Illustration Absmeier foto freepik

Warum DORA auch eine Architekturfrage ist – und was das für Banken und Versicherungen bedeutet.

Die Anforderungen an die digitale Widerstandsfähigkeit von Banken und Versicherungen steigen. Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union einen verbindlichen Rahmen geschaffen, um IT-Risiken, Cyberangriffe und Abhängigkeiten von Drittdienstleistern zu adressieren. Doch regulatorische Konformität schafft nicht automatisch Sicherheit. Entscheidend ist, ob es Instituten gelingt, Governance, Technologie und operative Umsetzung zu einer konsistenten, beherrschbaren Sicherheitsarchitektur zu verbinden.

Die Bedrohungslage für den Finanz- und Versicherungssektor bleibt angespannt. Kaum eine Branche ist so regelmäßig Ziel professionell organisierter Cyberangriffe. Hohe Vermögenswerte, sensible Kundendaten, komplexe IT-Ökosysteme und eine starke Abhängigkeit von externen Dienstleistern erhöhen die Attraktivität für Angreifer erheblich. Ransomware, Datendiebstahl und Angriffe über die digitale Lieferkette gehören inzwischen zum realistischen Risikoszenario.

Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union darauf reagiert und einen verbindlichen regulatorischen Rahmen geschaffen. Ziel ist es, die digitale Widerstandsfähigkeit von Finanzunternehmen systematisch zu stärken. Risikomanagement von Informations- und Kommunikationstechnologie (IKT), technische Schutzmaßnahmen, strukturierte Vorfallbewältigung sowie eine strengere Steuerung von IKT-Drittdienstleistern sind nun regulatorische Pflicht für alle beaufsichtigten Finanzunternehmen in der Europäischen Union.

Viele Institute haben in den vergangenen Monaten erhebliche Anstrengungen unternommen, um diesen Anforderungen gerecht zu werden. Governance-Strukturen wurden geschärft, Richtlinien dokumentiert, Auslagerungsregister aufgebaut und Meldeprozesse definiert. Aus regulatorischer Sicht ist das ein wichtiger Schritt. Doch genau hier liegt ein oft unterschätzter Punkt:
Formale Compliance kann ein trügerisches Sicherheitsgefühl erzeugen. Digitale Resilienz entsteht nicht durch erfüllte Checklisten, sondern durch technisch beherrschbare Sicherheitsarchitekturen.

Resilienz entscheidet sich im operativen Betrieb

DORA definiert Anforderungen – ob daraus tatsächlich digitale Resilienz entsteht, entscheidet sich jedoch nicht im Dokumentationsordner, sondern im laufenden IT-Betrieb. Sicherheit muss technisch durchgängig implementiert, zentral steuerbar und dauerhaft auditierbar sein.

DORA prüft Strukturen und Prozesse. Angreifer hingegen testen technische Schwachstellen und operative Bruchstellen. Resilienz entscheidet sich in der Lücke zwischen formaler Struktur und operativer Umsetzung.

In der Praxis zeigt sich häufig ein differenziertes Bild: Während Governance und Reporting-Strukturen klar definiert sind, behindern teilweise historisch gewachsene Strukturen die technische Umsetzung. Kryptografische Schlüssel werden dezentral verwaltet, Zertifikate sind über verschiedene Systeme verteilt, Identitäts- und Berechtigungskonzepte sind nicht harmonisiert. In Cloud- und Drittumgebungen fehlt teilweise die Transparenz über sicherheitsrelevante Prozesse.

Solche Konstellationen sind nicht per se regelwidrig. Sie erhöhen jedoch die Komplexität – und damit das Risiko. Denn Resilienz bedeutet nicht nur, Maßnahmen implementiert zu haben, sondern sie im Ernstfall kontrollieren zu können.

DORA verschiebt damit den Fokus weg von punktuellen Sicherheitsmaßnahmen, hin zu einer architektonisch konsistenten Sicherheitslandschaft.

