Digitale Resilienz ist eine Architekturfrage

DORA und die Grenzen formaler Compliance

Digital Operational Resilience Act, dora 17. januar 2025, DORA, Cyberresilienz

Die digitale Resilienz von Banken und Versicherungen entscheidet sich nicht an der Erfüllung regulatorischer Vorgaben.

Zwar schafft der Digital Operational Resilience Act (DORA) einen verbindlichen Rahmen für den Umgang mit IT-Risiken, Cyberangriffen und Abhängigkeiten von Drittdienstleistern. Sicherheit entsteht daraus jedoch erst, wenn Governance, Technologie und operative Umsetzung so ineinandergreifen, dass eine durchgängig steuerbare und konsistente Sicherheitsarchitektur entsteht. Konformität ist also nicht gleichbedeutend mit Sicherheit.

Anzeige

Dass diese Betrachtung an Bedeutung gewinnt, ist kein Zufall. Die Intensität der Cyberangriffe im Finanz- und Versicherungssektor bleibt hoch, die Professionalität der Angreifer nimmt zu. Gleichzeitig treffen diese Angriffe auf IT-Landschaften, die in vielen Häusern über Jahre gewachsen sind: komplex, verzahnt und zunehmend abhängig von externen Plattformen und Dienstleistern. Hohe Vermögenswerte und sensible Daten verstärken zusätzlich die Attraktivität für Hacker und Cyberkriminelle: Versicherungen und Banken müssen sich vor Bedrohungen wie Datendiebstahl oder Erpressungen mit Ransomeware schützen. Darauf hat die Europäische Union mit dem Digital Operational Resilience Act (DORA) reagiert und Anforderungen formuliert, die weit über einzelne Sicherheitsmaßnahmen hinausgehen. Gefordert werden belastbare Strukturen für das Risikomanagement von Informations- und Kommunikationstechnologie (IKT)-Risiken, definierte Schutzmaßnahmen, klare Prozesse im Fall eines Angriffs sowie eine engere Steuerung von Drittdienstleistern. Damit soll die digitale Widerstandsfähigkeit von Unternehmen im Banken- und Versicherungswesen gestärkt werden. Alle beaufsichtigten Finanzunternehmen in der Europäischen Union fallen unter DORA, viele Institute haben ihre Governance- und Reportingstrukturen entsprechend angepasst: Sie haben Richtlinien dokumentiert, Meldeprozesse bestimmt oder Auslagerungsregister aufgebaut.

Compliance bedeutet nicht Sicherheit

Gerade an diesem Punkt entsteht jedoch ein Problem: Die regulatorische Perspektive bewertet, ob Strukturen vorhanden und Prozesse definiert sind. Die tatsächliche Widerstandsfähigkeit zeigt sich dagegen erst im laufenden Betrieb – unter Bedingungen, die sich nicht vollständig planen lassen.

Hier zeigt sich: Auch, wenn formal die DORA-Anforderungen erfüllt sind, erschwert die Systemlandschaft oft die durchgängige technische Steuerung. Etwa, wenn Zertifikate über verschiedene Anwendungen verteilt sind, kryptografische Schlüssel dezentral verwaltet oder Identitäts- und Berechtigungskonzepte nicht konsistent umgesetzt werden. In Cloud- und Drittumgebungen fehlt teilweise die Transparenz darüber, wie sicherheitsrelevante Prozesse tatsächlich ablaufen. Das ist nicht zwangsläufig regelwidrig. Aber mit derartigen Strukturen steigt die Komplexität und damit die Anforderungen an Kontrolle und Reaktionsfähigkeit.

Anzeige

Genau hier setzt die architektonische Perspektive an, die durch DORA stärker in den Vordergrund rückt. Sicherheit wird nicht mehr primär als Summe einzelner Maßnahmen verstanden, sondern als Ergebnis einer konsistent aufgebauten Systemlandschaft. Digitale Resilienz entsteht damit nicht allein durch Compliance oder Checklisten, sondern durch eine konsistent aufgebaute, zentral steuerbare und dauerhaft auditierbare Sicherheitsarchitektur, die verlässlich funktioniert und gezielt gesteuert werden kann.

Identitäten und Kryptografie zentral steuern

Ein wichtiges Element der Architektur ist die Steuerung digitaler Identitäten. In modernen Infrastrukturen mit zahlreichen Schnittstellen verlieren klassische Netzwerkgrenzen an Bedeutung: Zugriffe erfolgen standort- und organisationsübergreifend, häufig unter Einbindung externer Akteure. Sicherheitsentscheidungen verlagern sich damit auf die Ebene der Identität. Ansätze wie Zero Trust tragen dieser Entwicklung Rechnung, indem sie Authentifizierung und Autorisierung auf Basis klar definierter Identitäts- und Berechtigungsregeln unabhängig vom Netzwerkstandort definieren. Für Banken und Versicherungen muss Identitätsmanagement deswegen zu einem zentralen Instrument für Sicherheit und Governance werden. Es stellt die Voraussetzung für die operative Kontrolle dar.

