Mit DORA hat die EU einen verbindlichen Rahmen für die digitale Resilienz von Banken und Versicherungen geschaffen. Doch regulatorische Konformität schafft nicht automatisch Sicherheit. Entscheidend ist letztlich, ob Institute Governance, Technologie und Betrieb zu einer konsistenten, beherrschbaren Sicherheitsarchitektur zusammenführen, statt sich auf erfüllte Checklisten zu verlassen.
DORA schafft regulatorischen Rahmen für Banken, ersetzt aber keine belastbare Sicherheitsarchitektur. Governance, Identität und Kryptografie müssen technisch zusammenwachsen.
Die Bedrohungslage für den Finanz- und Versicherungssektor bleibt angespannt. Kaum eine Branche ist so regelmäßig Ziel professionell organisierter Cyberangriffe. Hohe Vermögenswerte, sensible Kundendaten, komplexe IT-Ökosysteme und eine starke Abhängigkeit von externen Dienstleistern erhöhen die Attraktivität für Angreifer erheblich. Ransomware, Datendiebstahl und Angriffe über die digitale Lieferkette gehören inzwischen zum realistischen Risikoszenario.
Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union darauf reagiert und einen verbindlichen regulatorischen Rahmen geschaffen. Ziel ist es, die digitale Widerstandsfähigkeit von Finanzunternehmen systematisch zu stärken. Risikomanagement von Informations- und Kommunikationstechnologie (IKT), technische Schutzmaßnahmen, strukturierte Vorfallbewältigung sowie eine strengere Steuerung von IKT-Drittdienstleistern sind nun regulatorische Pflicht für alle beaufsichtigten Finanzunternehmen in der Europäischen Union.
Viele Institute haben in den vergangenen Monaten erhebliche Anstrengungen unternommen, um diesen Anforderungen gerecht zu werden. Governance-Strukturen wurden geschärft, Richtlinien dokumentiert, Auslagerungsregister aufgebaut und Meldeprozesse definiert. Aus regulatorischer Sicht ist das ein wichtiger Schritt. Doch genau hier liegt ein oft unterschätzter Punkt:
Formale Compliance kann ein trügerisches Sicherheitsgefühl erzeugen. Digitale Resilienz entsteht nicht durch erfüllte Checklisten, sondern durch technisch beherrschbare Sicherheitsarchitekturen.
DORA definiert Anforderungen – ob daraus tatsächlich digitale Resilienz entsteht, entscheidet sich jedoch nicht im Dokumentationsordner, sondern im laufenden IT-Betrieb. Sicherheit muss technisch durchgängig implementiert, zentral steuerbar und dauerhaft auditierbar sein.
DORA prüft Strukturen und Prozesse. Angreifer hingegen testen technische Schwachstellen und operative Bruchstellen. Resilienz entscheidet sich in der Lücke zwischen formaler Struktur und operativer Umsetzung.
In der Praxis zeigt sich häufig ein differenziertes Bild: Während Governance und Reporting-Strukturen klar definiert sind, behindern teilweise historisch gewachsene Strukturen die technische Umsetzung. Kryptografische Schlüssel werden dezentral verwaltet, Zertifikate sind über verschiedene Systeme verteilt, Identitäts- und Berechtigungskonzepte sind nicht harmonisiert. In Cloud- und Drittumgebungen fehlt teilweise die Transparenz über sicherheitsrelevante Prozesse.
Solche Konstellationen sind nicht per se regelwidrig. Sie erhöhen jedoch die Komplexität – und damit das Risiko. Denn Resilienz bedeutet nicht nur, Maßnahmen implementiert zu haben, sondern sie im Ernstfall kontrollieren zu können.
DORA verschiebt damit den Fokus weg von punktuellen Sicherheitsmaßnahmen, hin zu einer architektonisch konsistenten Sicherheitslandschaft.
Ein wesentlicher Baustein dieser Architektur ist die konsequente Ausrichtung an digitalen Identitäten. In modernen, hybriden Infrastrukturen ist der klassische Perimeterschutz kaum noch ausreichend. Systeme, Mitarbeitende, Dienstleister und Maschinen kommunizieren über Organisations- und Infrastrukturgrenzen hinweg.
