Die digitale Resilienz der Finanzwelt wird auf die Probe gestellt: Seit dem 17. Januar 2025 müssen in Deutschland mehr als 3.600 Unternehmen die EU-Verordnung DORA anwenden (BaFin). Die neuen Cybersicherheitsstandards fordern effizientes Notfall- und Drittanbieter-Management und die Integration robuster Maßnahmen im laufenden Betrieb. So klappt die Implementierung.
Seit dem 17. Januar 2025 müssen in Deutschland mehr als 3.600 Unternehmen die EU-Verordnung DORA anwenden.
Europäische Finanzinstitute sehen sich auch 2025 mit einer besorgniserregend hohen Zahl an Cyberangriffen konfrontiert. Alleine 2024 berichten 60 Prozent der deutschen Unternehmen, dass ihre geschäftliche Existenz durch Cyberangriffe bedroht wäre. Der Finanzsektor steht besonders unter Druck – die großen Datenmengen in den IT-Systemen von Banken locken immer wieder Kriminelle an, die effektive Strategien entwickelt haben, um Schwachstellen gezielt auszunutzen.
Um die Auswirkungen dieser Bedrohung besser einschätzen zu können, führt die Europäische Zentralbank seit der Finanz- und Wirtschaftskrise 2008 immer wieder Stresstests durch, um die Reaktion von Banken im Krisenfall zu testen (EZB). Am letzten Cyber-Stresstest im Jahr 2024 waren 109 Banken beteiligt (EZB). Das Ergebnis: Banken verfügen zwar über einen Rahmen zur Reaktion und Wiederherstellung der Sicherheit, in einigen Bereichen herrscht jedoch weiterhin Verbesserungsbedarf. Dazu zählen vor allem die Sicherstellung der Geschäftskontinuität nach einem Angriff und die Verstärkung von Backup-Maßnahmen. Auch bei der Überprüfung externer Dienstleister herrscht Handlungsbedarf. Die Ergebnisse des Tests flossen in den Supervisory Review and Evaluation Process (SREP) der EZB ein, der eine einheitliche Überprüfung der Risikoprofile von Banken ermöglichen und der Aufsicht als Grundlage bei der Entscheidung über eventuell erforderliche Aufsichtsmaßnahmen dienen soll. Die Ergebnisse ermöglichen Banken wichtige Einblicke in die Robustheit ihrer Cybersecurity-Strategie und bieten wertvolle Handlungsansätze.
DORA stärkt den Sektor – bleibt in der Umsetzung aber herausfordernd
Mit dem Digital Operations Resilience Act (DORA) der Europäischen Union wird die Cybersicherheit klar geregelt (eiopa). Seit Anfang des Jahres ist die Verordnung in Kraft und soll die operative Resilienz des europäischen Finanzsektors sicherstellen und stärken. Für Banken, Versicherungsgesellschaften, Zahlungsdienstleister, Investmentgesellschaften und kritische Drittanbieter gelten nun spezifische Regeln, die die digitale Widerstandsfähigkeit gegen Angriffe und IT-Störungen gewährleisten sollen. Die Bestandteile von DORA reichen von der Schaffung eines einheitlichen EU-weiten Aufsichts- und Rechtsrahmens, der Verpflichtung zur Schaffung robuster Strategien zur Identifizierung und Bewältigung von Sicherheitsrisiken: IT-Systeme müssen künftig auch bei Störungen und Cyberangriffen stabil und geschützt bleiben – von der Datenverfügbarkeit bis zur -integrität. Außerdem ist eine detaillierte Prüfung und Integration externer Dienstleister in die Sicherheitsstruktur Pflicht. Unternehmen müssen funktionierende Notfallpläne nicht nur entwickeln, sondern auch regelmäßig testen und anpassen – jede Sicherheitsmaßnahme muss dokumentiert und auf Anfrage vorgelegt werden können.
Die erhöhten Sicherheitsstandards sollen die Sicherheit und Operabilität von IT-Systemen auch im Störungs- oder Angriffsfall gewährleisten. Dazu ist es zunächst notwendig, die individuelle Sicherheitslage zu bewerten und Schwachstellen zu identifizieren. Eine detaillierte GAP-Analyse (KPMG) hilft bei der Bewertung und Priorisierung, wobei kritische Systeme wie Zahlungsplattformen und Kundendatenbanken immer priorisiert werden sollten. Die anschließende Implementierung der neuen Standards ist aber gerade deshalb so herausfordernd, weil Änderungen im laufenden Betrieb vorgenommen werden müssen – besonders für Unternehmen mit gewachsenen IT-Infrastrukturen.
