Im Spannungsfeld zwischen Regulatorik & operativer Umsetzung – Mit DORA gegen die Cyberbedrohung

Cyberangriffe und Cloud-Ausfälle nehmen von Jahr zu Jahr zu. Aus diesem Grund lautet die entscheidende Frage nicht, ob ein Vorfall eintritt, sondern wann – und wie Unternehmen darauf vorbereitet sind. Dennoch verlassen sich Unternehmen teilweise auf Mindeststandards, die echte Krisen nicht verhindern können. Audits und Penetration Tests legen regelmäßig unbequeme Wahrheiten über den Stand der Resilienz offen.

Übergreifendes Risikomanagement


DORA, kurz für Digital Operational Resilience Act, ist die Antwort der EU auf die zunehmenden Cyberbedrohungen im Finanzsektor und hat das Ziel die digitale operationale Resilienz zu stärken. Insbesondere mit Blick auf weltweite Vernetzung und komplexe Dienstleistungsstrukturen können Cyberangriffe nicht nur einzelne Institutionen, sondern ganze Sektoren empfindlich treffen und somit ganze Infrastrukturen und Wirtschaftszweige temporär lahmlegen. Dieser Bedrohung begegnet DORA mit einheitlichen regulatorischen Anforderungen und Meldepflichten, die Behörden ein übergreifendes Risikomanagement ermöglichen.

Konkret reguliert DORA:

• IKT-Risikomanagement
Systematische Identifikation und Minderung digitaler Risiken.
• Vorfallmanagement
Meldepflichten für Sicherheitsvorfälle innerhalb enger Fristen.
• Resilienztests
Stresstests zur Überprüfung der Stabilität kritischer Systeme.
• Drittanbieterrisiken
Überwachung und Kontrolle von Cloud- undIT-Dienstleistern.

Trotz dieser Vorgaben zeigt die Praxis: Unternehmen sind weiterhin anfällig für Cyberangriffe und Systemausfälle.

Hohe Kosten


Die Komplexität der Legacy-Systeme, mangelnde Expertise in den Organisationen oder Fehlentscheidungen in den vergangenen Jahren führen in so manchem Unternehmen zu erheblichen Mehrkosten bei der Umsetzung der neuen DORA-Anforderungen. Daher sind pragmatische Ansätze und klar geplante Initiativen gefragt.

Eine Umsetzung der DORA-Anforderungen mit geringer Maturität gepaart mit einer anschließenden kontinuierlichen Verbesserung hilft der Resilienz mehr als jahrelange Arbeit an einer Goldkantenlösung oder die Einführung eines vermeintlich „schicken“ Tools, das die Komplexität einer Applikationslandschaft erhöht – und im schlechtesten Fall keine der Herausforderungen löst. Darüber hinaus werden durch eine Vielzahl großer,
Compliance-getriebener Projekte, die sich aus der DORA-Verordnung ableiten, Kapazitäten der operativen Einheiten langfristig gebunden. Dies behindert bzw. verzögert Innovationen, die gerade mit Blick auf die angespannte wirtschaftliche Gesamtlage dringend gebraucht werden.

DORA: Von der Pflicht zur Kür


DORA ist zunächst eine regulatorische Verpflichtung. Die Verordnung kann aber auch eine Chance sein, die digitale Resilienz tatsächlich zu verbessern und so nachhaltig Wertschöpfung sichern.

Pragmatismus in der Umsetzung, eine klare Priorisierung der anzugehenden Themen und die Einbindung einer iterativen Verbesserung in die strategische Planung sowie deren Umsetzung sind unerlässlich. Ist in einer Organisation zusätzlich eine gute Zusammenarbeit zwischen 1st und 2nd Line of Defense an einer kontinuierlichen Verbesserung gegeben, muss das DORA-Audit nicht gefürchtet werden. Die Kombination aus regulatorischer Expertise und Fokus auf eine pragmatische, operative Umsetzung, abseits von „One-Size-Fits-All“-Ansätzen, ist der Schlüssel zum Erfolg.

DORA ist da, geht nicht weg und ein klarer Plan kann zum Wettbewerbsvorteil werden.

