Auf die Finanzbranche kommen mit der DORA-Verordnung neue Vorgaben zu. Dadurch wird das zentrale Zertifikatsregister zum wichtigen Dreh- und Angelpunkt zur Einhaltung der Pflichten.
Ein zentrales Zertifikatsregister schafft die für DORA geforderte Transparenz und Steuerbarkeit kryptografischer Assets über ihren gesamten Lebenszyklus und bildet damit den organisatorischen Kern wirksamer Governance, Compliance und Resilienz.
(Bild: Maxim - stock.adobe.com)
Die Finanzbranche steht mit der EU-Verordnung DORA (Digital Operational Resilience Act) vor einem tiefgreifenden Wandel in der Governance digitaler Infrastrukturen. Insbesondere der Umgang mit kryptografischen Assets – also digitalen Zertifikaten, Schlüsseln und deren Managementsystemen – wird stärker reguliert. DORA fordert nicht nur technische Absicherung, sondern einen umfassenden organisatorischen Rahmen: dokumentiert, nachweisbar und steuerbar. In diesem Kontext gewinnt das zentrale Zertifikatsregister eine besondere Bedeutung – nicht in erster Linie als IT-Lösung, sondern als zentrales Compliance-Instrument zur Einhaltung regulatorischer Pflichten.
Kryptografische Assets inventarisieren und steuern
Ziel von DORA ist es, die digitale Widerstandsfähigkeit von Finanzunternehmen zu stärken. Artikel 9 der Verordnung sowie mehrere technische Regulierungsstandards (RTS) verpflichten Unternehmen dazu, kryptografische Assets, in einem vollständigen, stets aktuellen Verzeichnis zu führen. Dieses Verzeichnis – das Zertifikatsregister – soll nicht nur die Existenz solcher Assets dokumentieren, sondern auch deren Verwendung, Speicherort, Lebensdauer und Status transparent nachvollziehbar machen. Unternehmen stehen dadurch vor der Herausforderung, ihre Kryptografischen Assets erstmals nicht nur technisch, sondern auch organisatorisch umfassend zu erfassen und zu steuern.
In der Praxis bedeutet das: Unternehmen müssen ihre kryptografischen Prozesse vollständig auf den Prüfstand stellen. Dies beginnt mit einer systematischen Erhebung aller eingesetzten Zertifikate und Schlüssel, setzt sich fort mit der Bewertung ihrer Kritikalität, und mündet in der Dokumentation ihres gesamten Lebenszyklus – von der Ausstellung über die Nutzung bis zum Ablauf oder Widerruf. Für viele Organisationen ist dies ein Paradigmenwechsel. Kryptografie war bislang häufig ein technisches Detailthema. DORA macht sie nun zum Gegenstand von Governance, Audit und strategischem Risikomanagement.
Besonders anspruchsvoll ist dabei die Herstellung unternehmensweiter Transparenz. Viele Unternehmen verfügen über verteilte IT-Umgebungen mit zahlreichen Zertifikatsquellen – oft ohne zentrale Kontrolle oder einheitliche Verantwortlichkeiten. Die Einführung eines zentralen Registers ist hier nicht nur eine technische, sondern vor allem eine organisatorische Aufgabe: Es muss entschieden werden, wer für die Pflege und Aktualität zuständig ist, wie Prozesse zur Erfassung und Aktualisierung etabliert werden und wie die Integration in bestehende Compliance- und Sicherheitsprozesse aussieht.
Ein weiterer kritischer Punkt ist die Nachvollziehbarkeit: DORA verlangt, dass Unternehmen jederzeit belegen können, wie sie mit kryptografischen Assets umgehen – etwa bei Audits durch Aufsichtsbehörden oder im Fall eines Sicherheitsvorfalls. Das setzt voraus, dass alle Prozesse dokumentiert sind, Rollen und Zuständigkeiten klar definiert wurden und alle relevanten Informationen zur Historie eines Assets abrufbar sind. Gerade bei der Etablierung dieser organisatorischen Grundlagen benötigen viele Unternehmen externe Unterstützung.