Statt große Teile der IT-Struktur zu ersetzen, sollten gezielte modulare Erweiterungen implementiert werden, die bestehende Systeme erweitern – beispielsweise Tools zur Echtzeit-Überwachung oder zur Automatisierung von Compliance-Prozessen. Technologiepartner bieten Lösungen, die verdächtige Aktivitäten sofort erkennen und Schritte einleiten, ohne den laufenden Betrieb zu gefährden. Compliance-Aufgaben können hingegen effektiv mittels Regtech-Lösungen automatisiert werden. Das spart Zeit, ermöglicht eine effizientere Risikobewertung und vermeidet menschliche Fehler.
Drittanbieter-Sicherheit prüfen und effektiv managen
Die Zusammenarbeit mit Drittanbietern ist gerade im modernen Finanzsektor zentral. DORA legt strenge Anforderungen an das Management dieser Drittanbieter sowie an die Sicherheit digitaler Identitäten fest. Während solche Partner für den modernen Finanzsektor essenziell sind, stellen unzureichende Kontrolle, Konzentrationsrisiken und IT-Sicherheitslücken bedeutende Schwachstellen dar – zumal Sicherheitsmaßnahmen und Resilienzstrategien von Dienstleistern für Finanzinstitute häufig nur schwer nachvollziehbar sind.
Dabei kann ein Ausfall oder Sicherheitsvorfall auf Anbieterseite gravierende Folgen für den gesamten Finanzsektor nach sich ziehen und bestehende Schwachstellen als potenzielle Angriffspunkte für Cyberkriminelle öffnen. Deshalb sollten Finanzunternehmen regelmäßige Audits einplanen, in denen die Sicherheitsstandards und Resilienzpläne der Partner bewertet werden – besonders bei kritischen Dienstleistern. Know Your Customer (KYC) ist dabei mehr als nur regulatorische Pflicht, sondern hilft auch, das Vertrauen von Kunden und Partnern zu sichern. Präzise Identitätsprüfungen werden dabei zur essenziellen Voraussetzung, um Betrug zu minimieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Notfallpläne entwickeln, regelmäßig testen und anpassen
Wie der Stresstest zeigt, verfügen Banken bereits über einen Rahmen, um im Störungs- oder Angriffsfall zu reagieren und die Sicherheit wiederherzustellen. Diese müssen spätestens mit DORA in funktionierende Notfallpläne umgesetzt werden, die wiederum regelmäßig getestet und angepasst werden müssen. Notfallsimulationen und Penetrationstest sind wichtige Instrumente, um die Wirksamkeit bereits implementierter Maßnahmen auf den Prüfstand zu stellen und eventuell bestehende Handlungsanforderungen oder Anpassungen zu identifizieren. Anschließend müssen Maßnahmen neu bewertet werden, um die Sicherheit der Systeme auch im Ernstfall gewährleisten zu können.
DORA ist Herausforderung und Chance
Die Gewährleistung der DORA-Standards bleibt für Finanzunternehmen nicht ohne Herausforderung. Sie bietet gleichzeitig aber auch den Rahmen, um ihre Sicherheitsstandards auf ein neues Niveau zu heben und ihre Resilienz zu stärken, im Notfall auf robuste Prozesse zurückgreifen und die Operabilität schnell wiederherstellen zu können. Ein modularer Ansatz im laufenden Betrieb, die Einführung und Prüfung von Notfallplänen sowie die Optimierung des Drittanbieter-Managements und die Integration von Echtzeit-Überwachung und Compliance ermöglichen es den Instituten, die Anforderungen zu erfüllen. Das minimiert sowohl Kosten als auch Risiken und stärkt gleichzeitig das Vertrauen bei Kunden und Partnern.
