DORA

DORA-Rettungsanker: Automatisierte Tests

DORA-Rettungsanker: Automatisierte Tests

DORA: Ein Marathon, kein Sprint

Von Roman Zednik, Field CTO bei Tricentis

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) in Kraft. Ohne nationale Umsetzungsgesetze gilt die Verordnung direkt und einheitlich in allen EU-Mitgliedstaaten. Für die Finanzbranche beginnt damit eine neue Ära, in der die Messlatte für digitale Resilienz deutlich höher liegt: DORA fordert mehr als punktuelle Maßnahmen. Finanzinstitute müssen Risiken im Bereich der Informations- und Kommunikationstechnologie systematisch identifizieren, bewerten und minimieren. Sie müssen schwerwiegende Vorfälle melden, regelmäßige Stresstests durchführen und die Stabilität ihrer Systeme unter Belastung sicherstellen. Ebenso wichtig ist es, Risiken durch Drittanbieter wie IT-Dienstleister oder Cloud-Provider kontinuierlich zu überwachen.

Roman Zednik, Field CTO bei Tricentis

Das Ziel ist klar, doch der Weg ist anspruchsvoll. Denn Compliance mit DORA ist kein Zustand, den man erreicht und abhaken kann – es ist ein dynamischer Prozess, der ständige Wachsamkeit und Anpassungsfähigkeit verlangt. Besonders herausfordernd ist es, die Anforderungen in den Alltag der betroffenen Unternehmen zu integrieren. In Deutschland haben bisher nur wenige Finanzinstitute alle Vorgaben vollständig umgesetzt . Das ist wenig überraschend, da sogar die Aufsichtsbehörden um die Komplexität wissen. Sie erwarten jedoch konkrete Umsetzungspläne, die zeigen, dass die Firmen handeln. Generell bedeutet das Zeitdruck: Sie müssen die Grundanforderungen zügig erfüllen und gleichzeitig Strategien entwickeln, um den steigenden Standards gerecht zu werden.

Wie kann ein risikobasierter Ansatz dabei unterstützen?

Zielführend ist hier ein risikobasierter Ansatz – Ressourcen dort einsetzen, wo man sie wirklich braucht: Statt Zeit und Geld gleichmäßig auf alle Systeme zu verteilen, liegt der Fokus darauf, die größten Risiken für Ausfälle oder Angriffe zu identifizieren – und gezielt dort anzusetzen. Dieser Ansatz verleiht der DORA-Compliance Substanz, senkt Kosten und stärkt die Resilienz. Ein oberflächliches Abarbeiten der Vorgaben reicht unserer Meinung nach nicht. Entscheidend ist, Schwachstellen konsequent zu analysieren und zu entschärfen. Egal, ob durch Penetrationstests bei kritischen Anwendungen oder durch regelmäßige Überprüfung der Sicherheitsprotokolle von Cloud-Dienstleistern – Priorisierung ist der Schlüssel zu einem effektiven Schutz.

Automatisierte Tests als Compliance-Beschleuniger

Genau hier spielen automatisierte Software Tests ihre Stärke aus: Sie überprüfen Änderungen an geschäftskritischen Systemen sofort und zuverlässig, ohne dass ein Mensch jeden Schritt einzeln anstoßen oder überwachen muss. End-to-End-Tests stellen sicher, dass Prozessketten reibungslos funktionieren – vom Kunden-Login bis zur Backend-Verarbeitung – und dokumentieren Schwachstellen in Echtzeit. Diese werden direkt in Incident-Management-Systeme eingespeist, was Zeit spart und Verantwortlichen einen klaren Überblick verschafft.

Auch bei Belastungsspitzen zeigt sich ein weiterer Nutzen: Neben automatisierten Funktionaltests können automatische Lasttests durch simulierte Szenarien wie den Kundenansturm zu Wochenbeginn, wenn hunderte Nutzer gleichzeitig auf ihre Bankkonten zugreifen, das Geschäftsrisiko deutlich reduzieren. So lassen sich Engpässe verhindern, und die Systeme bleiben stabil – selbst unter Druck. Automatisierung erleichtert zudem die Einhaltung strenger Anforderungen an das Incident Reporting. Fehler werden automatisch dokumentiert und priorisiert, sodass Unternehmen schnell reagieren können.

Aufholstrategie für DORA-Nachzügler

Wer eine nachhaltige Strategie verfolgen will, um die Compliance-Lücke zu schließen, sollte folgende Maßnahmen setzen:

  • Regelmäßige automatisierte Tests gezielt in kritischen Bereichen integrieren.
  • Ressourcen auf die größten Schwachstellen konzentrieren – dort, wo Ausfälle oder Angriffe den größten Schaden anrichten könnten.
  • Schulungen einplanen, die das IT-Sicherheitsbewusstsein auf allen Ebenen anheben.
  • Sicherheit von Anfang an als festen Bestandteil des Entwicklungszyklus etablieren.
  • Proaktiver Austausch mit Regulierungsbehörden, um Fortschritte zu dokumentieren.

Fazit: Automatisierte Tests als Fundament für digitale Resilienz

DORA fordert, aber es fördert auch – Finanzunternehmen, die den Weg zur Compliance ernsthaft beschreiten, legen die Grundlage für eine belastbare und zukunftsfähige IT-Landschaft. Dazu gehören automatisierte Tests. Sie sind kein Nice-to-have, sondern die Basis, um sich in einem immer komplexeren regulatorischen Umfeld zu behaupten – ohne Ressourcen zu verschwenden.

Über Tricentis

Tricentis ist ein weltweit führender Anbieter von Continuous Testing und Quality Engineering. Das KI-basierte, Continuous-Testing-Portfolio von Tricentis bietet eine neue und grundlegend andere Art, Softwaretests durchzuführen – durchgängig automatisiert, vollständig codelos und intelligent durch KI gesteuert. Der Ansatz eignet sich sowohl für die agile Entwicklung als auch für komplexe Enterprise-Anwendungen und ermöglicht es Unternehmen, die Geschwindigkeit von Software-Releases zu erhöhen, Kosten zu senken, die Software-Qualität zu verbessern und ihre digitale Transformation zu beschleunigen. Tricentis wurde von allen wichtigen Analysten der Branche, einschließlich Forrester, Gartner und IDC, als einer der führenden Anbieter von Softwaretests für DevOps, Cloud- und Unternehmensanwendungen anerkannt. Tricentis hat mehr als 3.000 Kunden, darunter die größten Marken der Welt, wie McKesson, Accenture, Allianz, Telstra, Dolby und Vodafone.