Digitale Resilienz durch Transparenz

Der Schlüssel zur DORA-Compliance: Zentrale Zertifikatsregister

LinkedInRedditWhatsApp

Mit DORA gewinnt die Regulierung digitaler Infrastrukturen in der Finanzbranche an strategischer Bedeutung. Besonders der Umgang mit Zertifikaten steht im Fokus: Ein zentrales Zertifikatsregister wird zum Schlüsselinstrument für Compliance und Resilienz.

Wer frühzeitig Transparenz und klare Verantwortlichkeiten schafft, legt die Basis für eine nachhaltige Kryptografie-Strategie

Anzeige

Mit dem Inkrafttreten der EU-Verordnung DORA (Digital Operational Resilience Act) erfährt die Finanzwirtschaft eine tiefgreifende Veränderung im Umgang mit digitalen Infrastrukturen. Die Regulierung verlangt, dass Institute ihre kryptografischen Assets – also Zertifikate, Schlüssel und zugehörige Systeme – nicht mehr nur technisch absichern, sondern auch organisatorisch beherrschen. Ein zentrales Zertifikatsregister wird dabei zum neuralgischen Punkt der regulatorischen Resilienz: Es schafft Transparenz, Nachvollziehbarkeit und eine Grundlage für Governance-Strukturen, die den neuen gesetzlichen Anforderungen standhalten können.

Von technischer Sicherheit zu organisatorischer Verantwortung

DORA zielt auf die digitale Belastbarkeit sämtlicher Akteure im Finanzsektor. Neben der technischen Ebene wird auch das Management kryptografischer Assets reguliert. Laut Artikel 9 und den technischen Regulierungsstandards müssen Finanzunternehmen ein aktuelles, vollständiges Register aller Zertifikate und zertifikatsspeichernden Geräte, die auf kritisch wichtige Funktionen einzahlen, führen – inklusive Status, Gültigkeit, Speicherort und Zweck. Dieses Register ist damit nicht nur IT-Dokumentation, sondern ein zentrales Nachweisinstrument in Audits und Risikoanalysen.

Für viele Organisationen markiert das eine Abkehr vom bisherigen Verständnis: Kryptografie ist kein Nischenthema der IT mehr, sondern Teil des übergeordneten Governance- und Compliance-Rahmens. Verantwortlichkeiten werden neu verteilt, Prozesse müssen systematisiert und dokumentiert werden.

Anzeige

Transparenz als strategische Herausforderung

Gerade die Schaffung unternehmensweiter Transparenz stellt viele Finanzhäuser vor Herausforderungen. Zertifikate liegen oft verstreut über Systeme und Abteilungen. Häufig fehlt die zentrale Übersicht, wer welche Schlüssel verwaltet und welche Gültigkeiten bestehen. Ein zentrales Zertifikatsregister wirkt hier wie ein Steuerungsinstrument: Es verknüpft technische Inventarisierung mit organisatorischer Nachvollziehbarkeit. Doch bevor Unternehmen es einführen, müssen sie grundlegende Fragen klären: Wer trägt die Verantwortung für Pflege und Aktualität? Wie erfolgt die Integration in Audit- und Compliance-Prozesse? Welche reaktiven Maßnahmen greifen bei sicherheitsrelevanten Vorfällen?

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Dokumentation, Lifecycle und kultureller Wandel

Die von DORA geforderte Nachvollziehbarkeit verlangt, dass Unternehmen jederzeit belegen können, wie sie mit kryptografischen Assets umgehen – vom Erstellen über die Nutzung bis zum Widerruf. Neben der technischen Umsetzung steht hier vor allem die Prozessintegrität im Vordergrund. Nur wenn Rollen, Arbeitsabläufe und Entscheidungswege klar beschrieben sind, lassen sich Audit-Anforderungen zuverlässig erfüllen.

Besonders das Lifecycle-Management erfordert Umdenken: Zertifikate dürfen nicht einfach „vor sich hinlaufen“, sondern müssen regelmäßig überprüft und verlängert oder gegebenefalls widerrufen werden. DORA verlangt dokumentierte Abläufe, einschließlich eines Prozesses zur Verwaltung von Zertifikaten über ihren gesamten Lebenszyklus hinweg. Fehlende Abläufe sind nicht nur ein Compliance-Risiko, sondern auch eine potenzielle Quelle operativer Störungen.

