DORA: Wie lassen sich die Anforderungen erfüllen? Was gehört zur Basisarbeit?

Organisationen, die im Finanzsektor tätig sind, müssen die Vorgaben von DORA umsetzen. Hier erfahren Sie, was die wichtige EU-Verordnung genau fordert und welche Rolle die Systemhärtung dabei spielt.

(KI-)Cyber-Attacken bedrohen die Finanzbranche

“Die Bafin rückt Cyber-Attacken und IT-Pannen als die größten Risiken für den Finanzsektor in den Mittelpunkt”, schrieb die Süddeutsche Zeitung in einem Artikel. Darin gibt es auch dieses Zitat von Mark Branson: “Wir haben das Gefühl, diese Attacken kommen immer näher ans Herz des Finanzsystems”, so der Bafin-Präsident. “Wir müssen alles tun, um das abzuwehren.”

Die Bafin (die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht) hat die Zeichen der Zeit erkannt. Deshalb unterstützt sie die schnelle Umsetzung von DORA (Digital Operational Resilience Act). In Zeiten, in denen Cyberangriffe zunehmen und KI-Systeme diese massive unterstützen können, sind Cybersecurity und Cyberhygiene wichtiger denn je.

Banken und Finanzinstitute warnen vor KI-Angriffen (Screenshot: ARD / Tagesschau)
KI-Angriffe bedrohen das Finanzsystem. Unter anderem berichtete die Tagesschau über die besonderen Fähigkeiten von Claude Mythos.

Welche Maßnahmen sind zu ergreifen?

Als IT-Verantwortlicher müssen Sie zahlreiche Maßnahmen einleiten, überwachen und optimieren, um die DORA-Vorgaben umzusetzen. Denn wie so oft handelt es sich hierbei nicht um einen schnellen Sprint, sondern um einen Marathon. Einer, der kein Ende hat, sondern fortwährend läuft.

Die österreichische Finanzmarktaufsicht (FMA) und die Österreichische Nationalbank (OeNB) haben im Juni 2026 gemeinsam das Paper “DORA-Dialog: KI-basierte Schwachstellensuche und -ausnutzung” veröffentlicht. In diesem werden essentielle To-Dos im Bezug auf DORA allgemein und KI-Angriffe im Speziellen genannt.

Hier ein Screenshot aus der Zusammenfassung:

Schutz & Maßnahmen gegen KI-Angriffe (Screenshot: Finanzmarktaufsicht & Österreichische Nationalbank)

Wie Sie sehen, sind das alles keine neuen Konzepte, sondern altbewährte Cybersecurity-Strategien. Strategien, die gegen “klassische” Cyberattacken wie auch gegen moderne KI-Angriffe helfen.

Bei den genannten Pflichtmaßnahmen geht es unter anderem darum geht, die Infrastruktur auf den Stand der Technik zu bringen, die Angriffsflächen zu reduzieren und die Systemresilienz zu erhöhen.

Wie lässt sich eine solide Basis für DORA schaffen?

Prävention – Detektion – Reaktion: Das ist ein altbekannter Dreiklang in der Informationssicherheit. Das heißt, sie sollten zuerst präventiv Ihre IT-Systeme bestmöglich schützen, bevor sie in Detektions- und Reaktionslösungen investieren.

Kurz: Implementieren Sie als Grundlage eine professionelle Systemhärtung (engl. System Hardening), mit der sich die Angriffsflächen deutlich reduzieren lassen!

Wichtig: Bei einer umfassenden, zeitgemäßen Härtung müssen Sie pro System hunderte Einstellungen anpassen, protokollieren, überwachen und gegebenenfalls optimieren. Das ist bei großen Systemlandschaften, wie sie häufig bei Finanzinstituten oder Versicherungen anzutreffen sind, für die meisten IT-Teams zeitlich nicht stemmbar.

Die Lösung? Automatisierung! Ein Hardening-Tool wie der Enforce Administrator kann quasi per Knopfdruck die gewünschte Härtungskonfiguration realisieren,  diese kontinuierlich überwachen und automatisch korrigieren kann.

