IT-Betrieb und Security in Finanzunternehmen sind organisatorisch längst zusammengewachsen, systemisch aber noch getrennt. DORA macht die Integration zur Pflicht und erhöht den Druck, Silos in der Sicherheitsarchitektur zu überwinden. KI kann dabei als intelligenter Übersetzer zwischen beiden Welten fungieren.
IT-Betrieb und Security in Finanzunternehmen sind organisatorisch vereint, systemisch aber noch getrennt. DORA und KI treiben die Integration voran.
Die Woche startet für die Bank mit einer unangenehmen Überraschung: Ein zentraler Server für den Zahlungsverkehr meldet am Montagmorgen eine enorme CPU-Last. Es werden permanent Überweisungsaufträge gesendet. Das System droht unter der Anfragenflut zusammenzubrechen und abzustürzen. Was ist zu tun?
Lange Zeit gab es für die Antwort dieser Frage unterschiedliche Sichtweisen. Der IT-Betrieb identifiziert eine Gefahr für den Zahlungsverkehr: Stürzt das System ab, stehen die Überweisungen still. Es droht eine Downtime. Um sie abzuwenden, wollen die Administratoren den Server sofort neu starten und so den Dienst für die Kunden retten. Die Experten des Security Information and Event Management (SIEM) vermuten einen Hacker-Angriff, etwa in Form einer Ransomware-Attacke. Sie müssen das System sofort isolieren und den Arbeitsspeicher sichern. Nur so lassen sich digitale Spuren sichern und der Angriff entschlüsseln.
Die Geschichte ist ein fiktives Beispiel. Aber sie verdeutlicht ein historisch gewachsenes Problem in vielen Banken und Finanzunternehmen. Dort arbeiteten IT-Betrieb und IT-Security lange Zeit getrennt voneinander. Die einen optimierten auf Performance und Stabilität, die anderen auf Risikominimierung und Compliance. Die einen schauten auf Auslastungskurven, die anderen auf Bedrohungsmuster. Das führte im Falle eines Angriffs zu Interessenkonflikten. Denn wer entscheidet im Ernstfall, was zu tun ist und welche Konsequenzen folgen daraus? Wenn der Betrieb den Neustart erzwingt, löscht er wertvolle Beweise. Friert die Security den Server stundenlang ein, blockiert sie das Kerngeschäft. Beides ist im digitalen Zeitalter nicht mehr praktikabel. Finanzunternehmen können es sich zunehmend weniger leisten, Betrieb und Security voneinander zu trennen.
Die gute Nachricht: Viele Unternehmen haben das bereits erkannt. In den meisten Instituten arbeiten IT-Betrieb und -Security schon zusammen, sind organisatorisch verwachsen. Für die Systeme gilt das jedoch häufig noch nicht. Zwar verschwindet die Trennung in modernen Cloud-Strukturen zunehmend. Beispielsweise durch Ansätze wie DevSecOps (Development, Security, Operations), wo Sicherheitsaspekte direkt bei der Softwareentwicklung mitgedacht werden. Doch gerade in der Finanzwelt können alte Kernbankensysteme den Fortschritt verlangsamen, weil sie mit den modernen Lösungen oft nicht kompatibel sind. Zudem sind die Systeme in der Regel isoliert gewachsen – und die Sicherheitsarchitektur gleich mit. Eine hohe Komplexität ist die Folge. Das beweist auch eine aktuelle Studie von IDC und KPMG. Darin sagt jeder dritte Befragte (37 %), siloartige, nicht integrierte Sicherheitstools seien eine Hürde, um die Ursache von Sicherheitsvorfällen zu ermitteln.
Das ist gerade deshalb relevant, weil Cyber-Angriffe zunehmend schwerer zu erkennen sind. Hacker verändern ihre Strategie. Ransomware-Attacken etwa gehen mittlerweile deutlich leiser, schneller und dank KI automatisierter vonstatten. Während Angreifer früher ganze Systeme verschlüsselt haben, schleichen sie sich heute eher unbemerkt ein, saugen Daten ab und manipulieren Informationen. Der schnellste Angriff der jüngsten Vergangenheit dauerte nur wenige Minuten. Um solche Eingriffe zu erkennen, muss die Security sehr tief in die Monitoring-Tools des Betriebs eingebunden sein. Doch dafür braucht es nicht nur Zugriffsrechte, sondern auch die Automatisierung und Anbindungen an die wichtigen Applikationen und Sicherheitssysteme. Nur wer die Telemetriedaten des Alltags mit den Sicherheitsereignissen verknüpft, erkennt Anomalien rechtzeitig.
