Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > DORA und ICT-Risikomanagement: Ein Praxisleitfaden für Finanzinstitute

DORA und ICT-Risikomanagement: Ein Praxisleitfaden für Finanzinstitute

von Danielle Barbour updated Juni 18, 2026 Regulatorische Compliance
Lesezeit: 8 Minuten

Der Digital Operational Resilience Act (DORA) ist eines der umfassendsten Rahmenwerke für das Management von ICT-Risiken in der modernen Finanzregulierung. Er verpflichtet Unternehmen dazu, eine robuste Cyber-Resilienz über das gesamte Technologie-Ökosystem hinweg nachzuweisen. Im Gegensatz zu früheren Ansätzen schafft DORA einheitliche Standards für das Management von operationellen Sicherheitsrisiken, die Meldung von Vorfällen, das Management von Drittparteirisiken und bedrohungsorientierte Penetrationstests.

Dieser Leitfaden zeigt, wie Organisationen die Anforderungen von DORA an das ICT-Risikomanagement durch praxisnahe Governance-Frameworks, technische Architekturen und messbare Ergebnisse umsetzen können. Während die Einhaltung gesetzlicher Vorgaben die Basis bildet, geht der strategische Anspruch über das Erfüllen von Mindeststandards hinaus: Ziel ist es, tatsächlich resiliente Abläufe zu schaffen, die Kundendaten schützen, die Geschäftskontinuität sichern und den Wettbewerbsvorteil erhalten.

DORA gilt für Banken, Versicherungen, Investmentfirmen, Anbieter von Krypto-Assets und kritische Drittanbieter von ICT-Dienstleistungen in der gesamten EU. Der risikobasierte Ansatz der Regulierung verlangt von den Institutionen, angemessene Kontrollen zu implementieren und dabei die betriebliche Flexibilität zu wahren.

Executive Summary

DORA markiert einen Paradigmenwechsel von fragmentierter ICT-Governance hin zu umfassender operationeller Resilienz. Die Regulierung verpflichtet Finanzinstitute, robuste Frameworks für Risikomanagement, Incident Response, Resilienztests, Drittparteirisikomanagement und Informationsaustausch zu etablieren.

Die zentrale Herausforderung besteht darin, diese Anforderungen skalierbar zu operationalisieren. Finanzinstitute müssen die Prinzipien von DORA in messbare Governance-Kontrollen, automatisierte Risikoerkennung und revisionssichere Compliance-Nachweise übersetzen. Erfolg bedeutet, das ICT-Risikomanagement in die Geschäftsprozesse zu integrieren – nicht als isolierte Compliance-Aufgabe zu behandeln.

Diese Transformation erfordert ein architektonisches Denken hinsichtlich Datenflüssen, Governance-Strukturen und Kontroll-Frameworks. Wer DORA strategisch angeht, schafft nachhaltige Wettbewerbsvorteile durch erhöhte Resilienz, gestärktes Kundenvertrauen und geringere operationelle Risiken.

wichtige Erkenntnisse

  1. Vereinheitlichtes ICT-Risikomanagement. DORA legt verbindliche, EU-weite Standards für Risikomanagement, Vorfallmeldung, Drittparteienüberwachung und bedrohungsorientierte Tests für Finanzinstitute fest.
  2. Fünf miteinander verbundene Säulen. Compliance erfordert integrierte Governance für Risikoidentifikation, Incident Response, Resilienztests, Drittparteien-Due-Diligence und Informationsaustausch.
  3. Strategische Operationalisierung. Institute müssen DORA in die Kerngeschäftsprozesse und Governance einbetten – nicht als isolierte Compliance-Übung behandeln.
  4. Verpflichtende Resilienztests. Regelmäßige, bedrohungsorientierte Penetrationstests und szenariobasierte Übungen sind erforderlich, um Kontrollen und Reaktionsfähigkeit gegenüber realen Störungen zu validieren.