⏬ Features & Leistungen:
Enforce Administrator Produktbroschüre (PDF)

Der Enforce Administrator kommt bei zahlreichen, von DORA betroffenen Organisationen zum Einsatz. Zu diesen gehören unter anderem das Bankhaus Metzler, die Aachener Grundvermögen und SÜDVERS.

Benötigen Sie weitere DORA-Informationen?

Möchten Sie mehr über die europäische Regulierung erfahren? Wollen Sie sich in die Vorgaben von DORA vertiefen? Benötigen Sie zusätzliche Tipps zur Umsetzung? Oder sollen wir Ihnen genauer erklären, warum DORA und Systemhärtung eng miteinander verwoben sind?

Dann sollten Sie auch den Rest unseres DORA-Ratgebers lesen!

_________________

DORA: Was ist das genau?

Das Akronym “DORA” steht für “Digital Operational Resilience Act”. Diese Verordnung der Europäischen Union zielt darauf ab, die digitale operative Widerstandsfähigkeit im gesamten Finanzsektor zu stärken.

Sie soll sicherstellen, dass Finanzunternehmen wie Banken und Versicherungen in der Lage sind, ihre IT-Systeme und digitalen Prozesse vor Cyber-Bedrohungen zu schützen, sich von Sicherheitsvorfällen schnell zu erholen.

Ab wann ist DORA “gültig”?

Die Verordnung (konkret: Regulation (EU) 2022/2554) wurde am 14. Dezember 2022 vom Europäischen Parlament und dem Rat der Europäischen Union verabschiedet. Seit dem 17. Januar 2025 ist DORA anwendbar. Das bedeutet, dass ab diesem Zeitpunkt die betroffenen Institutionen und Unternehmen die Vorgaben in der Praxis umsetzen müssen.

Doch es gibt Ausnahmen: “Für einige Institute gilt eine Übergangsfrist. Sie müssen DORA erst ab dem 1. Januar 2027 vollständig anwenden. Das regelt das KWG, das Kreditwesengesetz”, erklärt  Jens Obermöller in einem Interview.

Der Referatsleiter, Gruppe IT-Aufsicht der BaFin, weiter: “Nach der Übergangsfrist heben wir die BAIT [Bankenaufsichtliche Anforderungen an die IT] dann auch vollständig auf. Wer genau betroffen ist und welche DORA-Anforderungen wann erfüllt werden müssen, ist im Finanzmarktdigitalisierungsgesetz festgelegt worden.”

Ziele: Warum gibt es DORA?

Mit der zunehmenden Digitalisierung und Vernetzung im Finanzsektor steigt das Risiko von Cyberangriffen und IT-Ausfällen. Diese können nicht nur einzelne Institutionen, sondern auch die Stabilität des gesamten Finanzsystems gefährden.

Der Digital Operational Resilience Act wurde somit eingeführt, um einen einheitlichen Rahmen für die digitale Resilienz im Finanzsektor zu schaffen, der die Prävention, Erkennung, Reaktion und Wiederherstellung im Falle von Störungen und Bedrohungen verbessern soll.

Daher müssen alle von DORA betroffenen Organisationen und Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen, um die Risiken eines Cybersecurity-Vorfalls zu minimieren. Darüber hinaus müssen mögliche Kompromittierungen unverzüglich gemeldet und beseitigt werden.

Malware Developer (Bild: Freepik Pikasa)

Für welche Unternehmen gilt DORA?

Die europäische Verordnung zur digitalen Resilienz im Finanzsektor gilt für eine breite Palette von Firmen und Organisationen, zum Beispiel für:

Ausgenommen vom Digital Operational Resilience Act sind beispielsweise:

    • Postgiroämter gemäß der Richtlinie 2013/36/EU
    • Kleinstunternehmen oder KMU im Bereich der Versicherungsvermittlung
    •  Einrichtungen der betrieblichen Altersversorgung mit weniger als 15 Versorgungsanwärtern

Was müssen IT-Verantwortliche wegen DORA beachten?

