BLOG

BLOG

Categories:   All Categories
Suggested keywords
x
Markus Groß

Von Theorie zu Pflicht – Die 5 Säulen der digitalen Resilienz

IT
Von Theorie zu Pflicht – Die 5 Säulen der digitalen Resilienz

Digitale Resilienz ist in den letzten Jahren zu einem festen Begriff in der Finanzwelt geworden. Unternehmen sprechen darüber in Strategiepapieren, Beratungsfirmen verwenden ihn in Hochglanzpräsentationen, und auch Regulierungsbehörden betonen immer wieder seine Bedeutung. Doch während Resilienz lange Zeit vor allem als gutes Ziel galt – als eine Art Leitlinie, an der man sich orientieren konnte – hat sich die Situation mit dem Digital Operational Resilience Act, kurz DORA, grundlegend verändert. Aus der Theorie ist eine gesetzliche Pflicht geworden, und die EU hat dafür fünf zentrale Säulen definiert, die jedes betroffene Unternehmen umsetzen muss. Diese Säulen sind nicht nur Überschriften in einem Gesetzestext, sondern bilden ein verbindliches Gerüst, das alle relevanten Aspekte abdeckt, um den Betrieb auch unter digitalen Extrembedingungen aufrechtzuerhalten. Wer sie versteht, erkennt schnell: Es geht nicht nur um Technik, sondern um ein Zusammenspiel aus Prozessen, Organisation und Kultur.

Der Gesamtzusammenhang: Warum DORA digitale Resilienz neu definiert

DORA ist keine weitere „IT-Compliance-Checkliste“, sondern ein Rahmenwerk, das das Zusammenspiel von Risikomanagement, operativem Betrieb, Lieferkette, Testkultur und sektorweitem Lernen in den Mittelpunkt stellt. Der Kernunterschied zu älteren Regelwerken: DORA verlangt Wirksamkeit. Es genügt nicht, Policies zu schreiben oder Tools zu beschaffen. Entscheidend ist, ob ein Institut seine kritischen Dienstleistungen auch dann liefern kann, wenn Teile der IT gestört, angegriffen oder extern beeinträchtigt werden. Messbar wird das an Reaktionszeiten, Wiederanlauf, Qualität der Kommunikation, Stabilität der Lieferkette und geübten Notfallabläufen. Die fünf Säulen bilden dafür die Struktur – die Umsetzung wird am Ergebnis gemessen.


Weiterlesen
5
Tweet
52122 Aufrufe
Markus Groß

Fahrplan zur Compliance – So startest du dein DORA-Projekt richtig

IT
Fahrplan zur Compliance – So startest du dein DORA-Projekt richtig

Der Digital Operational Resilience Act (DORA) ist mehr als nur ein weiteres EU-Regelwerk. Er ist ein Paradigmenwechsel in der Art und Weise, wie Finanzunternehmen und ihre Dienstleister digitale Resilienz verstehen und umsetzen müssen. Mit dem Stichtag 17. Januar 2025 rückt die Frist für die vollständige Umsetzung näher, und in vielen Organisationen ist die Erkenntnis gereift: Wer jetzt nicht mit einem strukturierten Fahrplan startet, wird später unter Zeitdruck geraten und riskieren, halbherzige Lösungen einzuführen, die weder den regulatorischen Anforderungen noch den eigenen Sicherheitsbedürfnissen gerecht werden. DORA-Compliance ist kein „Ordner mit Policies“, sondern die Fähigkeit, unter massiven digitalen Störungen handlungsfähig zu bleiben – messbar, prüfbar, wiederholbar.

DORA in 60 Sekunden

DORA harmonisiert europaweit die Anforderungen an die digitale Betriebsstabilität (Operational Resilience) im Finanzsektor. Der Kern lässt sich in fünf Säulen einordnen:


Weiterlesen
6
Markiert in:
Resilienz Compliance EU DORA
Tweet
51388 Aufrufe
Markus Groß

ICT-Risikomanagement ohne Chaos – Was DORA wirklich fordert

IT
ICT-Risikomanagement ohne Chaos – Was DORA wirklich fordert

Wer DORA zum ersten Mal liest, stößt unweigerlich auf den Begriff ICT-Risikomanagement, im Deutschen meist als IKT-Risikomanagement bezeichnet. Er steht im Zentrum der gesamten Verordnung und ist weit mehr als nur eine formale Pflicht. Im Kern geht es darum, Risiken, die aus der Nutzung von Informations- und Kommunikationstechnologien entstehen, systematisch zu erkennen, zu bewerten, zu steuern und zu überwachen. Das klingt zunächst vertraut, denn Risikomanagement gehört schon lange zu den Aufgaben jedes regulierten Finanzunternehmens. Der entscheidende Unterschied unter DORA: Die Anforderungen werden einheitlich, detailliert und verbindlich für alle Marktteilnehmer definiert – und das auf einem Niveau, das deutlich über bisherige nationale Standards hinausgeht. Es reicht nicht mehr aus, einmal im Jahr eine Risikoübersicht zu erstellen oder Risiken vage zu kategorisieren. Gefordert ist ein kontinuierlicher, ganzheitlicher Ansatz, der tief in den täglichen Betrieb integriert ist und bis ins Top-Management hineinwirkt.