Das Kern-Framework des ICT-Risikomanagements von DORA verstehen

DORA definiert fünf operationelle Säulen, die Finanzinstitute umfassend umsetzen müssen. Jede Säule schafft spezifische Governance-Pflichten und messbare Ergebnisse, die über klassische Compliance-Ansätze hinausgehen.

Das ICT-Risikomanagement-Framework verlangt von Instituten, umfassende Governance-Strukturen für die Identifikation, Bewertung, Minderung und Überwachung von Technologierisiken zu etablieren. Dies reicht über grundlegende Cybersecurity-Kontrollen hinaus und umfasst die operationelle Resilienz für alle Technologieabhängigkeiten – einschließlich Cloud-Services, SaaS-Plattformen und Drittparteien-Integrationen.

Finanzinstitute müssen risikobasierte Ansätze implementieren, die Service-Materialität, Komplexität der Technologiearchitektur und potenzielle Auswirkungen auf das Geschäft berücksichtigen. Das Framework erfordert kontinuierliches Monitoring, regelmäßige Bewertungs-Updates und proaktive Risikominderungsstrategien, die sich an die sich wandelnde Bedrohungslage anpassen.

Anforderungen an Risikoidentifikation und -bewertung

DORA schreibt die systematische Identifikation von ICT-Assets, Abhängigkeiten und Schwachstellen im gesamten Technologie-Ökosystem vor. Finanzinstitute müssen umfassende Inventare für Anwendungen, Infrastruktur, Datenflüsse und Drittparteien-Services pflegen. Dieses Inventar muss Kritikalitätsbewertungen, Abhängigkeitsanalysen und Business Impact Analysen für jede Komponente enthalten.

Der Bewertungsprozess geht über technische Schwachstellen hinaus und umfasst operationelle Abhängigkeiten, Konzentrationsrisiken und potenzielle Ausfallszenarien. Institute müssen bewerten, wie Technologieausfälle kritische Geschäftsprozesse, Kundendienste und regulatorische Pflichten beeinträchtigen könnten.

Regelmäßige Bewertungs-Updates müssen Veränderungen in Technologiearchitekturen, Geschäftsabläufen und Bedrohungsumgebungen widerspiegeln. Institute müssen Prozesse für kontinuierliches Risikomanagement, Impact-Assessment-Updates und Anpassungen der Risikominderungsstrategie etablieren, die klare Metriken für Priorisierung und Ressourcenallokation liefern.

Governance- und Risikomanagement-Kontrollen

DORA verlangt von Finanzinstituten, eine Überwachung des ICT-Risikomanagements auf Vorstandsebene mit klaren Verantwortlichkeiten und Berichtswegen einzurichten. Das Top-Management muss aktives Engagement in der Risikosteuerung, strategischen Entscheidungsfindung und Ressourcenallokation für Resilienzfähigkeiten nachweisen.

Das Governance-Framework muss definierte Rollen entlang der drei Verteidigungslinien enthalten, mit klaren Eskalationswegen und Entscheidungsbefugnissen. Risikomanagementfunktionen benötigen angemessene Unabhängigkeit, Ressourcen und Zugang zum Top-Management für eine wirksame Überwachung.

Institute müssen Risikobereitschafts-Frameworks implementieren, die akzeptable ICT-Risikoexponierung und Risikotoleranzschwellen definieren. Diese Frameworks müssen mit Geschäftsstrategie, regulatorischen Anforderungen und Stakeholder-Erwartungen übereinstimmen und praktische Leitlinien für operative Teams bieten.

Vorgaben für Incident Management und Reporting

DORA stellt umfassende Anforderungen an das Incident Management, die klassische Security-Incident-Response auf sämtliche ICT-bezogenen Betriebsstörungen ausweiten. Finanzinstitute müssen Fähigkeiten zur Erkennung, Klassifizierung, Reaktion und Meldung von Vorfällen implementieren, die spezifische regulatorische Fristen und Inhaltsvorgaben erfüllen.