Ein identitätszentrierter Sicherheitsansatz – häufig im Kontext von Zero Trust diskutiert – stellt sicher, dass jede Entität eindeutig authentifiziert und autorisiert wird. Zugriff wird nicht aufgrund eines Netzwerkstandorts gewährt, sondern auf Basis klar definierter Identitäts- und Berechtigungsregeln. Für Banken und Versicherungen bedeutet das: Identitätsmanagement ist ein zentrales Steuerungsinstrument für Sicherheit und Governance. Wer Identitäten nicht durchgängig kontrolliert, verliert die operative Kontrolle über seine Sicherheitsarchitektur.
Kryptografie muss beherrschbar sein
Ebenso zentral ist eine strukturierte und kontrollierte Kryptoinfrastruktur. Verschlüsselung schützt Daten vor unbefugtem Zugriff – doch sie entfaltet ihre Wirkung nur dann vollständig, wenn die zugrunde liegenden Schlüssel und Zertifikate zuverlässig verwaltet werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In vielen Organisationen sind auch kryptografische Strukturen historisch gewachsen. Unterschiedliche Anwendungen nutzen verschiedene Zertifikatsquellen, Erneuerungsprozesse erfolgen manuell, Transparenz über Ablaufdaten oder Abhängigkeiten ist begrenzt. Die Folgen können Betriebsunterbrechungen, Sicherheitslücken oder erschwerte Auditierungen sein.
Kryptografie, die nicht zentral gesteuert wird, ist ein operatives Risiko. Eine belastbare Sicherheitsarchitektur erfordert daher:
eine konsistente Public-Key-Infrastruktur als Vertrauensbasis
automatisiertes Certificate Lifecycle Management
zentral gesteuertes Key Management
klare Prozesse für Generierung, Nutzung und Widerruf kryptografischer Schlüssel
Mit der Auslagerung kritischer Funktionen in Cloud- und Plattformumgebungen verschiebt sich ein Teil der Wertschöpfung in externe Infrastrukturen. DORA trägt dieser Entwicklung Rechnung, indem es die Steuerung von IKT-Drittdienstleistern in den Mittelpunkt stellt.
Für Institute entsteht daraus eine doppelte Herausforderung: Einerseits müssen Risiken vertraglich und organisatorisch kontrolliert werden. Andererseits muss auch technisch nachvollziehbar bleiben, wie sensible Daten verarbeitet und geschützt werden.
Traditionelle Sicherheitskonzepte adressieren vor allem zwei Zustände: Daten im Ruhezustand („at rest“) und Daten während der Übertragung („in transit“). Moderne Verschlüsselungstechnologien decken diese Bereiche zuverlässig ab. In cloudbasierten Szenarien gewinnt jedoch eine weitere Dimension an Bedeutung: der Schutz von Daten während der Verarbeitung („in use“).
Hier setzen Ansätze wie Confidential Computing an. Durch hardwarebasierte, isolierte Ausführungsumgebungen können Daten auch während ihrer aktiven Verarbeitung abgeschirmt werden – selbst gegenüber privilegierten Zugriffen auf Infrastrukturebene. In hochsensiblen Verarbeitungen – etwa bei kritischen Zahlungsprozessen – kann dies eine zusätzliche Schutzebene schaffen. Damit erweitert sich das klassische Schutzmodell um eine dritte Dimension: Sicherheit während der Nutzung. Für Institute mit hohen Schutzanforderungen kann dies einen entscheidenden Unterschied bedeuten.
Confidential Computing baut auf der Sicherheitsarchitektur auf und erweitert sie dort, wo klassische Schutzmechanismen an strukturelle Grenzen stoßen.
Richtig verstanden ist DORA daher nicht nur ein Compliance-Projekt. Die Verordnung wirkt vielmehr als Impulsgeber für eine strukturelle Modernisierung sicherheitskritischer Infrastrukturen.
Institute, die digitale Resilienz strategisch angehen, betrachten ihre Sicherheitsarchitektur ganzheitlich:
Sind Identitäten organisationsweit konsistent steuerbar?