Praxisbeispiele: Woran scheitert DORA und welche Maßnahmen sind sinnvoll?


DORA schafft Rahmenbedingungen, verhindert jedoch keine IT-Katastrophen. Dies zeigt ein Blick in die Realität:

  1. Der Microsoft-Azure-Ausfall im Juli 2024 führte weltweit zu massiven Störungen bei Banken, Börsen und Zahlungsdienstleistern. Besonders betroffen waren Institute ohne Multi-Cloud-Strategie, denen alternative Infrastruktur zur Aufrechterhaltung des Betriebs fehlte.
    • Multi-Cloud-Strategien
    Die Deutsche Bank nutzt sowohl Google Cloud als auch Oracle Cloud. Diese Strategie reduzierte Ausfälle erheblich. Während eines partiellen Cloud-Problems im Jahr 2023 konnte die Bank weiterhin kritische Prozesse über den alternativen Anbieter abwickeln, was größere finanzielle Schäden verhinderte.
  2. Der Ransomware-Angriff auf die Datei-Transfer-Software MOVEit im Jahr 2023 legte zentrale Systeme zahlreicher Finanzinstitute lahm und kompromittierte Millionen sensibler Kundendaten. Der Vorfall zeigte deutlich, dass fehlende Notfallpläne und unzureichende Kontrolle externer Dienstleister selbst bei bestehenden Regulierungen zu gravierenden Betriebsunterbrechungen führen können.
    • Isolierte SaaS-Umgebungen mit Zero-Trust-Architektur, um Daten besser zu trennen und Angriffsvektoren zu minimieren
    • SOAR-Systeme (Security Orchestration, Automation and Response), um Cyberangriffe in Echtzeit zu analysieren und automatisierte Gegenmaßnahmen einzuleiten. Anomalie-Erkennung ist eine große Stärke von KI, die in diesem Anwendungsbereich voll ausgespielt werden kann, sofern die Integration in die IT-Infrastruktur gelingt.
  3. Viele Finanzinstitute haben eine starke Abhängigkeit von Hyperscalern wie AWS, Microsoft oder Google, ohne jedoch Einfluss auf deren Sicherheitsstandards nehmen zu können. DORA fordert zwar eine Kontrolle der Dienstleister, doch etabliert per se keine wirksamen Durchsetzungsmechanismen. Auch wenn mögliche Exit-Strategien definiert wurden, schränken diese Abhängigkeiten die Handlungsfreiheit der Unternehmen stark ein.
    • Exit-Strategien
    Definition klarer Alternativen für den Fall, dass ein Cloud-Anbieter ausfällt oder kompromittiert wird. Hier sind Open-Source-Lösungen durchaus eine nützliche Fallback-Option.
    • Regelmäßige Stresstests
    Simulierte IT-Ausfälle helfen, Schwachstellen in Notfallprozessen frühzeitig zu erkennen. Studien zeigen, dass Unternehmen mit gut getesteten Notfallplänen Ausfallkosten um bis zu 40 % reduzieren können.
Fazit: IT-Resilienz ist eine strategische Entscheidung


DORA schafft eine regulatorische Basis, ist aber kein Garant für Sicherheit. Unternehmen, die sich lediglich auf die Umsetzung der DORA-Anforderungen verlassen, riskieren erhebliche finanzielle Verluste. Studien zeigen, dass unzureichende IT-Resilienz allein im Finanzsektor jährlich Schäden in Milliardenhöhe verursacht. Laut einer IBM-Studie betragen die durchschnittlichen Kosten einer Datenpanne im Finanzsektor 5,97 Millionen US-Dollar pro Vorfall. Unternehmen, die in präventive Sicherheitsmaßnahmen investieren, können diese Schäden um bis zu 45 % reduzieren.

Die Bedrohungslage verschärft sich, und Unternehmen, die nicht aktiv gegensteuern, riskieren teure Ausfälle. DORA gibt einen Rahmen vor, aber wer sich nicht selbst schützt, bleibt angreifbar. Regulierung allein schützt nicht. Nur wer proaktiv handelt, bleibt handlungsfähig.

Mehr davon? Fordere hier den Mindsetter an!