Das Incident-Management-Framework muss sowohl schwerwiegende Vorfälle mit Meldepflicht als auch kleinere Vorfälle abdecken, die eskalieren oder auf systemische Schwachstellen hindeuten könnten. Institute müssen klare Klassifizierungskriterien, Reaktionsverfahren und Kommunikationsprotokolle festlegen, die effektive Entscheidungen unter Druck ermöglichen.

Die Incident-Response-Fähigkeiten müssen die Vorbereitung auf verschiedene Störungsszenarien nachweisen – darunter Cyberangriffe, Systemausfälle, Drittparteien-Störungen und Naturkatastrophen. Das Framework muss klare Verfahren für Eindämmung, Aktivierung der Geschäftskontinuität, Stakeholder-Kommunikation und Wiederherstellung der Services bieten.

Klassifizierungs- und Eskalationsverfahren

Finanzinstitute müssen klare Kriterien für die Klassifizierung von ICT-Vorfällen nach Schweregrad, betroffenen Systemen, Kundenwirkung und regulatorischen Auswirkungen festlegen. Klassifizierungssysteme müssen schnelle Entscheidungen über Reaktionsverfahren, Eskalationsbedarf und Meldepflichten ermöglichen.

Das Klassifizierungs-Framework muss kumulierte Auswirkungen und vernetzte Ausfälle bei der Bewertung der Schwere berücksichtigen. Kleinere Vorfälle in nicht-kritischen Systemen können Monitoring erfordern, wenn sie auf größere Schwachstellen hindeuten oder zu erheblichen Störungen führen könnten.

Eskalationsverfahren müssen klare Auslöser, Entscheidungsbefugnisse und Kommunikationsprotokolle für unterschiedliche Vorfalltypen definieren. Die Überwachung durch das Top-Management muss dem Schweregrad angemessen sein und operative Teams zur effektiven Reaktion befähigen.

Regulatorische Meldung und Kommunikation

DORA gibt spezifische Fristen und Inhaltsvorgaben für die Meldung von Vorfällen an zuständige Behörden vor. Schwere ICT-bezogene Vorfälle müssen innerhalb definierter Zeiträume mit detaillierten Informationen zu Auswirkungen, Reaktionsmaßnahmen und Maßnahmenplänen gemeldet werden.

Die Meldepflichten gehen über Erstmeldungen hinaus und umfassen Folgeberichte, Ursachenanalysen und Dokumentation der Lessons Learned. Finanzinstitute müssen klare Erklärungen zu Ursachen, Auswirkungen auf Kunden und Geschäftsbetrieb sowie ergriffenen Präventionsmaßnahmen liefern.

Kommunikationsanforderungen umfassen die interne Information von Stakeholdern, Kundenkommunikation und Abstimmung mit den zuständigen Behörden. Institute müssen ein effektives Kommunikationsmanagement nachweisen, das Transparenzpflichten mit Sicherheitsaspekten in Einklang bringt.

Drittparteien-Risikomanagement und Due Diligence

DORA führt umfassende Anforderungen für das Management von ICT-Risiken im Zusammenhang mit Drittanbietern ein, insbesondere für kritische ICT-Dienstleister. Finanzinstitute müssen Due-Diligence-Prozesse, kontinuierliches Monitoring und vertragliches Risikomanagement implementieren, um die operationelle Resilienz entlang der Lieferkette zu gewährleisten.

Das Drittparteien-Risikomanagement-Framework muss die Identifikation und Bewertung kritischer Abhängigkeiten, Auswahl- und Onboarding-Prozesse für Anbieter, laufende Leistungsüberwachung und Notfallplanung für Serviceunterbrechungen abdecken. Institute müssen Konzentrationsrisiken und Single Points of Failure verstehen und adressieren.

