foto freepik

Die Digitalisierung setzt sich auch in Deutschland weiter durch – langsam, manchmal stockend, aber unaufhaltsam. Mit ihr steigt nicht nur die Effizienz, sondern auch die Verwundbarkeit. Allein 2024 zählte das Bundeskriminalamt über 130.000 Fälle von Cybercrime. Für Banken und Versicherungen kann ein erfolgreicher Angriff binnen Stunden Schäden in Milliardenhöhe verursachen. Der Finanzsektor gilt deshalb als kritische Infrastruktur. Und genau hier greift die neue EU-Verordnung DORA – der Digital Operational Resilience Act. Vor allem die darin enthaltenen Regularien zu Exit-Strategien sind sehr anspruchsvoll. Dabei können diese ein Weg zu größerer Souveränität sein.

Seit dem 17. Januar 2025 müssen Finanzunternehmen die Vorgaben einhalten. Eine Übergangsfrist lief noch bis Ende Mai, aber inzwischen drohen empfindliche Sanktionen. Ziel der Verordnung ist es, die Cyberresilienz von Banken, Versicherern und Finanzdienstleistern EU-weit auf einheitliches Niveau zu heben. Künftig müssen Institute nachweisen, dass ihre Systeme Angriffe ebenso überstehen wie Systemausfälle oder den Wegfall externer Dienstleister. Die Anforderungen reichen von umfassendem IT-Risikomanagement über kontinuierliche Schutzmaßnahmen bis hin zu klaren Reaktionsplänen für den Ernstfall. Verstöße sind teuer: Die Aufsichtsbehörden können Bußgelder von bis zu zwei Prozent des weltweiten Jahresumsatzes verhängen oder sogar operative Einschränkungen anordnen.

Datensouveränität als Leitmotiv

Hinter allen Details steckt ein zentrales Thema: Datensouveränität. Gemeint ist die Fähigkeit eines Unternehmens, jederzeit über seine geschäftskritischen Daten zu verfügen – unabhängig von Standort, Speicherort oder externem Dienstleister. Für Finanzinstitute bedeutet das: volle Transparenz über eingesetzte Softwarekomponenten, revisionssichere Dokumentation sämtlicher Datenflüsse und vor allem die Vermeidung proprietärer Formate, die einen Anbieterwechsel erschweren oder unmöglich machen.

Datensouveränität ist mehr als eine technische Frage. Sie entscheidet über regulatorische Compliance, über die Unabhängigkeit von einzelnen Anbietern und über die Wettbewerbsfähigkeit in einem Markt, der immer stärker digital getrieben ist. Um diese Souveränität zu erreichen, beinhaltet DORA verschiedene Vorgaben. Wichtig sind dabei vor allem belastbare Exit-Strategien.

Drittanbieter im Fokus

Neu ist: DORA bezieht nicht nur die Finanzhäuser selbst ein, sondern auch deren IT-Dienstleister. Damit stehen erstmals Drittanbieter direkt im Visier der Regulierung. Besonders anspruchsvoll sind die Richtlinien zu Exit-Strategien: Jedes Institut soll nachweisen, dass es kritische Dienste jederzeit auf einen anderen Anbieter übertragen kann. Und das nicht nur theoretisch – die Pläne müssen regelmäßig getestet und an aktuelle Gegebenheiten angepasst werden.

Was auf dem Papier nach einer Vorsichtsmaßnahme klingt, wird in der Praxis schnell zur Mammutaufgabe. Denn ein funktionierender Anbieterwechsel setzt voraus, dass Daten vollständig dokumentiert, in offenen Formaten vorliegen und Systeme interoperabel sind. Proprietäre Technologien, fehlende Migrationstests oder lückenhafte Dokumentationen blockieren dagegen jeden Ausstieg. Wer das Thema verschleppt, riskiert nicht nur Strafzahlungen, sondern im Ernstfall die Handlungsfähigkeit seines gesamten Instituts.

Cloud oder On-Prem?

Eine weitere strategische Weichenstellung betrifft die Infrastruktur. DORA verdrängt Cloud-Dienste nicht, aber es verschärft die Anforderungen. Viele Institute setzen daher verstärkt auf hybride und Multi-Cloud-Modelle, um Abhängigkeiten zu verringern und regulatorische Vorgaben zur Portabilität zu erfüllen. Gleichzeitig erleben On-Premises-Infrastrukturen eine Renaissance: Dort, wo besonders sensible Daten verarbeitet werden oder die physische Kontrolle unverzichtbar ist, bleibt das eigene Rechenzentrum die erste Wahl.