Identität als zentrales Steuerungselement

Ein wesentlicher Baustein dieser Architektur ist die konsequente Ausrichtung an digitalen Identitäten. In modernen, hybriden Infrastrukturen ist der klassische Perimeterschutz kaum noch ausreichend. Systeme, Mitarbeitende, Dienstleister und Maschinen kommunizieren über Organisations- und Infrastrukturgrenzen hinweg.

Ein identitätszentrierter Sicherheitsansatz – häufig im Kontext von Zero Trust diskutiert – stellt sicher, dass jede Entität eindeutig authentifiziert und autorisiert wird. Zugriff wird nicht aufgrund eines Netzwerkstandorts gewährt, sondern auf Basis klar definierter Identitäts- und Berechtigungsregeln. Für Banken und Versicherungen bedeutet das: Identitätsmanagement ist ein zentrales Steuerungsinstrument für Sicherheit und Governance. Wer Identitäten nicht durchgängig kontrolliert, verliert die operative Kontrolle über seine Sicherheitsarchitektur.

Kryptografie muss beherrschbar sein

Ebenso zentral ist eine strukturierte und kontrollierte Kryptoinfrastruktur. Verschlüsselung schützt Daten vor unbefugtem Zugriff – doch sie entfaltet ihre Wirkung nur dann vollständig, wenn die zugrunde liegenden Schlüssel und Zertifikate zuverlässig verwaltet werden.

In vielen Organisationen sind auch kryptografische Strukturen historisch gewachsen. Unterschiedliche Anwendungen nutzen verschiedene Zertifikatsquellen, Erneuerungsprozesse erfolgen manuell, Transparenz über Ablaufdaten oder Abhängigkeiten ist begrenzt. Die Folgen können Betriebsunterbrechungen, Sicherheitslücken oder erschwerte Auditierungen sein.

Kryptografie, die nicht zentral gesteuert wird, ist ein operatives Risiko.

Eine belastbare Sicherheitsarchitektur erfordert daher:

eine konsistente Public-Key-Infrastruktur als Vertrauensbasis
automatisiertes Certificate Lifecycle Management
zentral gesteuertes Key Management
klare Prozesse für Generierung, Nutzung und Widerruf kryptografischer Schlüssel

Drittanbieter, Cloud und die neue Schutzdimension

Mit der Auslagerung kritischer Funktionen in Cloud- und Plattformumgebungen verschiebt sich ein Teil der Wertschöpfung in externe Infrastrukturen. DORA trägt dieser Entwicklung Rechnung, indem es die Steuerung von IKT-Drittdienstleistern in den Mittelpunkt stellt.

Für Institute entsteht daraus eine doppelte Herausforderung: Einerseits müssen Risiken vertraglich und organisatorisch kontrolliert werden. Andererseits muss auch technisch nachvollziehbar bleiben, wie sensible Daten verarbeitet und geschützt werden.

Traditionelle Sicherheitskonzepte adressieren vor allem zwei Zustände: Daten im Ruhezustand («at rest«) und Daten während der Übertragung («in transit«). Moderne Verschlüsselungstechnologien decken diese Bereiche zuverlässig ab. In cloudbasierten Szenarien gewinnt jedoch eine weitere Dimension an Bedeutung: der Schutz von Daten während der Verarbeitung («in use«).

Hier setzen Ansätze wie Confidential Computing an. Durch hardwarebasierte, isolierte Ausführungsumgebungen können Daten auch während ihrer aktiven Verarbeitung abgeschirmt werden – selbst gegenüber privilegierten Zugriffen auf Infrastrukturebene. In hochsensiblen Verarbeitungen – etwa bei kritischen Zahlungsprozessen – kann dies eine zusätzliche Schutzebene schaffen. Damit erweitert sich das klassische Schutzmodell um eine dritte Dimension: Sicherheit während der Nutzung. Für Institute mit hohen Schutzanforderungen kann dies einen entscheidenden Unterschied bedeuten.