Vertragsmanagement-Anforderungen beinhalten spezifische Regelungen zu Service-Level-Agreements, Meldeverfahren bei Vorfällen, Audit-Rechten und Exit-Strategien. Finanzinstitute müssen sicherstellen, dass vertragliche Vereinbarungen ihre Resilienzpflichten unterstützen und angemessene Kontrolle ermöglichen.

Überwachung kritischer ICT-Dienstleister

DORA definiert spezifische Anforderungen für das Management von Beziehungen zu kritischen ICT-Dienstleistern, darunter Cloud Service Provider, Softwareanbieter und Managed Service Provider. Finanzinstitute müssen für diese kritischen Abhängigkeiten erweiterte Due Diligence, kontinuierliches Monitoring und Vertragsmanagement umsetzen.

Das Überwachungs-Framework muss Konzentrationsrisiken durch gemeinsame Abhängigkeiten mehrerer Institute adressieren. Institute müssen systemische Risiken großer Dienstleister bewerten und geeignete Notfallmaßnahmen für Serviceunterbrechungen implementieren.

Monitoring-Anforderungen umfassen regelmäßige Bewertung der Anbieterleistung, Sicherheitslage und Resilienzfähigkeiten. Finanzinstitute müssen klare Metriken und Berichtswege etablieren, um neue Risiken und Leistungsverschlechterungen frühzeitig zu erkennen.

Exit-Strategie und Notfallplanung

Finanzinstitute müssen tragfähige Exit-Strategien und Notfallpläne für alle kritischen Drittparteien-Services vorhalten. Die Exit-Planung muss geplante Übergänge und Notfallszenarien abdecken, in denen der Service ohne Vorankündigung ausfällt.

Die Notfallplanung muss alternative Service-Arrangements, Anforderungen an Datenportabilität und Maßnahmen zur Geschäftskontinuität umfassen, um kritische Abläufe während Übergangsphasen aufrechtzuerhalten. Institute müssen nachweisen, dass sie regulatorische Pflichten auch bei Drittparteien-Ausfällen erfüllen können.

Das Planungs-Framework muss Abhängigkeiten zwischen Services, technische Migrationsbeschränkungen und regulatorische Genehmigungspflichten berücksichtigen. Regelmäßige Tests und Validierungen der Notfallpläne müssen die praktische Umsetzbarkeit und Wirksamkeit belegen.

Anforderungen an Resilienztests

DORA schreibt umfassende Tests von ICT-Systemen und Resilienzfähigkeiten durch bedrohungsorientierte Penetrationstests und andere fortgeschrittene Testmethoden vor. Finanzinstitute müssen Testprogramme umsetzen, die sowohl technische Sicherheitskontrollen als auch operationelle Reaktionsfähigkeit validieren.

Das Test-Framework muss Schwachstellenanalysen, Penetrationstests, Red-Teaming und szenariobasierte Resilienztests umfassen. Die Tests müssen sowohl einzelne Systeme als auch Ende-zu-Ende-Geschäftsprozesse inklusive Drittparteien-Abhängigkeiten abdecken.

Zu den Anforderungen gehören regelmäßige geplante Assessments und Ad-hoc-Tests nach wesentlichen Änderungen an Technologiearchitektur, Bedrohungslage oder Geschäftsprozessen. Die Ergebnisse müssen Risikomanagement, Kontrollverbesserungen und strategische Investitionen in Resilienzmaßnahmen steuern.

Bedrohungsorientierte Penetrationstests

DORA verlangt fortgeschrittene Testmethoden, die realistische Angriffsszenarien simulieren und die Fähigkeit der Institute bewerten, komplexe Cyberbedrohungen zu erkennen, darauf zu reagieren und sich davon zu erholen. Bedrohungsorientierte Penetrationstests müssen aktuelle Bedrohungsinformationen und relevante Angriffstechniken für Finanzdienstleister abbilden.