Über den Autor: Peter Grausgruber ist Chief Financial Officer beim RegTech-Spezialisten Fourthline. Vor seinem Wechsel zu Fourthline war der Experte CFO der Krypto-Börse Bitpanda und bringt langjährige Expertise in der Implementierung regulatorischer Compliance-Strategien ein.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5b/94/5b940fd0f2a907c9b981ad715bd1a1a7/0128740476v2.jpeg "Die betroffenen D-Link-Router haben 2020 ihr End-of-Life erreicht. Deshalb wird es von D-Link keine Sicherheitsupdates geben, um CVE-2026-0625/EUVD-2026-0944 zu schließen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c0/ea/c0ea15d2614c54a6da1e18299428cc95/0128851547v2.jpeg "Im Rückblick auf 2025 verzeichnete der KEV-Katalog der CISA einen alarmierenden Anstieg von 20 Prozent ausgenutzten Schwachstellen, was die dringende Notwendigkeit für Unternehmen weltweit verdeutlicht, Sicherheitslücken aktiv zu priorisieren. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/d7/afd75f951f4396db9cdb419b378b5699/0128927763v2.jpeg "Das BKA und die ZIT fahnden nach dem Anführer von Black Basta, einer der aktivsten Ransomware-Gruppen der Welt. (Bild: arrow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/0e/380e0d4a17254692074ed5872ffc3908/0128878981v1.jpeg "Integrierte Endpoint-Plattformen sollen ITOps und SecOps eine gemeinsame Arbeitsbasis bieten und Reaktionszeiten verkürzen. (Bild: © Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/78/0678ce1dceed0f9a6205f464fd5a33da/0125974706v1.jpeg "Windows Server 2025 bringt zahlreiche neue Gruppenrichtlinien für Sicherheit, Updates, Energiesparmodus, SMB over QUIC und mehr – zentral steuerbar per Admin Center. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/72/e8/72e8ce3f4b573d059393e5a5991e9e2f/0128518662v2.jpeg "Phishing nutzt psychologische Trigger und bleibt trotz Technik gefährlich. Vernetzte Abwehr mit Micro-Trainings, einfachen Meldemechanismen und E-Mail-Authentifizierung senkt Risiken. (Bild: © mk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/af/0e/af0e378e146fa13018876a3db90fce8f/0117793925.jpeg "Keine Zeit den Kopf in den Sand zu stecken: DORA gilt für nahezu alle Finanzinstitute und der Countdown für die Unsetzung der Anforderungen läuft ... (Bild: rangizzz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/56/eb56a3ebc5cd967fd25182c419b730d0/0120414927v2.jpeg "Auch wenn die Umsetzung von DORA erhebliche Aufwände verursacht: Finanzinstitute müssen die Vorschriften von DORA umsetzen und das kommt ihnen bei ihrer operativen Widerstandsfähigkeit sowie Sicherheit zugute. (Bild: Katynn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/50/85508acfcf7aa688c71b7ae408827ae6/0115764902.jpeg "Warum eine GAP-Analyse auch bei kleinen und mittelständischen Unternehmen zum Standard gehören sollte und welche Risikobereiche damit abgedeckt werden, erläutert Viviane Sturm, IT-Security Consultant bei dem Braunschweiger IT-Systemhaus Netzlink Informationstechnik. (Bild: Ticha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/2f/092f59aaa1ea4b03c5d0a0ae9bbef9ac/0121953579v2.jpeg "Der Channel hat DORA auf dem Schirm und ist dran, seine Partner und Kunden gut vorzubereiten. (Bild: chayantorn - stock.adobe.co / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5a/a9/5aa92e562cd446b8b13a97f8c70695ad/0122454407v2.jpeg "Erfahren Sie, wie die DORA-Richtlinie neue Maßstäbe in der Cybersicherheit setzt, warum modellbasierte SIEM Use Cases unverzichtbar sind und wie Threat Lead Penetration Testing die digitale Resilienz entscheidend stärkt. Jetzt für 2025 optimal vorbereiten! (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/5d/c45d4eb3b8c4a32d260a93af67d62e64/0124529280v2.jpeg "Sichere Geschäftskommunikation im Finanzsektor in Zeiten von DORA braucht der Bedrohungslage angemessene Kommunikationslösungen. (Bild: © Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/eb/56eb26fd706af1e54a5d97a52cd5cd1c/0125831444v1.jpeg "Die EZB bemüht sich, die Bankenlandschaft gegen den Sturm der Cyberbedrohungen abzusichern. Neue Richtlinien zum Umgang mit Cloud-Dienstleistern wie DORA und strenge IT-Standards sollen die Resilienz der Finanzinstitute fördern. (Bild: © Саша Федюк - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/f7/45f7d95f04edbb850a215ac0750d8f1c/0126456910v1.jpeg "Cloud-native Architekturen bieten Flexibilität, erfordern aber strenge Governance und DORA-konforme Sicherheitsprozesse im Finanzsektor. (Bild: © Yoonnam - stock.adobe.com)")