Confidential Computing baut auf der Sicherheitsarchitektur auf und erweitert sie dort, wo klassische Schutzmechanismen an strukturelle Grenzen stoßen.

DORA als Modernisierungstreiber

Richtig verstanden ist DORA daher nicht nur ein Compliance-Projekt. Die Verordnung wirkt vielmehr als Impulsgeber für eine strukturelle Modernisierung sicherheitskritischer Infrastrukturen.

Institute, die digitale Resilienz strategisch angehen, betrachten ihre Sicherheitsarchitektur ganzheitlich:

Sind Identitäten organisationsweit konsistent steuerbar?
Ist Kryptografie zentral kontrollierbar und auditierbar?
Besteht vollständige Transparenz über Zertifikate, Schlüssel und Abhängigkeiten?
Sind Cloud- und Drittverarbeitungen technisch nachvollziehbar abgesichert?

Erst wenn diese Fragen klar beantwortet werden können, wird aus regulatorischer Konformität eine belastbare Sicherheitsbasis. Wer DORA ausschließlich als regulatorische Pflichtübung versteht, vergibt die Chance zur strategischen Modernisierung der eigenen Sicherheitsarchitektur.

Umsetzung in der Praxis

Die Überführung regulatorischer Anforderungen in technisch konsistente Sicherheitsarchitekturen ist anspruchsvoll. Neben regulatorischem Verständnis erfordert sie tiefgehende Expertise in den Bereichen Identitätsmanagement, Kryptografie und sichere Infrastrukturen. Viele Institute greifen daher auf spezialisierte Partner zurück, die sowohl Architektur- und Reifegradanalysen als auch die Integration und den sicheren Betrieb entsprechender Lösungen begleiten.

Unternehmen wie achelos, die nach ISO 27001 und Common Criteria zertifiziert sind und über langjährige Erfahrung in sicherheitskritischen Infrastrukturen verfügen, unterstützen Banken und Versicherungen dabei, DORA-Anforderungen in auditierbare und operativ beherrschbare Sicherheitsarchitekturen zu überführen.

Fazit

DORA definiert klare Anforderungen an die digitale Resilienz des Finanzsektors. Doch Compliance ist nur der Anfang. Das Ziel ist eine IT-Sicherheitsarchitektur, die auch unter Angriffsdruck stabil bleibt. Sicherheit entsteht dort, wo Governance, Technologie und Betrieb architektonisch zusammengeführt werden – konsistent und kontrollierbar. Für Banken und Versicherungen bedeutet das: Digitale Resilienz ist kein Projekt mit Enddatum, sondern ein kontinuierlicher Reifeprozess. Wer ihn strategisch nutzt, stärkt nicht nur die regulatorische Position, sondern auch die operative Stabilität in einer zunehmend vernetzten Finanzwelt.

Bild: achelos GmbH

Dr. Michael Jahnich, Director Business Development, achelos GmbH

539 Artikel zu „DORA“

News | Business Process Management | Digitalisierung | Favoriten der Redaktion | Geschäftsprozesse | IT-Security | Rechenzentrum | Services | Strategien | Tipps

NIS2, KRITIS, ISO und DORA verlässlich einhalten: Wie digitale Zwillinge die IT-Compliance sichern

12. Januar 2026

Ob NIS2, KRITIS, ISO oder DORA – das regulatorische Umfeld für den Betrieb von IT-, Rechenzentrums- und Netzwerkinfrastrukturen war noch nie so dynamisch wie heute. Um die steigenden Compliance-Anforderungen erfolgreich zu meistern, sind Verantwortliche auf intelligente Lösungen und Tools angewiesen. Eine wichtige Rolle hierbei spielt ein digitaler Zwilling der Infrastruktur. Er ermöglicht eine hohe strategische…

Jetzt 25 % Ticketrabatt für »manage it« Leser

539 Artikel zu „DORA“