Der Gesetzgeber fordert mittlerweile genau das. So steigt zusätzlich zur Bedrohung auch der regulatorische Druck auf die Unternehmen. Eine Ursache dafür ist der Digital Operational Resilience Act (DORA), der nun seit etwas mehr als einem Jahr in Kraft ist. Durch ihn ist IT-Security keine Checkliste mehr, sondern fester Bestandteil der operativen Widerstandsfähigkeit – und zwar auf Basis der Bedrohungen eines Unternehmens. Die Aufsicht legt verstärkt Wert darauf, dass Unternehmen wesentliche Bedrohungen kennen und robuste Wiederanlaufkonzepte vorhalten. Das bringt IT-Betrieb und IT-Security zusammen. Es braucht gemeinsame Wiederanlaufpläne, die sicherstellen, dass der Betrieb schnell wieder läuft.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Aber wie werden Unternehmen dieser Situation gerecht – der wachsenden Gefahr aus dem Netz, der immer strengeren Regulierung und der historisch gewachsenen Fragmentierung der Sicherheitslandschaft? Hier kommt KI ins Spiel. Sie kann die Rolle eines intelligenten Übersetzers übernehmen, der permanent zwischen Betrieb und Sicherheit vermittelt. KI-Systeme können Datenströme aus beiden Welten in Echtzeit korrelieren, Muster erkennen und beispielsweise Vorschläge für neue Schwellwerte eines Security Operation Centers (SOC) oder auch Use Cases definieren. Sie verknüpfen Sicherheitsvorfälle automatisch mit den Logs des IT-Betriebs. Das beschleunigt die Cyber-Abwehr enorm. Erkennt die KI beispielsweise einen verdächtigen Zugriff, kann sie diesen sofort blockieren, ohne das gesamte System lahmzulegen. Auf diese Weise schafft sie eine „Single Source of Truth“, die für beide Teams eine allgemeingültige Entscheidungsgrundlage bildet.
Um sie in den Arbeitsalltag einer Bank zu integrieren, kann ein agnostisches Risiko-Dashboard mit den Kern-KPIs ein guter Hebel sein. Wie in einer Art Cockpit würden alle relevanten Daten an einer Stelle zusammenfließen: Bedrohungslagen, Schutzbedarfsanalysen der einzelnen Applikationen, Informationen aus dem Patch-Management. Ein Chief Information Security Officer (CISO) oder ein Chief Information Officer (CIO) sieht dort sekundengenau, wo die größten Gefahren lauern, und erfährt in Echtzeit, ob kritische Applikationen gerade bedroht sind oder ob wichtige Sicherheitsupdates fehlen. Auch Simulationen für Bedrohungsszenarien können über KI dargestellt werden. Zudem können die wichtigsten Handlungsfelder für zielgerichtete Investitionen und Projekte erkannt werden.
Damit ein solches Dashboard funktioniert, sollte es allerdings systematisch aufgebaut werden. Denn was nutzt es dem CISO, wenn im Cockpit Aktionen auflaufen, die kritische Applikationen gar nicht betreffen? Deshalb ist es wichtig, zunächst die Top-Bedrohungen zu identifizieren und die Sicherheitslandschaft auch dahingehend auszurichten. Das bedeutet, die Anwendungen so zu priorisieren, dass sie den Schutzbedarf realistisch abbilden. Nach der Priorisierung ist das Zusammenspiel das A und O. IT-Betrieb und -Security müssen nicht nur organisatorisch, sondern auch systemisch zusammenwachsen – und automatisiert werden. Dafür braucht es eine Sicherheitsarchitektur, die Systeme vernetzt und Prozesse synchronisiert. Gemeinsame Runbooks im Sinne von Incidence und Response dürfen nicht nur in der Schublade liegen, sie müssen als automatisierte Abläufe in den Systemen hinterlegt sein.
Das hätte auch der Bank im Eingangsbeispiel geholfen. In einer vernetzten Welt sieht das Team schließlich kein isoliertes Lastproblem, sondern das Dashboard liefert sofort den Kontext: Gezielter Angriff auf unser Zahlungsmodul, KI hat die Beweissicherung isoliert gestartet und die Last auf die Backup-Systeme geleitet. Die Security erhält ihre forensischen Daten, der Betrieb bleibt stabil – und die Woche startet entspannt.