Was DORA als IKT-Risiko versteht

Das beginnt bei der Definition dessen, was überhaupt als IKT-Risiko gilt. DORA macht klar, dass es sich nicht nur um klassische Cyberangriffe handelt. Auch Systemausfälle, fehlerhafte Software-Updates, Konfigurationsfehler, Datenverluste, Störungen durch Dritte oder physische Schäden an Rechenzentren fallen darunter. Selbst Risiken aus der Lieferkette, etwa durch Ausfälle eines Cloud-Anbieters, eine kritische Schwachstelle in einer verbreiteten Bibliothek oder Sicherheitslücken in genutzter Standardsoftware, müssen erfasst werden. Das Ziel ist, alle Ereignisse, die die Funktionsfähigkeit kritischer Systeme oder die Verfügbarkeit wichtiger Daten beeinträchtigen können, systematisch zu berücksichtigen. Dabei sollen nicht nur technische Aspekte betrachtet werden, sondern auch organisatorische, personelle und prozessuale Faktoren. Ein System mag technisch sicher sein, doch wenn es keine klaren Eskalationswege im Störungsfall gibt, ist das Risiko dennoch hoch. DORA rückt damit das Zusammenspiel von Technik, Prozessen und Menschen ins Zentrum – also genau jene Schnittstellen, an denen es in der Praxis häufig knirscht.


Weiterlesen
9
Tweet
51990 Aufrufe
Markus Groß

Wer schützt was? – Warum Informationssicherheit Chefsache ist

IT
Wer schützt was? – Warum Informationssicherheit Chefsache ist

Viele Unternehmen betrachten Informationssicherheit immer noch als eine Disziplin, die irgendwo tief in der IT-Abteilung angesiedelt ist. Dort sitzen die Administratoren, die Passwortrichtlinien einführen, Firewalls konfigurieren, Updates einspielen und im Ernstfall versuchen, Angriffe abzuwehren. Diese Sichtweise hat sich über Jahrzehnte gehalten, weil IT-Sicherheit tatsächlich in den Serverräumen, Rechenzentren und Netzwerken beginnt. Doch sie ist gefährlich verkürzt – und im Jahr 2025 schlicht nicht mehr haltbar. Informationssicherheit ist längst keine rein technische Aufgabe mehr, sondern ein strategisches Kernthema, das das gesamte Unternehmen betrifft, von der Produktentwicklung über die Lieferkette bis hin zur externen Kommunikation. Und weil sie alle Bereiche betrifft, ist sie letztlich eine Führungsaufgabe, die an der Spitze beginnt und nicht delegierbar ist.

Warum die alte IT-Sicht nicht mehr reicht

Der Grund dafür ist einfach: Informationssicherheit schützt nicht nur Dateien auf Festplatten, sondern das Fundament des Unternehmens – seine Daten, Prozesse, Beziehungen und seinen Ruf. Wer glaubt, man könne diese Verantwortung komplett an die IT „auslagern“, verkennt zwei Realitäten. Erstens: Die meisten Sicherheitsvorfälle beginnen nicht mit einer komplizierten Zero-Day-Schwachstelle, sondern mit menschlichen Fehlern, organisatorischen Schwächen oder fehlender Priorisierung. Zweitens: Die juristische Verantwortung bleibt in der Unternehmensleitung. Wenn vertrauliche Kundendaten durch einen Angriff oder eine Unachtsamkeit abfließen, wird nicht nur der IT-Leiter befragt, sondern vor allem das Management. In regulierten Branchen wie dem Finanzwesen, im Gesundheitssektor oder bei Betreibern kritischer Infrastrukturen ist diese Verantwortung sogar ausdrücklich in Gesetzen und Aufsichtsregeln verankert.


Weiterlesen
8
Markiert in:
C-Level Informationssicherheit ISMS
Tweet
50379 Aufrufe
Markus Groß

Der ISB erklärt – Zwischen Feuerwehr und Architekt

IT
Der ISB erklärt – Zwischen Feuerwehr und Architekt

Wer sich mit Informationssicherheit beschäftigt, stößt früher oder später auf die Rolle des Informationssicherheitsbeauftragten (ISB). In vielen Unternehmen ist diese Position gesetzlich oder regulatorisch vorgeschrieben, in anderen wird sie freiwillig geschaffen, um dem Thema einen festen Platz zu geben. Der ISB ist dabei ein merkwürdiges Zwitterwesen: Er ist weder reiner Technikexperte noch bloßer Verwalter von Richtlinien. Er ist Übersetzer zwischen Welten, Vermittler zwischen Geschäftsleitung und IT, Wächter über Regeln – und manchmal auch Feuerwehrmann, wenn etwas brennt. Gleichzeitig ist er Architekt, der langfristige Strukturen entwirft, um das Haus der Informationssicherheit stabil und zukunftsfähig zu machen. Genau diese Doppelrolle macht die Funktion anspruchsvoll – und für den Unternehmenserfolg essenziell.

Auftrag, Mandat und rechtlicher Rahmen: Wofür der ISB wirklich verantwortlich ist

Der ISB ist kein „nice to have“, sondern Träger eines klaren Auftrags. Je nach Branche und Größe des Unternehmens ergibt sich dieser aus Normen, Gesetzen und Aufsichtsanforderungen. In Deutschland sind vor allem ISO/IEC 27001, der BSI IT-Grundschutz sowie aufsichtsrechtliche Leitlinien relevant (z. B. BAIT für Banken, VAIT für Versicherungen, KAIT für Kapitalverwaltungsgesellschaften). Hinzu kommen horizontale Anforderungen wie NIS2 (Sicherheits- und Meldepflichten für wichtige/besonders wichtige Einrichtungen), DORA (Resilienz im Finanzsektor), DSGVO (TOMs, 72-Stunden-Meldepflicht bei Datenschutzvorfällen) und – je nach Geschäftsmodell – branchenspezifische Rahmenwerke wie TISAX (Automotive) oder IEC 62443 (OT/Industrie).


Weiterlesen
5
Tweet
49831 Aufrufe
Image
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern. Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren Ablehnen
Datenschutz | Impressum