Wenn Sie für die IT-Systeme eines Unternehmens verantwortlich sind, das den Digital Operational Resilience Act einhalten muss, haben Sie unter anderem die folgenden Maßnahmen umzusetzen, zu optimieren und ständig im Blick zu behalten:

Erweitertes IT-Risikomanagement

DORA verlangt von Ihnen, ein umfassendes Risikomanagement-Framework zu implementieren, das vorhandene Risiken bewertet sowie präventive und reaktive Maßnahmen umfasst. Sie müssen damit sicherstellen, dass Risiken kontinuierlich identifiziert, bewertet, überwacht und gemindert werden.

Zudem haben Sie Richtlinien und Verfahren zu entwickeln, welche die Resilienz Ihrer Systeme gegenüber einer Vielzahl von Cyberbedrohungen erhöht.

Verbesserung der Widerstandsfähigkeit

Bei der Umsetzung von DORA müssen Sie Maßnahmen ergreifen, die Ihre IT-Systemlandschaft robuster gegen Cyberangriffe macht. Dazu gehören unter anderem:

➡ Die Reduzierung der Angriffsfläche durch Deaktivierung unnötiger Dienste

➡ Die Implementierung strenger Zugriffskontrollen

➡ Ein professionelles Patch-Management

➡ Die Verschlüsselung sensibler Daten

Das heißt: Sorgen Sie dafür, dass Ihre Systeme besser geschützt sind – zum Beispiel durch eine Secure Configuration aka Systemhärtung.

Testen der digitalen Betriebsresilienz

DORA fordert, dass Sie regelmäßig die Robustheit Ihrer IT-Systeme belegen. Dazu müssen Sie Ihre Systeme und Prozesse durch eine Reihe von Tests, einschließlich Anomalieerkennung und Penetrationstests, überprüfen. Diese Tests sollen Schwachstellen aufdecken und die Effektivität Ihrer Reaktions- und Wiederherstellungspläne verifizieren.

Als IT-Verantwortliche sind Sie dafür verantwortlich, dass …

    • diese Tests in angemessenen Abständen durchgeführt
    • und die Ergebnisse zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen genutzt werden.

Berichterstattung und Transparenz

Die europäische Cybersecurity-Verordnung für den Finanzsektor betont zudem die Bedeutung der Berichterstattung. Sie müssen laut DORA in der Lage sein, bedeutende Cybersecurity-Vorfälle umgehend zu melden, um eine schnelle Reaktion und Minderung zu ermöglichen.

Dies erfordert die Etablierung effizienter Kommunikationskanäle und Berichtsmechanismen innerhalb Ihrer Organisation und gegenüber den Aufsichtsbehörden.

Management von Drittanbieter-Risiken

Viele Unternehmen und Organisationen arbeiten eng mit IT-Dienstleistern zusammen, um die zahlreichen Herausforderungen bewältigen zu können. Diese Kooperation kann allerdings ein Risiko darstellen. Sie müssen deshalb sicherstellen, dass die Verträge mit Drittanbietern angemessene Sicherheitsanforderungen enthalten.

Zudem benötigen Sie Zugriffs-, Inspektions- und Audit-Rechte, um die Einhaltung dieser Anforderungen zu überprüfen. Nur so können Sie herausfinden, wie gut Ihr Service Provider arbeitet.

Browser Hardening (Image: OpenAI/DALL-E)

Förderung der Cybersicherheit

Der Digital Operational Resilience Act soll den internen Informationsaustausch und den Aufbau von Cybersecurity-Wissen fördern. Sie haben daher bei Ihren Mitarbeitern bzw. Kollegen ein Bewusstsein und Verständnis für Sicherheitsrisiken zu schaffen. Schulungen und regelmäßige Informationskampagnen sind entscheidend, damit Sicherheitsrichtlinien befolgt werden.

Welchen Stellenwert hat Systemhärtung bei der DORA-Regulierung?