Der Testumfang muss sowohl technische Schwachstellen als auch operationelle Reaktionsfähigkeit abdecken, einschließlich Incident Detection, Eskalationsverfahren, Aktivierung der Geschäftskontinuität und Kommunikationsmanagement. Auch menschliche Faktoren und Prozesseffizienz sind zu bewerten.

Die Ergebnisse müssen verwertbare Erkenntnisse für die Verbesserung von Sicherheitskontrollen, Reaktionsverfahren und Resilienzfähigkeiten liefern. Testprogramme müssen eine kontinuierliche Verbesserung der Verteidigungsfähigkeit nachweisen.

Szenariobasierte Resilienztests

Finanzinstitute müssen szenariobasierte Tests durchführen, die die Resilienz bei unterschiedlichen Störungstypen bewerten – darunter Cyberangriffe, Systemausfälle, Drittparteien-Störungen und Naturkatastrophen. Die Szenarien müssen Kaskadeneffekte und kombinierte Störungen berücksichtigen.

Die Testszenarien müssen das individuelle Risikoprofil, das Geschäftsmodell und die operationellen Abhängigkeiten des Instituts widerspiegeln. Sie müssen sowohl häufige, wenig gravierende als auch seltene, potenziell existenzbedrohende Ereignisse abdecken.

Die Ergebnisse müssen die Planung der Geschäftskontinuität, Risikomanagementstrategien und Investitionsprioritäten für Resilienzmaßnahmen steuern. Die Tests müssen die Fähigkeit des Instituts belegen, kritische Abläufe auch unter Stress aufrechtzuerhalten.

Fazit

Das Fünf-Säulen-Framework von DORA — ICT-Risikomanagement, Incident Management und Reporting, Resilienztests, Drittparteien-Risikomanagement und Informationsaustausch — stellt den bislang umfassendsten regulatorischen Standard für Technologie-Governance im Finanzsektor dar. Jede Säule ist mit den anderen verflochten: Lücken in der Anbieterüberwachung schwächen die Incident Response; ungetestete Notfallpläne offenbaren Schwächen, die Penetrationstests aufdecken sollen; fragmentierte Governance verhindert eine sinnvolle Risikobewertung.

Die zentrale Herausforderung bei der Operationalisierung ist die Integration. Finanzinstitute, die DORA als reine Compliance-Übung betrachten — Kontrollen isoliert implementieren und Nachweise reaktiv erzeugen —, erfüllen zwar die formalen Vorgaben, bleiben aber weiterhin den operationellen und Reputationsrisiken ausgesetzt, die DORA adressieren soll. Wer die Anforderungen von DORA in bestehende Governance-, Technologie- und Risikomanagementstrukturen integriert, wird feststellen, dass das Framework Verbesserungen beschleunigt, die ohnehin zu guter operativer Praxis gehören.

Der strategische Vorteil eines Plattform-Ansatzes ergibt sich direkt daraus: Wenn sensible Daten über E-Mail, Filetransfer, API und Managed Transfer ohne zentrale Transparenz fließen, funktionieren weder Risikomanagement noch Incident-Klassifizierung mit der von DORA geforderten Geschwindigkeit. Eine Plattform, die konsistente Kontrollen durchsetzt, manipulationssichere Audit-Trails erfasst und sich mit SIEM– und SOAR-Tools integriert, reduziert den Koordinationsaufwand, der Compliance im großen Maßstab sonst unmöglich macht. Für Finanzinstitute, die DORA umsetzen, ist diese architektonische Kohärenz nicht nur ein Effizienzgewinn — sie ist Voraussetzung für echte operationelle Resilienz.

Kiteworks Private Data Network

Finanzinstitute stehen bei der Umsetzung von DORA-Compliance vor der grundlegenden Herausforderung, sensible Daten zu schützen, während sie zwischen Systemen, Anwendungen und Drittparteien-Diensten ausgetauscht werden. Klassische perimeterbasierte Sicherheitsansätze reichen nicht aus, wenn Daten komplexe Ökosysteme durchqueren, die Cloud-Services, Anbieterplattformen und regulatorische Meldesysteme umfassen.

