Thought Leadership
Inzwischen sind Cyberangriffe einer der größten Risikofaktoren für moderne Unternehmen. Mehr als die Hälfte der deutschen Firmen – 59 Prozent – sehen die Attacken dementsprechend als existenzielle Bedrohung an. Zu diesem Ergebnis kam die Bitkom-Studie „Wirtschaftsschutz 2025“.
Zwar investierten zahlreiche Organisationen bereits in den vergangenen Jahren in technische Schutzmaßnahmen. Doch die Realität zeigt: Häufig sind sicherheitsrelevante Vorfälle vor allem auf menschliche Fehler zurückzuführen. So kann schon der unbedachte Klick auf einen Phishing-Link weitreichende Folgen nach sich ziehen.
Um Unternehmen vor Cyberangriffen – und dem menschlichen Versagen im Umgang mit der Cybersecurity – zu schützen, steigen die regulatorischen Anforderungen. Insbesondere im Finanzsektor. So will die Europäische Union mit dem Digital Operational Resilience Act (DORA) die digitale Widerstandskraft von Finanzdienstleistern, Banken und Versicherern stärken. Dabei rückt der Faktor Mensch mehr in den Fokus als je zuvor.
Cyber-Resilienz – kein Nice-to-have, sondern strategische Notwendigkeit
Durch die fortschreitende Digitalisierung sind Unternehmen vieler Branchen längst von Informations- und Kommunikationstechnologien abhängig. Das gilt auch für Firmen aus dem Finanzsektor.
Gleichzeitig können exakt diese Dienste ein Einfallstor für Cyberkriminelle sein. Meist dann, wenn unzureichende Sicherheitsmaßnahmen auf menschliches Versagen treffen.
Denn häufig nimmt vor allem menschliches Handeln auf die Sicherheitslage eines Unternehmens großen Einfluss. Unzureichende Kenntnisse sowie mangelndes Bewusstsein von Cyberrisiken hebeln selbst moderne Schutzmechanismen aus. An diesem Punkt setzt die europäische Regulierung durch DORA an.
Die EU-Verordnung schafft einen einheitlichen Rechtsrahmen, um die digitale Resilienz von Finanzunternehmen zu stärken. Diese müssen zukünftig nachweisen, dass sie sicherheitsrelevante Technologien wirksam schützen und Risiken systematisch steuern können.
Dabei verfolgt der Digital Operational Resilience Act einen ganzheitlichen Ansatz. Neben einem operativen Risikomanagement geht die Verordnung ausdrücklich auch auf organisatorische Aspekte ein. Darunter auf die Qualifikation sowie die Sensibilisierung der Mitarbeiter regulierter Unternehmen.
Die regulatorischen Anforderungen zeigen damit klar, dass Cyber-Resilienz nicht ausschließlich auf Sicherheitstechnologie basiert. Stattdessen bildet das Zusammenspiel aus hochfunktionaler Technik, durchdachten Prozessen und tiefgreifenden Schulungen die richtige Grundlage.
Der Mensch: noch immer das größte Einfallstor für Cyberattacken
Laut einer Umfrage unter 500 Unternehmen unterschiedlicher Branchen aus dem Jahr 2025, war jede siebte Firma in den vergangenen zwölf Monaten von einem ernsthaften Cyberangriff betroffen. Dennoch spielte das Thema Cybersicherheit für viele bislang nur eine untergeordnete Rolle.
Insbesondere der Faktor Mensch wird von der Mehrzahl der Unternehmen außer Acht gelassen.
Dabei zeigen zahlreiche Sicherheitsberichte: Menschliche Fehler zählen zu den häufigsten Ursachen für Sicherheitsvorfälle. Seien es:
- unbedachte Freigaben von Zugriffsrechten
- ein schwacher Passwortschutz oder
- der leichtfertige Umgang mit Phishing-Mails
Nicht nur technische Laien sind ein Sicherheitsrisiko. Selbst geschulte Fachkräfte können Fehlentscheidungen treffen – insbesondere in Stresssituationen.
Daher reicht die bloße Existenz von Sicherheitsrichtlinien längst nicht mehr aus. Stattdessen müssen Finanzunternehmen, wollen sie den Anforderungen von DORA entsprechen, eine nachhaltige Sicherheitskultur etablieren. Dabei kann ihnen das DORA E-Learning für Unternehmen helfen.
Intensive Schulungen als Bestandteil eines ganzheitlichen Risikomanagements
DORA erfordert von regulierten Unternehmen nicht nur ein solides Risikomanagement. Um den Anforderungen zu entsprechen, müssen Banken, Versicherer und Finanzdienstleister ihre Beschäftigten auch regelmäßig schulen.
Und zwar nicht nur in Bezug auf allgemeine IT-Sicherheitskenntnisse. Vielmehr soll ein kontinuierliches Verständnis relevanter Risiken und Cyber-Bedrohungen geschaffen werden. Diese Fachkenntnis soll Mitarbeiter in die Lage versetzen:
- sicherheitsrelevante Vorfälle frühzeitig zu erkennen
- Sicherheitsrisiken korrekt zu melden
- mögliche Sicherheitslücken vorausschauend zu identifizieren
Führungskräften sollen intensive DORA-Schulungen ein umfassendes Verständnis von Cyberrisiken und deren Auswirkungen an die Hand geben. So müssen sie verstehen, wie technologische Risiken die Geschäftsprozesse beeinflussen und die entsprechenden Entscheidungen treffen können.