Auch das Lifecycle-Management kryptografischer Assets wird unter DORA zur Pflicht. Zertifikate und Schlüssel dürfen nicht einfach entstehen und im System verbleiben – sie müssen geplant, kontrolliert und bei Bedarf auch widerrufen oder erneuert werden. Das umfasst konkrete Anforderungen an die Ablaufüberwachung, das Eskalationsmanagement bei abgelaufenen oder kompromittierten Zertifikaten sowie die Dokumentation der jeweiligen Maßnahmen. Unternehmen, die über keine etablierten Prozesse für diese Aufgaben verfügen, geraten hier rasch in ein organisatorisches Defizit – mit potenziellen Folgen für die Compliance.
Hinzu kommt: Die regulatorische Umsetzung erfordert nicht nur neue Prozesse, sondern häufig auch eine veränderte Sicherheitskultur. Kryptografische Assets dürfen nicht mehr isoliert in IT-Abteilungen verwaltet werden – sie müssen als Teil der Gesamtverantwortung in der Unternehmensführung verankert werden. DORA zielt auf bereichsübergreifende Verantwortung: IT, Compliance, Risikomanagement und Revision müssen gemeinsam tragfähige Strukturen entwickeln, um der gesetzlichen Rechenschaftspflicht gerecht zu werden.
In dieser Ausgangslage suchen viele Unternehmen nach Orientierung. Welche Maßnahmen sind sofort umzusetzen? Welche Prozesse müssen angepasst, welche Rollen neu geschaffen werden? Wo beginnt man – und wie lässt sich ein Projekt zur Umsetzung von DORA-Anforderungen effizient steuern? Hier empfiehlt sich ein schrittweises Vorgehen. Zunächst steht eine Reifegradanalyse im Vordergrund: Welche kryptografischen Assets sind bereits im Einsatz, welche Standards werden erfüllt, wo bestehen Lücken? Auf dieser Basis kann eine Roadmap entstehen, die konkrete Maßnahmenpakete definiert – etwa zur Einführung eines zentralen Zertifikatsregister, zur Entwicklung von Governance-Richtlinien oder zur Schulung verantwortlicher Personen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Praxisbeispiel: Effiziente DORA-Umsetzung mit Essendi Crypto
Die DORA-Verordnung fordert von Finanzunternehmen eine umfassende Kontrolle über alle eingesetzten Zertifikate und kryptografischen Schlüssel über deren gesamten Lebenszyklus hinweg. In vielen Organisationen ist das noch nicht durchgängig gegeben. Die Herausforderung: Zertifikate und Schlüssel sind auf verschiedene Systeme verteilt, Prozesse laufen manuell, Verantwortlichkeiten sind nicht eindeutig geregelt. Deshalb gilt es zunächst Transparenz zu schaffen und anschließend Prozesse zur Verwaltung und Kontrolle aufzubauen.
Ein Beispiel ist die Essendi Crypto Solutions Produktfamilie. Sie unterstützt Unternehmen dabei, hier strukturiert vorzugehen. Sie bestehen aus zwei aufeinander abgestimmten Software-Suites, die, alleine oder gemeinsam eingesetzt, alle relevanten Anforderungen abdecken:
Essendi CD unterstützt Kunden beim Finden der vielen Zertifikate in ihrer Netzwerkumgebung. Die Scanning-Software übernimmt die automatische Erkennung und Erfassung kryptografischer Assets über Abteilungs- und Systemgrenzen hinweg. Das daraus entstehende Inventar schafft die notwendige Transparenz – und bildet die Grundlage für ein zentrales Zertifikatsregister, wie es DORA fordert.
Essendi XC vereinfacht die systematische Verwaltung dieser Assets über ihren gesamten Lebenszyklus. Prozesse wie Verlängerung, Widerruf oder Eskalation lassen sich definieren, Zuständigkeiten zuweisen und alle Maßnahmen nachvollziehbar dokumentieren.