DORA verlangt ein Ende-zu-Ende-Risikomanagement, das Institute verpflichtet, Transparenz und Kontrolle über sensible Daten während des gesamten Lebenszyklus zu behalten. Dies betrifft nicht nur Daten im ruhenden Zustand innerhalb der Systeme, sondern auch Daten in Bewegung bei Übertragung und Verarbeitung in Drittparteien-Umgebungen. Die Anforderungen an das Drittparteien-Risikomanagement adressieren explizit die Aufrechterhaltung der Resilienz, wenn kritische Datenverarbeitung außerhalb der eigenen Kontrolle stattfindet.

Das Kiteworks Private Data Network begegnet diesen Herausforderungen mit einer einheitlichen Plattform, die sensible Daten Ende zu Ende schützt und zugleich die Governance-, Monitoring- und Compliance-Funktionen bereitstellt, die für die Umsetzung von DORA erforderlich sind. Die Plattform nutzt FIPS 140-3-validierte Verschlüsselung, schützt Daten während der Übertragung mit TLS 1.3 und verfügt über eine FedRAMP High-ready-Zertifizierung. Sie setzt zero trust-Prinzipien durch, indem jeder Datenzugriff unabhängig vom Standort des Anwenders oder Systems authentifiziert und autorisiert wird. Datenbewusste Kontrollen bewerten automatisch die Sensibilität der Inhalte und wenden geeignete Schutzmaßnahmen an.

Kiteworks bietet manipulationssichere Audit-Trails, die jede Dateninteraktion über E-Mail, Filesharing, Managed File Transfer und API-Kanäle erfassen. Diese umfassenden Protokolle integrieren sich direkt mit SIEM-, SOAR- und ITSM-Plattformen, um automatisierte Incident Response und Compliance-Reporting zu unterstützen. Der einheitliche Plattformansatz schließt Transparenzlücken, die entstehen, wenn Institute für verschiedene Datenkanäle auf unterschiedliche Einzellösungen setzen.

Die Lösung ermöglicht es Finanzinstituten, kontinuierliche Compliance mit den Resilienzanforderungen von DORA nachzuweisen und dabei die betriebliche Flexibilität zu bewahren, die für Innovation und Kundenservice erforderlich ist.

Erfahren Sie, wie das Kiteworks Private Data Network Finanzinstitute bei der Erfüllung der DORA-Anforderungen an das ICT-Risikomanagement unterstützt – vereinbaren Sie eine individuelle Demo.

Häufig gestellte Fragen

DORA (Digital Operational Resilience Act) ist ein umfassendes Framework für das ICT-Risikomanagement. Es verpflichtet Finanzinstitute, eine robuste Cyber-Resilienz über das gesamte Technologie-Ökosystem hinweg nachzuweisen – einschließlich Management von operationellen Sicherheitsrisiken, Vorfallmeldung, Drittparteien-Risikomanagement und bedrohungsorientierten Penetrationstests.

DORA definiert fünf operative Säulen: ICT-Risikomanagement, Incident Management und Reporting, Resilienztests, Drittparteien-Risikomanagement und Informationsaustausch.

DORA verlangt von Finanzinstituten die Umsetzung von Due-Diligence-Prozessen, kontinuierlichem Monitoring, vertraglichen Regelungen, Exit-Strategien und Notfallplanung für kritische ICT-Dienstleister, um die operationelle Resilienz entlang der Lieferkette abzusichern.

DORA schreibt umfassende Tests durch bedrohungsorientierte Penetrationstests und szenariobasierte Resilienztests vor, um technische Sicherheitskontrollen, Reaktionsfähigkeit und die Aufrechterhaltung kritischer Abläufe unter verschiedenen Störungsszenarien zu validieren.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks