch ausreichend. Systeme, Mitarbeitende, Dienstleister und Maschinen kommunizieren über Organisations- und Infrastrukturgrenzen hinweg.

Ein identitätszentrierter Sicherheitsansatz – häufig im Kontext von Zero Trust diskutiert – stellt sicher, dass jede Entität eindeutig authentifiziert und autorisiert wird. Zugriff wird nicht aufgrund eines Netzwerkstandorts gewährt, sondern auf Basis klar definierter Identitäts- und Berechtigungsregeln. Für Banken und Versicherungen bedeutet das: Identitätsmanagement ist ein zentrales Steuerungsinstrument für Sicherheit und Governance. Wer Identitäten nicht durchgängig kontrolliert, verliert die operative Kontrolle über seine Sicherheitsarchitektur.

Kryptografie muss beherrschbar sein

Ebenso zentral ist eine strukturierte und kontrollierte Kryptoinfrastruktur. Verschlüsselung schützt Daten vor unbefugtem Zugriff – doch sie entfaltet ihre Wirkung nur dann vollständig, wenn die zugrunde liegenden Schlüssel und Zertifikate zuverlässig verwaltet werden.

In vielen Organisationen sind auch kryptografische Strukturen historisch gewachsen. Unterschiedliche Anwendungen nutzen verschiedene Zertifikatsquellen, Erneuerungsprozesse erfolgen manuell, Transparenz über Ablaufdaten oder Abhängigkeiten ist begrenzt. Die Folgen können Betriebsunterbrechungen, Sicherheitslücken oder erschwerte Auditierungen sein. Kryptografie, die nicht zentral gesteuert wird, ist ein operatives Risiko.

Eine belastbare Sicherheitsarchitektur erfordert daher:

  • eine konsistente Public-Key-Infrastruktur als Vertrauensbasis,
  • automatisiertes Certificate Lifecycle Management,
  • zentral gesteuertes Key Management sowie
  • klare Prozesse für Generierung, Nutzung und Widerruf kryptografischer Schlüssel.

Drittanbieter, Cloud und die neue Schutzdimension

Mit der Auslagerung kritischer Funktionen in Cloud- und Plattformumgebungen verschiebt sich ein Teil der Wertschöpfung in externe Infrastrukturen. DORA trägt dieser Entwicklung Rechnung, indem es die Steuerung von IKT-Drittdienstleistern in den Mittelpunkt stellt.

Für Institute entsteht daraus eine doppelte Herausforderung: Einerseits müssen Risiken vertraglich und organisatorisch kontrolliert werden. Andererseits muss auch technisch nachvollziehbar bleiben, wie sensible Daten verarbeitet und geschützt werden.

Traditionelle Sicherheitskonzepte adressieren vor allem zwei Zustände: Daten im Ruhezustand („at rest“) und Daten während der Übertragung („in transit“). Moderne Verschlüsselungstechnologien decken diese Bereiche zuverlässig ab. In Cloud-basierten Szenarien gewinnt jedoch eine weitere Dimension an Bedeutung: der Schutz von Daten während der Verarbeitung („in use“).

Hier setzen Ansätze wie Confidential Computing an. Durch hardwarebasierte, isolierte Ausführungsumgebungen können Daten auch während ihrer aktiven Verarbeitung abgeschirmt werden – selbst gegenüber privilegierten Zugriffen auf Infrastrukturebene. In hochsensiblen Verarbeitungen – etwa bei kritischen Zahlungsprozessen – kann dies eine zusätzliche Schutzebene schaffen. Damit erweitert sich das klassische Schutzmodell um eine dritte Dimension: Sicherheit während der Nutzung. Für Institute mit hohen Schutzanforderungen kann dies einen entscheidenden Unterschied bedeuten. Dazu baut Confidential Computing auf der Sicherheitsarchitektur auf und erweitert sie dort, wo klassische Schutzmechanismen an strukturelle Grenzen stoßen.

DORA als Modernisierungstreiber

Richtig verstanden ist DORA daher nicht nur ein Compliance-Projekt. Die Verordnung wirkt vielmehr als Impulsgeber für eine strukturelle Modernisierung sicherheitskritischer Infrastrukturen. Institute, die digitale Resilienz strategisch angehen, betrachten ihre Sicherheitsarchitektur ganzheitlich und stellen sich den folgenden Fragen:

  • Sind Identitäten organisationsweit konsistent steuerbar?
  • Ist Kryptografie zentral kontrollierbar und auditierbar?
  • Besteht vollständige Transparenz über Zertifikate, Schlüssel und Abhängigkeiten?
  • Sind Cloud- und Drittverarbeitungen technisch nachvollziehbar abgesichert?

Erst wenn diese Fragen klar beantwortet werden können, wird aus regulatorischer Konformität eine belastbare Sicherheitsbasis. Wer DORA ausschließlich als regulatorische Pflichtübung versteht, vergibt die Chance zur strategischen Modernisierung der eigenen Sicherheitsarchitektur.

Umsetzung in der Praxis

Die Überführung regulatorischer Anforderungen in technisch konsistente Sicherheitsarchitekturen ist anspruchsvoll. Neben regulatorischem Verständnis erfordert sie tiefgehende Expertise in den Bereichen Identitätsmanagement, Kryptografie und sichere Infrastrukturen. Viele Institute greifen daher auf spezialisierte Partner zurück, die sowohl Architektur- und Reifegradanalysen als auch die Integration und den sicheren Betrieb entsprechender Lösungen begleiten.

Dr. Michael Jahnich ist Director Business Development bei der Achelos GmbH.

Achelos GmbH

Lesen Sie auch

medical equipment LoB Pixa fernandoZhiminaicela

Intelligente Cybersecurity ermöglicht enorme Effizienzsteigerung

medical equipment LoB Pixa fernandoZhiminaicela

BSI stellt Mängel fest

hacker LoB Pixa geralt

„360-Grad-Blick“ auf Sicherheit ist im digitalen Raum nötig