Die Folge ist eine zunehmend komplexe IT-Landschaft, in der Cloud und On-Premises parallel betrieben werden – und in der beide Welten reibungslos miteinander funktionieren müssen. Wer diese Flexibilität nicht von Beginn an einplant, baut neue Abhängigkeiten auf, die DORA eigentlich verhindern soll.

Open Source als Schlüssel

Viele Häuser setzen inzwischen auf Open-Source-Technologien. Sie bieten Transparenz, Anpassbarkeit und Interoperabilität – Eigenschaften, die DORA faktisch verlangt. Allerdings nur, wenn die Projekte professionell gepflegt und durch klare Governance-Prozesse abgesichert sind. Vernachlässigte Open-Source-Komponenten können ebenso riskant sein wie veraltete proprietäre Systeme. Wichtig ist es deshalb, auf einen Anbieter zu setzen, bei dem nicht nur die einzelnen Komponenten der Lösung sicher sind, sondern der auch ein erprobtes Supply-Chain-Security-Konzept vorweisen kann.

Modulare, interoperable Datenplattformen, vorzugsweise auf Open-Source-Basis, können das entscheidende Puzzleteil bei der DORA-Umsetzung sein. Auch wir von Stackable haben von Beginn auf eine Open-Source-Architektur gesetzt, die sowohl in der Cloud als auch On-prem ohne Codeänderungen funktioniert, und bei der sich die gesamte Softwarelieferkette nachvollziehen lässt. Mit solchen Systemen lassen sich Szenarien für einen Anbieterwechsel realistisch nachstellen, ohne den laufenden Betrieb zu gefährden. Durch die Kombination aus Vernetzbarkeit, Datenübertragung und dokumentierter Infrastruktur können Finanzunternehmen Exit-Tests durchführen, die nicht nur den DORA-Vorgaben genügen, sondern im Ernstfall auch handlungsfähig halten. Auch Technologien wie GitOps, bei denen Infrastruktur als Code verwaltet wird, helfen, Migrationsprozesse reproduzierbar und transparent zu gestalten und gleichzeitig die Nachvollziehbarkeit gegenüber Aufsichtsbehörden zu erhöhen.

So können Institute realistische Exit-Tests fahren, Szenarien für einen Anbieterwechsel simulieren und dabei sicherstellen, dass der laufende Betrieb nicht gefährdet wird. Damit werden DORA-Vorgaben nicht zur Last, sondern zum Hebel: Wer auf modulare, offene Plattformen setzt, erreicht nicht nur Compliance, sondern gewinnt auch Flexibilität – die Fähigkeit, identische Workloads bei Bedarf im eigenen Rechenzentrum oder bei einem Hyperscaler zu betreiben.

Was jetzt zu tun ist

Für CIOs und CISOs bedeutet das: Die vorhandene IT-Landschaft muss auf den Prüfstand. Entscheidend sind Fragen wie: Wie portabel sind die Daten wirklich? Wie reproduzierbar laufen Migrationen ab? Sind die eingesetzten Komponenten offen genug, um einen Anbieterwechsel ohne Bruch zu ermöglichen? Gibt es eine vollständige Dokumentation, die auch regulatorisch Bestand hat?

Wer diese Punkte frühzeitig klärt, verschafft sich nicht nur Rechtssicherheit, sondern auch einen nachhaltigen Wettbewerbsvorteil. Damit wird DORA ein wichtiger Schritt hin zur Datensouveränität und eine Gelegenheit, die IT-Strukturen des Finanzsektors widerstandsfähiger, unabhängiger und zukunftsfähiger zu machen.

Sönke Liebau, Mitgründer und CPO von Stackable

369 Artikel zu „DORA“

News | TechTalk | IT-Security

TechTalk: NIS2 und DORA sind für Betreiber von Rechenzentren äußerst relevant

22. Juli 2025

Welche Relevanz haben Regularien wie NIS2 und DORA für Betreiber von Rechenzentren, und wie kommt da TÜV SÜD konkret ins Spiel? Darüber haben wir auf der Tech Show Frankfurt 2025 mit Richard Skalt gesprochen. Herausgekommen ist dieses Video.