Die recht neue EU-Verordnung schafft einen rechtlichen Rahmen, der darauf abzielt, die digitale Resilienz Ihres Finanzunternehmens zu stärken. In diesem Rahmen spielt die Systemhärtung (engl. System Hardening) eine zentrale Rolle, da sie direkt zu einer erhöhten Widerstandsfähigkeit gegenüber zahlreichen Cybersecurity-Bedrohungen beiträgt.

Konkret setzt DORA an verschiedenen Stellen an, von denen wir hier einige exemplarisch vorstellen:

DORA-Beispiel 1: SectionVI – Network Security (Art. 13 RTS RMF)

In Punkt 71 im Bereich “Network Security” steht:

“Secure configuration baselines, network hardening, and session termination after inactivity limit potential attack vectors.”

Frei übersetzt bedeutet das: “Mit Systemhärtung wird die möglich (…) Angriffsfläche verkleinert.”

DORA-Beispiel 2: Article 11 RTS RMF – Data and System Security

Dieser Bereich ist besonders spannend, da hier nicht nur auf die einmalige Anwendung, sondern auch auf die regelmäßige Kontrolle von führenden Standards hingewiesen wird. Im Wortlaut heißt es:

“The data and ICT system security procedure referred to in paragraph 1 shall include all of the following elements related to data and ICT system security, in accordance with the classification performed pursuant to Article 8(1) of Regulation (EU) 2022/2554:

(a) the access restrictions, in line with Article 21, supporting the protection requirements for each level of classification;
(b) identification of secure configuration baseline for ICT assets that will minimise their exposure to cyber threats and measures to verify regularly that these baselines are those that are effectively deployed. The secure configuration baseline shall take into account leading practices and appropriate techniques referred to in standards (..)”

Update: Umsetzungshinweise der BaFin

Am 08.07.2024 hat die Bundesanstalt für Finanzdienstleistungsaufsicht die Umsetzungshinweise zu DORA hier veröffentlicht.

Aus unserer Sicht macht die BaFin mit dieser Veröffentlichung noch einmal sehr deutlich, dass die tatsächliche, technische Sachlage deutlich stärker als bisher mit der Papier-/Dokumentenlage in Einklang gebracht werden muss.

Konkret wird zum Beispiel formuliert:

“(..) für den Bereich der operativen Informationssicherheit in DORA ist insgesamt festzustellen, dass der Detaillierungsgrad der Anforderungen deutlich höher ausfällt als bisher in Kapitel 5 BAIT/VAIT beschrieben. Der Grad der Detaillierung entspricht eher den Erläuterungen der BAIT/VAIT als Mindestanforderungen (..)”

Für Systemhärtung wird ganz klar festgelegt, dass “(..) Härtungsmaßnahmen ergriffen und diese regelmäßig kontrolliert werden (..)

“Protection” als oberstes Ziel – das gilt für alle!

Sie müssen präventive Maßnahmen zur Minderung von IT-Risiken implementieren – dies fordert nicht nur DORA, sondern empfiehlt auch das NIST Cybersecurity Framework.

Mit einer Systemhärtung können Sie die Angriffsfläche verringern, indem Sie zum Beispiel unsichere oder unnötige Dienste, Funktionen und Anwendungen entfernen oder deaktivieren. Derart sorgen Sie dafür, dass viele Angriffe – zum Beispiel durch Mimikatz – gar keinen oder sehr geringen Schäden anrichten.

Umsetzung robuster Zugriffskontrollen

Die Zugriffskontrolle ist ein wesentlicher Bestandteil bei der Härtung von Systemen. DORA erwartet von Ihnen, dass Sie strenge Kontrollmechanismen implementieren, um sicherzustellen, dass nur autorisierte Personen den Zugang zu sensiblen Systemen und Daten haben.

Wichtig ist dabei, dass Sie (konfigurative) Veränderungen – ob gewollt oder nicht gewollt – schnellstmöglich erkennen. Für die Überwachung der Zugriffskontrollen und Systemkonfigurationen eignet sich ein Programm wie der Enforce Administrator.