Ist Kryptografie zentral kontrollierbar und auditierbar?
Besteht vollständige Transparenz über Zertifikate, Schlüssel und Abhängigkeiten?
Sind Cloud- und Drittverarbeitungen technisch nachvollziehbar abgesichert?
Erst wenn diese Fragen klar beantwortet werden können, wird aus regulatorischer Konformität eine belastbare Sicherheitsbasis. Wer DORA ausschließlich als regulatorische Pflichtübung versteht, vergibt die Chance zur strategischen Modernisierung der eigenen Sicherheitsarchitektur.
Umsetzung in der Praxis
Die Überführung regulatorischer Anforderungen in technisch konsistente Sicherheitsarchitekturen ist anspruchsvoll. Neben regulatorischem Verständnis erfordert sie tiefgehende Expertise in den Bereichen Identitätsmanagement, Kryptografie und sichere Infrastrukturen. Viele Institute greifen daher auf spezialisierte Partner zurück, die sowohl Architektur- und Reifegradanalysen als auch die Integration und den sicheren Betrieb entsprechender Lösungen begleiten.
Unternehmen wie achelos, die nach ISO 27001 und Common Criteria zertifiziert sind und über langjährige Erfahrung in sicherheitskritischen Infrastrukturen verfügen, unterstützen Banken und Versicherungen dabei, DORA-Anforderungen in auditierbare und operativ beherrschbare Sicherheitsarchitekturen zu überführen.
DORA definiert klare Anforderungen an die digitale Resilienz des Finanzsektors. Doch Compliance ist nur der Anfang. Das Ziel ist eine IT-Sicherheitsarchitektur, die auch unter Angriffsdruck stabil bleibt. Sicherheit entsteht dort, wo Governance, Technologie und Betrieb architektonisch zusammengeführt werden – konsistent und kontrollierbar. Für Banken und Versicherungen bedeutet das: Digitale Resilienz ist kein Projekt mit Enddatum, sondern ein kontinuierlicher Reifeprozess. Wer ihn strategisch nutzt, stärkt nicht nur die regulatorische Position, sondern auch die operative Stabilität in einer zunehmend vernetzten Finanzwelt.
Über den Autor: Dr. Michael Jahnich ist Director Business Development bei achelos GmbH.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/65/016588919d190567b485a6ccfeb61ed9/0131967372v2.jpeg "Zwei kritische Speicherfehler in NGINX ermöglichen Angreifern ohne Anmeldung Denial of Service und Codeausführung. F5 reagiert mit außerplanmäßigen Patches auf beide CVSS-9.2-Lücken. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4f/0d/4f0db1b470744561ee6ca509aa8c1d6e/0131904361v1.jpeg "Viele Begriffe rund um den Schutz von Smartphones und Laptops sind den Deutschen zwar vom Hörensagen bekannt, doch beim Detailwissen gibt es oft noch Aufklärungsbedarf. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/2f/412f490bc0b9e8199b275716dc55e08a/0131963630v2.jpeg "Angreifer nutzen kritische Lücken in Fortinets Sicherheits-Appliance FortiSandbox aus. Korrigierte Firmware steht seit April bereit, Betreiber sollten umgehend aktualisieren. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6c/f8/6cf8b167fef62b623afaa3e74ca6d7f6/0131970576v2.jpeg "Veraltete OT-Systeme sind leichte Ziele für Angreifer, ein Austausch kostet Millionen. OT-Security sichert Anlagen und verschafft Betreibern Zeit für strategische Modernisierung. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/49/35498e1a8647fe1deeeb2461fcfd96a6/0131799168v1.jpeg "Der neu gegründete Safenet-Verband fordert scharfe Kontrollen für importierte Internet-Netzwerkgeräte in Europa. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e8/d8/e8d8fc279ab506c111e3ea6337c42111/0131857480v2.jpeg "Der neu entdeckte DoS-Angriff HTTP/2 Bomb erschöpft den Webserver-Arbeitsspeicher binnen Sekunden. Für IIS, Envoy und Cloudflare Pingora fehlt bislang ein Patch. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/dc/43dc60320bffd0e5055e6f3bede22603/0131919993v2.jpeg "Falco greift als kernelnaher Agent direkt auf Systemaufrufe laufender Kubernetes-Container zu. So erkennt das Tool ungewöhnliche Aktivitäten, die statische Sicherheitsscans nicht erfassen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/da/96da192108efdc9515535582777ce86f/0131919816v2.jpeg "Die kritische Schwachstelle CVE-2026-20253 in PostgreSQL-Sidecar von Splunk Enterprise wird aktiv ausgenutzt. (Bild: © Santiago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/8d/428dc0efc2c83df53175fd9c7184e9fd/0131903746v1.jpeg "Über acht Terabyte an unverschlüsselten Passwörtern, Benutzernamen und E-Mail-Adressen waren zeitweise frei im Netz zugänglich. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/cb/67cb45f559ebb65b6989574c73c7e9a8/0131822268v2.jpeg "Fragmentierte IAM-Landschaften schaffen Angriffsflächen, die klassische Sicherheitsmaßnahmen nicht adressieren. Identity Fabric orchestriert bestehende Systeme und macht Zero Trust konsequent umsetzbar. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/71/66/71661611e59b8408605b7db7dcbec0e4/0131759983v2.jpeg "Die Hälfte der ISX-Tour ist geschafft: Nach München geht es jetzt weiter nach Hamburg und Düsseldorf. (Bild: Vogel-IT Akademie)")
:quality(80)/p7i.vogel.de/wcms/ef/02/ef026ebbc177a0ce4de09becbf79d5ac/0131660873v1.jpeg "Historisch gewachsene IT-Architekturen erweisen sich für die fortschreitende Digitalisierung als Bremsklotz. (Bild: © kiimoshi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/44/06/44065d63b81bbdc3d5a8ef2b1dbbff37/0128179317v2.jpeg "Ein zentrales Zertifikatsregister schafft die für DORA geforderte Transparenz und Steuerbarkeit kryptografischer Assets über ihren gesamten Lebenszyklus und bildet damit den organisatorischen Kern wirksamer Governance, Compliance und Resilienz. (Bild: Maxim - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/a9/5aa92e562cd446b8b13a97f8c70695ad/0122454407v2.jpeg "Erfahren Sie, wie die DORA-Richtlinie neue Maßstäbe in der Cybersicherheit setzt, warum modellbasierte SIEM Use Cases unverzichtbar sind und wie Threat Lead Penetration Testing die digitale Resilienz entscheidend stärkt. Jetzt für 2025 optimal vorbereiten! (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/86/9b86f368fa01fefd20a1fb9df2107c66/0124914317v2.jpeg "Seit dem 17. Januar 2025 müssen in Deutschland mehr als 3.600 Unternehmen die EU-Verordnung DORA anwenden. (Bild: © apk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/f7/45f7d95f04edbb850a215ac0750d8f1c/0126456910v1.jpeg "Cloud-native Architekturen bieten Flexibilität, erfordern aber strenge Governance und DORA-konforme Sicherheitsprozesse im Finanzsektor. (Bild: © Yoonnam - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/0e/af0e378e146fa13018876a3db90fce8f/0117793925.jpeg "Keine Zeit den Kopf in den Sand zu stecken: DORA gilt für nahezu alle Finanzinstitute und der Countdown für die Unsetzung der Anforderungen läuft ... (Bild: rangizzz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/06/44065d63b81bbdc3d5a8ef2b1dbbff37/0128179317v2.jpeg "Ein zentrales Zertifikatsregister schafft die für DORA geforderte Transparenz und Steuerbarkeit kryptografischer Assets über ihren gesamten Lebenszyklus und bildet damit den organisatorischen Kern wirksamer Governance, Compliance und Resilienz. (Bild: Maxim - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585721f505d007d1e689b96526a2ebc/0131793278v2.jpeg "Quantenangriffe bedrohen die kryptografischen Schutzschilde von Finanz-, Gesundheits- und Regierungssektor gleichermaßen. Klassische Verschlüsselung versagt unter Quantendruck, hybride Post-Quantum-Kryptografie soll sie ersetzen. (Bild: Gemini / KI-generiert)")