Eng damit verknüpft ist die Frage, wie kryptografische Verfahren beherrschbar gemacht werden. Verschlüsselung ist implementiert, ihre Umsetzung jedoch häufig fragmentiert. Vergleichbar mit der Systemlandschaft sind auch kryptografische Strukturen oft über Jahre gewachsen. Unterschiedliche Zertifikatsquellen, manuelle Prozesse und fehlende Transparenz über Laufzeiten und Abhängigkeiten können nicht nur Sicherheitslücken verursachen. Sie erschweren die Auditierung und können zu operativen Störungen führen. Entscheidend ist daher nicht allein der Einsatz kryptografischer Verfahren, sondern deren zentrale Steuerung innerhalb der Gesamtarchitektur.

Eine belastbare Sicherheitsarchitektur erfordert eine klar strukturierte Public-Key-Infrastruktur, automatisierte Prozesse für das Certificate Lifecycle Management sowie ein zentral gesteuertes Key Management. Prozesse für die Erstellung, Nutzung und den Widerruf kryptografischer Schlüssel müssen definiert werden.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Was Cloudcomputing für die Datensicherheit bedeutet

Mit der zunehmenden Nutzung von Cloud- und Plattformdiensten findet ein Teil der Datenverarbeitung in externen Infrastrukturen statt. DORA berücksichtigt diese Entwicklung, indem die Steuerung von IKT-Drittdienstleistern stärker gewichtet wird. Für Institute bedeutet dies, dass neben vertraglichen und organisatorischen Regelungen auch die technische Nachvollziehbarkeit von Datenverarbeitung und Schutzmechanismen sichergestellt werden müssen.

Parallel dazu erweitert sich das Verständnis von Datensicherheit. Neben dem traditionellen Schutz von Daten im sogenannten Ruhezustand und während der Übertragung rückt durch die Verarbeitung in der Cloud zunehmend der Schutz während der Verarbeitung in den Fokus. Technologien wie Confidential Computing ermöglichen es, Daten auch in aktiven Verarbeitungsprozessen in isolierten Umgebungen abzusichern. Gerade bei sensiblen Anwendungen wie Zahlungsprozessen kann dies eine zusätzliche Schutzebene einziehen.

DORA: Mehr als Compliance

DORA ist damit weniger als isoliertes Compliance-Projekt zu verstehen, sondern als Ausgangspunkt für eine strukturelle Weiterentwicklung sicherheitskritischer Infrastrukturen. Institute mit dem Ziel der digitalen Resilienz sollten ihren Blick nicht nur auf die Erfüllung einzelner Vorgaben richten, sondern auf die Frage, ob ihre Sicherheitsarchitektur insgesamt konsistent ist. Identitäten müssen unternehmensweit steuerbar sein, die Kryptografie zentral kontrollier- und auditierbar sein. Zertifikate, Schlüssel und Abhängigkeiten müssen transparent sein, die Verarbeitung von Daten in der Cloud und durch Dritte technisch abgesichert und nachvollziehbar.

Die technische Umsetzung dieser Anforderungen ist anspruchsvoll. Sie erfordert neben regulatorischem Verständnis technisches Know-how und Erfahrung im Umgang mit komplexen Systemlandschaften. Viele Institute arbeiten daher mit spezialisierten Partnern zusammen, die sie bei der Analyse, Integration und dem Betrieb entsprechender Lösungen unterstützen. Unternehmen wie achelos begleiten Banken und Versicherungen dabei, regulatorische Anforderungen in konsistente und auditierbare Sicherheitsarchitekturen zu überführen.

Fazit

Am Ende definiert DORA einen Rahmen, nicht das Ergebnis. Ob dieser Rahmen in der Praxis trägt, entscheidet sich daran, ob Sicherheitsmechanismen nicht nur vorhanden, sondern auch unter realen Bedingungen – und dazu gehören Cyberangriffe – steuerbar sind. Governance, Technologie und Betrieb müssen architektonisch zusammengeführt werden. Für Banken und Versicherungen wird Cybersicherheit damit zu einer dauerhaften Managementaufgabe. DORA ist damit die Chance, die operative Stabilität zu erhöhen.

Autor: Dr. Michael Jahnich, Director Business Development, achelos GmbH

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.