Dadurch verändert sich die Rolle von Schulungen und Weiterbildungen zum Thema Cyber-Resilienz grundlegend. Sie entwickeln sich zunehmend von einer unterstützenden Maßnahme zu einem wesentlichen Bestandteil der Compliance- und Risikomanagementstrategie.
Umfassende Sicherheitskultur statt reiner Compliance
Insbesondere für Finanzunternehmen wird es zunehmend wichtig, Schulungen und ähnliche Awareness-Maßnahmen nicht isoliert zu betrachten. Stattdessen müssen sie eng mit dem Risiko- sowie dem Informationssicherheitsmanagement verknüpft werden.
Dementsprechend reicht es nicht aus, wenn Beschäftigte im Unternehmen die Sicherheitsrichtlinien kennen. Sie müssen deren Bedeutung im Kontext konkreter Geschäftsrisiken verstehen.
DORA-Schulungen vermitteln daher praxisnahe Szenarien. In diesen kann unter anderem gezeigt werden, wie sich sicherheitsrelevante Vorfälle auf Kunden und Geschäftsprozesse auswirken.
Vor allem im B2B-Bereich sind flexible und modular aufgebaute Schulungslösungen ein probates Mittel, um die Belegschaft fortlaufend für Cyber-Risiken zu sensibilisieren. Sie sollten dabei so gestaltet sein, dass sie:
- Teilnehmern einen Überblick über DORA, NIS-2, CRA sowie die EU-Governance verschaffen
- die Relevanz von Cyber-Resilienz in Unternehmen beleuchten
- die Grundbausteine zur Prävention von Cyber-Angriffen und Betrug vermitteln
- den Teilnehmern Leitfäden bei Verdachtsfällen an die Hand geben
Flexible Lernmodule sind dabei entscheidend, da die Mitarbeiter diese im eigenen Tempo durchlaufen können. Interaktive Aufgaben, Selbsttests sowie Quizze können weiterhin das Verständnis der Lerninhalte vertiefen.
Flexibilität als Faktor für erfolgreiche Schulungsprogramme
Zudem ist eine hohe Flexibilität entscheidend, da Unternehmen im B2B-Bereich zum Teil sehr unterschiedliche Tätigkeitsbereiche und organisatorische Strukturen aufweisen. Dementsprechend unterscheiden sich auch ihre Risikoprofile sowie die regulatorischen Anforderungen.
Ein flexibles und modulares Schulungssystem erlaubt es, Schulungsinhalte zielgruppenspezifisch zusammenzustellen.
Zudem lassen sich Lerninhalte – etwa neue regulatorische Anforderungen oder Bedrohungsszenarien – regelmäßig aktualisieren, ohne dass Teilnehmer das gesamte Programm erneut absolvieren müssen.
Damit entsprechen solche Anwendungen den Anforderungen von DORA im besonderen Maße. Schließlich verlangt die EU-Verordnung die kontinuierliche Qualifizierung unterschiedlicher Mitarbeitergruppen. Auch den Nachweis angemessener Schulungsmaßnahmen müssen regulierte Unternehmen erbringen.
Flexible Lernmodule mit integrierten Verständnistests erleichtern vor allem die prüfungssichere Dokumentation von Lernfortschritten. Folglich können Firmen Compliance-Anforderungen nachvollziehbar erfüllen. Für Verantwortliche bedeutet das: Haftungsrisiken im Rahmen der Organüberwachung lassen sich minimieren.
Führungskräfte und ihre Rolle im Bereich Cyber-Resilienz
Insbesondere Führungskräfte müssen verstehen: DORA richtet sich nicht nur an Beschäftigte aus dem operativen Bereich. Auch das Management muss zunehmend mehr Verantwortung für die Cyber-Resilienz eines Unternehmens übernehmen.
Daher ist es unerlässlich, dass Entscheider digitale Risiken nicht nur verstehen. Sie müssen sie aktiv in die Unternehmenssteuerung einbeziehen können.
DORA-Schulungsprogramme sind daher auch für die Geschäftsführung, den Vorstand sowie die Bereichsleitung von Bedeutung. Sinnvoll ist es, sie als festen Bestandteil in das unternehmenseigene Risikomanagement zu integrieren.
Dabei zeigt sich: Behandelt die Unternehmensleitung das Thema Cyber-Resilienz als wesentlichen Faktor, steigt innerhalb der gesamten Organisation die Akzeptanz für entsprechende Maßnahmen.
Cyber-Resilienz vereint Mitarbeiter-Knowhow und technische Schutzschilde
Wichtig dabei: Zwar beginnt Cyber-Resilienz beim Menschen. Gleichzeitig sind Firmen jedoch noch immer dazu angehalten, das IKT-Risikomanagement als zentralen Baustein von DORA durchzusetzen.
So ist neben der Mitarbeiterschulung die Errichtung belastbarer IT-Systeme und Sicherheitsmechanismen entscheidend. Diese müssen Sicherheitsrisiken nicht nur kontinuierlich überwachen, sondern auch Angriffe frühzeitig erkennen.
Dementsprechend umfassen die DORA-Anforderungen etwa Systeme zur Erkennung ungewöhnlicher Aktivitäten sowie Verfahren, die identifizierte Schwachstellen zuverlässig analysieren und beheben.
Technische Kontrollen und organische Maßnahmen wie Schulungen müssen also Hand in Hand gehen. Einerseits, um den regulatorischen Anforderungen zu entsprechen. Und andererseits, um die Cyber-Resilienz eines Unternehmens nachhaltig zu stärken.
