DORA

DORA: Neue Spielregeln für die digitale Resilienz im Finanzsektor

, Veeam | Autor: Herbert Wieler

DORA: Neue Spielregeln für die digitale Resilienz im Finanzsektor

Von Andre Troskie, EMEA Field Chief Information Security Officer, Veeam

Kaum eine Branche ist so streng reguliert wie die Finanzwelt. Und das hat seinen Grund: Banken, Versicherer und Zahlungsdienstleister gehören zur kritischen Infrastruktur und sind daher ein bevorzugtes Ziel für Cyberangriffe und Betrugsversuche. Jede neue Regulierung muss deshalb nicht nur wirksam, sondern auch lückenlos sein.

Andre Troskie, EMEA Field Chief Information Security Officer

Mit dem Digital Operational Resilience Act (DORA) hat die EU Anfang des Jahres ein weiteres, wichtiges Regelwerk eingeführt. Ziel: Finanzinstitute und ihre Dienstleister sollen besser vorbereitet sein, Cyber-Bedrohungen standzuhalten und sich schneller davon zu erholen. Konkret geht es um Incident-Reporting, die Kontrolle von Drittanbietern und regelmäßige Resilienz-Tests. Doch ein halbes Jahr später zeigt eine Umfrage ein ernüchterndes Bild: 96 Prozent der Finanzdienstleister geben zu, dass sie ihre Widerstandsfähigkeit noch verbessern müssen, um DORA-konform zu sein.

Warum kommen Unternehmen ins Straucheln – und was bringt sie wirklich voran?

Wenn Security-Teams am Limit sind

Eine der größten Nebenwirkungen von DORA ist die zusätzliche Last für ohnehin überlastete IT- und Security-Teams. 41 Prozent der Unternehmen nennen genau das als größte Herausforderung. Angesichts des Fachkräftemangels und der hohen Stressbelastung in der Branche überrascht es kaum, dass Burnout inzwischen weit verbreitet ist. DORA darf diese Situation nicht verschärfen. Unternehmen sollten daher nicht versuchen, die Vorgaben als „weiteres Pflichtprojekt“ abzuhaken. Der klügere Weg: Resilienz ganzheitlich denken.

Ein Ansatz dafür sind Data Resilience Maturity Models (DRMMs). Statt Compliance isoliert zu betrachten, wird DORA hier in einen größeren Plan eingebettet. Das entlastet die Teams – und stärkt gleichzeitig die gesamte Datenresilienz.

Ohne Tests bleibt alles Theorie

Ein weiterer Knackpunkt: das Testen. Laut Umfrage haben ein Viertel der Unternehmen noch keine Wiederherstellungs- oder Kontinuitätstests etabliert. Fast ebenso viele haben gar nicht erst mit Resilienztests begonnen. Das ist riskant – um nicht zu sagen: fahrlässig. Denn ohne Tests bleibt offen, ob die Systeme im Ernstfall tatsächlich standhalten. Natürlich ist der erste Test oft ernüchternd. Fehler, die aufgedeckt werden, sind selten angenehm. Aber gerade darin liegt der größte Mehrwert: Nur wer testet, erkennt Schwachstellen und kann gezielt nachbessern.

Und DORA schreibt genau das vor. Noch wichtiger: Härtetests schaffen Vertrauen – intern wie extern –, dass man im Ernstfall nicht unvorbereitet dasteht.

Die unterschätzte Abhängigkeit von Drittanbietern

Die vielleicht größte Herausforderung liegt bei den Drittanbietern. Über ein Drittel der Unternehmen nennt sie als den kritischsten Punkt, und 20 Prozent haben sich noch gar nicht damit beschäftigt.

Das Problem: Viele unterschätzen, wie abhängig sie von externen Partnern sind. Im Schnitt sind es 88 Anbieter pro Unternehmen – eine Zahl, die in den meisten Resilienzstrategien nicht vorkommt. Jede dieser Verbindungen ist ein potenzielles Einfallstor. Früher verließen sich viele Finanzunternehmen darauf, dass ihre Dienstleister „schon abgesichert“ seien. Doch DORA verlangt mehr: klare Verantwortlichkeiten, transparente SLAs und im Zweifel neue Vertragsverhandlungen. Dafür müssen Security-, Risiko-, Rechts- und Management-Teams zusammenarbeiten. Ein Kraftakt, ja – aber unverzichtbar, wenn echte Resilienz erreicht werden soll.

Fazit: Resilienz braucht Zeit – und Ehrlichkeit

DORA-Compliance lässt sich nicht von heute auf morgen abhaken. Der Weg ist holprig und erfordert Geduld. Aber: Wer DORA nicht als lästige Pflichtübung sieht, sondern als Teil eines übergeordneten Resilienzprogramms, wird am Ende gestärkt dastehen.

Der erste Schritt ist, sich ehrlich zu fragen:

  • Wo liegen die Schwachstellen im Unternehmen?
  • Wie widerstandsfähig sind unsere Zulieferer wirklich?
  • Vertrauen wir unseren Schutzmaßnahmen, weil wir sie regelmäßig testen?

Die Antworten mögen unbequem sein – aber sie sind die Grundlage für DORA-Compliance, nachhaltige Datensicherheit und die Sicherung der Geschäftsfähigkeit.