Regelmäßige Sicherheitsbewertung

Sie müssen kontinuierlich Audits durchführen, um Schwachstellen in Ihren Systemen zu identifizieren und zu beheben. Dies schließt die Überprüfung, wie sicher Ihre Systeme konfiguriert sind, mit ein.

Mit einem Programm wie dem Enforce Administrator können Sie innerhalb weniger Minuten die benötigten Checks durchführen und Nachweise für einzelne Systeme erstellen.

Mit den Hardening-Berichten (“Security Configuration Assessment”) sehen Sie ganz transparent und nachvollziehbar, inwieweit Ihre Betriebssysteme und Applikationen gemäß den Vorgaben von CIS, DISA, ACSC, BSI und Microsoft gehärtet sind.

Wie der Enforce Administrator die DORA-Vorgaben erfüllt

Diese Übersicht zeigt Ihnen, welche Anforderungen der Digital Operational Resilience Act im Bereich “Sichere Konfiguration” bzw. “Systemhärtung” stellt und wie der Enforce Administrator diese Anforderungen löst:

DORA-Erkenntnisse

Enforce Administrator-Lösungen

Ohne Secure Configuration bzw. Systemhärtung geht im Finanzsektor nichts mehr.

Der Enforce Administrator sorgt für eine kontinuierliche, automatisierte Härtung Ihrer IT-Systeme.

Selbst erdachte Sicherheitskonfigurationen gehören der Vergangenheit an. Etablierte Standards sind zu nutzen.

Mit dem Enforce Administrator werden Ihre Systeme nach den neuesten Standards gehärtet – zum Beispiel nach den Empfehlungen von BSI, CIS, DISA, ACSC und Microsoft.

Maßnahmen, welche die tatsächliche Umsetzung der Konfiguration kontrollieren, sind eminent wichtig.

Eine Kernfunktion des Enforce Administrators ist die selbstständige Überwachung der Systeme und ein zentrales Reporting.

DORA fordert eine klar nachvollziehbare Dokumentation der durchgeführten Maßnahmen.

Ein anerkanntes Reporting, zum Beispiel für Audits, kann mit dem Enforce Administrator auf Knopfdruck erstellt werden.

All diese Maßnahmen sind extrem schwer und sehr zeitaufwändig mit Windows-Gruppenrichtlinien umsetzbar.

Der Enforce Administrator arbeitet nicht auf Basis von GPOs, sondern mit PowerShell-Skripten. Da es sich um ein NoCode-Tool handelt, müssen Sie selbst keine Zeile Code schreiben.

Fazit

Es mag auf den ersten Blick störend wirken, dass die Europäische Union eine weitere Verordnung erlassen hat, die wieder mehr Aufwand für Unternehmen und ihre IT-Abteilungen bedeutet. Doch DORA macht, wie schon andere Regularien, Gesetze und Normen (zum Beispiel DS-GVO, NIS2 und ISO27001) absolut Sinn!

Alle Akteure im Finanzsektor sind eminent wichtig für die Stabilität der Grundordnung von staatlichen Entitäten und Einrichtungen, dementsprechend müssen deren IT-Systeme bestmöglich geschützt werden – und das nicht nur einmalig, sondern dauerhaft. Diese Resilienz gegen Cyberattacken und deren Folgen bekommt man unter anderem durch die Implementierung einer Systemhärtung im Finanz- und Versicherungssektor.

Wie können wir Ihnen helfen?

Wollen Sie mehr über Systemhärtung erfahren und praktische Tipps zur sicheren Konfiguration von Systemen erhalten? Oder möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten sind gerne für Sie da!

💬 Melden Sie sich bei uns!

______

Hinweis: Die in diesem Blogbeitrag bereitgestellten Informationen dienen ausschließlich allgemeinen Informationszwecken und stellen keine rechtliche oder steuerliche Beratung dar. Falls Sie rechtliche oder steuerliche Beratung benötigen, wenden Sie sich bitte an eine Steuer- oder Rechtsanwaltskanzlei.

Bilder: Freepik/Magnific, Tagesschau, FMA/OeBN

Schreibe einen Kommentar