Zugleich fördert DORA einen kulturellen Wandel. Kryptografie wird zur gemeinsamen Aufgabe von IT, Compliance und Management. Damit wandern Zertifikate von der technischen Ebene in den strategischen Verantwortungsbereich der Unternehmensführung – ein wesentlicher Schritt hin zu echter Cyber-Resilienz.

Sukzessive Umsetzung mit praxisorientierter Methodik

Viele Banken und Finanzdienstleister stehen jetzt vor denselben Fragen: Wo beginnen? Welche Maßnahmen sind prioritär? Eine strukturierte Bestandsaufnahme schafft die Basis. Im ersten Schritt gilt es, Transparenz über alle eingesetzten kryptografischen Assets zu gewinnen und ihre Kritikalität zu bewerten. Darauf aufbauend folgt die Definition von Governance-Prinzipien und Prozessen, die ein zentrales Register organisatorisch verankern.

Hier hilft es, schrittweise vorzugehen:

  • Reifegradanalyse: Welche Anforderungen werden bereits erfüllt, welche Lücken bestehen?
  • Roadmap-Erstellung: Definition konkreter Maßnahmenpakete und Verantwortlichkeiten.
  • Implementierung: Technische und organisatorische Integration des Registers in bestehende Compliance-Strukturen.
  • Training & Rollenklärung: Schulung relevanter Fachkräfte für nachhaltige Prozesssicherheit.

Beispiel aus der Praxis

Viele Organisationen setzen bei der Implementierung auf spezialisierte Unterstützungswerkzeuge. Die „essendi crypto solutions“-Suites sind ein gutes Beispiel: Sie verbinden technische Scanfunktionalitäten mit zentralem Lifecycle-Management.

Die Software essendi cd ermittelt automatisiert vorhandene Zertifikate im Netzwerk, erkennt Redundanzen und erstellt ein Inventar – die Grundlage eines zentralen Registers. essendi xc ergänzt dies um Prozesssteuerung: Verlängerungen, Widerrufe oder Eskalationen lassen sich regelbasiert automatisieren und dokumentieren. Beide Lösungen sind in bestehende Systeme integrierbar und können on premise oder in Cloud-Umgebungen betrieben werden.

Das Ergebnis: Unternehmen behalten ihre kryptografischen Assets stets im Blick, erfüllen DORA-Anforderungen revisionssicher und stärken gleichzeitig ihre operative Stabilität.

Fazit: Governance beginnt mit Transparenz

Das zentrale Zertifikatsregister ist weit mehr als ein technisches Hilfsmittel – es ist Kernbestandteil regulatorischer Governance unter DORA. Finanzunternehmen, die frühzeitig auf dokumentierte Prozesse, klare Verantwortlichkeiten und automatisierte Nachweise setzen, schaffen nicht nur Compliance-Sicherheit. Sie erhöhen ihre Widerstandsfähigkeit gegenüber Cyberrisiken und stärken ihre digitale Souveränität in einem zunehmend regulierten Marktumfeld.


Sarah

Zügel

Geschäftsführerin

essendi it GmbH

Sarah Zügel ist Geschäftsführerin der essendi it GmbH und leitet die strategische Weiterentwicklung des Geschäftsbereichs IT-Sicherheit und Zertifikatsmanagement / essendi crypto solutions. Ihr zentrales Anliegen ist, Kunden bei der zukunftsfähigen und regulatorisch konformen Gestaltung ihrer Kryptographie-Strategien, PKI-Infrastrukturen und Zertifikatsprozesse zu unterstützen.

Daniel

Schulz-Sembten

Assistant Manager

KPMG

Daniel Schulz-Sembten ist Assistant Manager bei KPMG und berät seit 2021 Kunden – insbesondere aus dem Bereich Financial Services – bei der Umsetzung von Projekten zur operativen Informationssicherheit mit Fokus auf SOC, SIEM und Incident Management. Ein besonderer Schwerpunkt liegt auf Verschlüsselung und Public Key Infrastructure (PKI), wo er

Pablo

Schmücker

IT-Sicherheitsexperte

KPMG

Pablo Schmücker ist IT-Sicherheitsexperte bei KPMG und berät führende Unternehmen der Finanz- und Versicherungsbranche in den Bereichen Künstliche Intelligenz, Cyber Security sowie Kryptografie. Sein besonderes Fachgebiet umfasst die Sicherheit von KI-Systemen sowie die Stärkung kryptografischer Resilienz.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.