Beide Lösungen lassen sich in bestehende IT- und Compliance-Umgebungen integrieren und fügen sich nahtlos in die vorhandene Infrastruktur ein, ohne etablierte Abläufe zu stören. Als europäische Lösung gewährleisten sie volle Datenhoheit und digitale Souveränität. Es gibt keine versteckten Zugänge oder Backdoors. Der Betrieb kann wahlweise on premise oder bei Bedarf in europäischen sowie internationalen Cloud-Umgebungen erfolgen.
Damit entsteht nicht nur die technische Grundlage für ein zentrales Register, sondern auch ein organisatorischer Rahmen, der klare Verantwortlichkeiten und Prozesse sowie revisionssichere Nachweise ermöglicht. Unternehmen behalten den Überblick über ihre digitalen Zertifikate und (Krypto-)Schlüssel, minimieren Sicherheits- und Compliance-Risiken und sichern so ihre Businesskontinuität. Sie sind in der Lage, auf Sicherheitsvorfälle oder Prüfungen jederzeit fundiert zu reagieren.
Die Einführung eines Zertifikatsregister ist weit mehr als ein technischer Schritt – sie ist der operative Kernpunkt der DORA-Konformität im Bereich kryptografischer Sicherheit. Unternehmen, die frühzeitig in organisatorische Klarheit, prozessorientierte Steuerung und dokumentierbare Nachvollziehbarkeit investieren, schaffen nicht nur regulatorische Sicherheit. Sie stärken auch nachhaltig ihre digitale Resilienz – und damit ihre Zukunftsfähigkeit im europäischen Finanzmarkt.
Über die Autoren: Daniel Schulz-Sembten ist Assistant Manager bei KPMG, Pablo Schmücker ist IT-Sicherheitsexperte bei KPMG und Julian Weeber ist Head of Professional Services bei der Essendi IT GmbH.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/5a/a9/5aa92e562cd446b8b13a97f8c70695ad/0122454407v2.jpeg "Erfahren Sie, wie die DORA-Richtlinie neue Maßstäbe in der Cybersicherheit setzt, warum modellbasierte SIEM Use Cases unverzichtbar sind und wie Threat Lead Penetration Testing die digitale Resilienz entscheidend stärkt. Jetzt für 2025 optimal vorbereiten! (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/04/a7046ac19609b7b8606caa213c7da556/0118997463v2.jpeg "Die manuelle Verwaltung kryptografischer Assets gefährdet die Sicherheit von IT-Umgebungen und kann zu schwerwiegenden Sicherheitsvorfällen führen. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/86/9b86f368fa01fefd20a1fb9df2107c66/0124914317v2.jpeg "Seit dem 17. Januar 2025 müssen in Deutschland mehr als 3.600 Unternehmen die EU-Verordnung DORA anwenden. (Bild: © apk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/f7/45f7d95f04edbb850a215ac0750d8f1c/0126456910v1.jpeg "Cloud-native Architekturen bieten Flexibilität, erfordern aber strenge Governance und DORA-konforme Sicherheitsprozesse im Finanzsektor. (Bild: © Yoonnam - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/0e/af0e378e146fa13018876a3db90fce8f/0117793925.jpeg "Keine Zeit den Kopf in den Sand zu stecken: DORA gilt für nahezu alle Finanzinstitute und der Countdown für die Unsetzung der Anforderungen läuft ... (Bild: rangizzz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/0a/f80a85081c5dc7af43ea305d2c069393/0124351245v1.jpeg "Wie sich Unternehmen aus der Finanzbranche optimal auf DORA vorbereiten können. (Bild: BritCats Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/da/7fda7be1eba4b7af25abe3ac176b62e4/0127615649v2.jpeg "Identity & Access Management bildet das Rückgrat digitaler Souveränität – es schafft Transparenz, Kontrolle und Vertrauen in einer vernetzten IT-Welt. (Bild: © Daniel - stock.adobe.com)")