Über den Autor: Christian Nern ist Partner und Head of Cyber Security und Tech Regulation Solution bei KPMG im Bereich Financial Services in München. Vor seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang in exponierten Leadership-Positionen verschiedener Bereiche in der IT-Industrie gearbeitet.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/8c/1b8c9daac953cdc1626e92fc5b1dbef6/0122470970v1.jpeg "Microsofts Juni-Patchday schließt rund 206 Schwachstellen, darunter einen aktiv ausgenutzten Zero-Day in Defender. Sicherheitsteams müssen zusätzlich außerplanmäßige Exchange-Updates einplanen. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/b5/6ab598d2e83ca9d83405cefb4a159a39/0131691458v2.jpeg "Eine Schwachstelle im Windows Explorer (CVE-2026-25185) zwingt Windows-Systeme über manipulierte LNK-Dateien zur Authentifizierung an fremde Server. Das Anzeigen eines freigegebenen Ordners genügt. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/69/4269999773d4d413fa17a36ece8ae43a/0131174875v1.jpeg "Akamai erweitert seine API-Security-Plattform um ein Posture Center und Code-to-Runtime-Mapping für messbare API-Sicherheit und schnellere Fehlerbehebung. (Bild: Akamai)")
:quality(80)/p7i.vogel.de/wcms/06/5e/065e92af5e901aebe20227cc6ff5ede5/0131694546v2.jpeg "IT-Betrieb und Security in Finanzunternehmen sind organisatorisch vereint, systemisch aber noch getrennt. DORA und KI treiben die Integration voran. (Bild: © Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/8d/aa8da96123055f62a20b360a8d395663/0131669958v1.jpeg "Unkontrollierte API-Schlüssel für KI-Agenten werden zur wachsenden Angriffsfläche. Mit dem EU AI Act wird der Kontrollverlust zum regulatorischen Risiko für Unternehmen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cb/40/cb407c88e468ea328316eacf9989bf51/0131691124v1.jpeg "Check Point stellt einen Hotfix für zwei VPN-Schwachstellen bereit. Eine der Lücken wird bereits aktiv ausgenutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/52/aa/52aa56cfa8429500aed9c345cb3b5b26/0131021993v1.jpeg "Ein Blick in das Lernlabor des Konsortiums des Fraunhofer IESE und der Hochschule Worms in Kaiserslautern.
(Bild: Fraunhofer IESE)")
:quality(80)/p7i.vogel.de/wcms/82/83/8283d1d700e0582909b74705cc6c4e28/0131665494v2.jpeg "Die kritische Schwachstelle CVE-2026-20223 mit CVSS 10.0 erlaubt unauthentifizierten Angreifern Site-Admin-Rechte in Cisco Secure Workload zu erlangen. Patches sind verfügbar. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/7d/d37da587e71df94e386d637359e2dd20/0131661753v2.jpeg "Underminr leitet Verbindungen über fremde CDN-Mandanten und tarnt dabei C2-Verkehr hinter erlaubten Domains. Rund 88 Millionen Domains sind potenziell betroffen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/77/0e7755d3244b65ac9dcf77251d1f5246/0131519002v1.jpeg "Die EU-Verordnung eIDAS 2.0 schafft zwar einen standartisierten Rahmen für digitale Identitäten, wird von Unternehmen aber als komplex und teuer empfunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/e8/b8e8b6218eb7be40fe2a3a80cb992a2d/0131667121v1.jpeg "Europäische digitale Souveränität bedeutet nicht Abschottung, sondern kontrollierte Öffnung. Wer die kryptografischen Schlüssel hält, behält die Datenkontrolle unabhängig vom Standort. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/93/eb/93eb3147fbb7a93702638c0baa15aa5d/0131538616v2.jpeg "NIS2-ready? Mit dem NIS2 Readiness Check von Enginsight sollen Unternehmen das nun in unter zehn Minuten erfahren können. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/09/2f/092f59aaa1ea4b03c5d0a0ae9bbef9ac/0121953579v2.jpeg "Der Channel hat DORA auf dem Schirm und ist dran, seine Partner und Kunden gut vorzubereiten. (Bild: chayantorn - stock.adobe.co / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/45/f7/45f7d95f04edbb850a215ac0750d8f1c/0126456910v1.jpeg "Cloud-native Architekturen bieten Flexibilität, erfordern aber strenge Governance und DORA-konforme Sicherheitsprozesse im Finanzsektor. (Bild: © Yoonnam - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/0e/af0e378e146fa13018876a3db90fce8f/0117793925.jpeg "Keine Zeit den Kopf in den Sand zu stecken: DORA gilt für nahezu alle Finanzinstitute und der Countdown für die Unsetzung der Anforderungen läuft ... (Bild: rangizzz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/a9/5aa92e562cd446b8b13a97f8c70695ad/0122454407v2.jpeg "Erfahren Sie, wie die DORA-Richtlinie neue Maßstäbe in der Cybersicherheit setzt, warum modellbasierte SIEM Use Cases unverzichtbar sind und wie Threat Lead Penetration Testing die digitale Resilienz entscheidend stärkt. Jetzt für 2025 optimal vorbereiten! (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/0a/f80a85081c5dc7af43ea305d2c069393/0124351245v1.jpeg "Wie sich Unternehmen aus der Finanzbranche optimal auf DORA vorbereiten können. (Bild: BritCats Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/f7/45f7d95f04edbb850a215ac0750d8f1c/0126456910v1.jpeg "Cloud-native Architekturen bieten Flexibilität, erfordern aber strenge Governance und DORA-konforme Sicherheitsprozesse im Finanzsektor. (Bild: © Yoonnam - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/95/30955808c0adebb198dde2479bfa0d21/0125535386v1.jpeg "Ohne umfassende Datenbanküberwachung ist die Einhaltung der DORA-Vorgaben faktisch nicht möglich. (Bild: © Tee11 - stock.adobe.com)")