D

igitale Resilienz ist in den letzten Jahren zu einem festen Begriff in der Finanzwelt geworden. Unternehmen sprechen darüber in Strategiepapieren, Beratungsfirmen verwenden ihn in Hochglanzpräsentationen, und auch Regulierungsbehörden betonen immer wieder seine Bedeutung. Doch während Resilienz lange Zeit vor allem als gutes Ziel galt – als eine Art Leitlinie, an der man sich orientieren konnte – hat sich die Situation mit dem Digital Operational Resilience Act, kurz DORA, grundlegend verändert. Aus der Theorie ist eine gesetzliche Pflicht geworden, und die EU hat dafür fünf zentrale Säulen definiert, die jedes betroffene Unternehmen umsetzen muss. Diese Säulen sind nicht nur Überschriften in einem Gesetzestext, sondern bilden ein verbindliches Gerüst, das alle relevanten Aspekte abdeckt, um den Betrieb auch unter digitalen Extrembedingungen aufrechtzuerhalten. Wer sie versteht, erkennt schnell: Es geht nicht nur um Technik, sondern um ein Zusammenspiel aus Prozessen, Organisation und Kultur.

Der Gesamtzusammenhang: Warum DORA digitale Resilienz neu definiert

DORA ist keine weitere „IT-Compliance-Checkliste“, sondern ein Rahmenwerk, das das Zusammenspiel von Risikomanagement, operativem Betrieb, Lieferkette, Testkultur und sektorweitem Lernen in den Mittelpunkt stellt. Der Kernunterschied zu älteren Regelwerken: DORA verlangt Wirksamkeit. Es genügt nicht, Policies zu schreiben oder Tools zu beschaffen. Entscheidend ist, ob ein Institut seine kritischen Dienstleistungen auch dann liefern kann, wenn Teile der IT gestört, angegriffen oder extern beeinträchtigt werden. Messbar wird das an Reaktionszeiten, Wiederanlauf, Qualität der Kommunikation, Stabilität der Lieferkette und geübten Notfallabläufen. Die fünf Säulen bilden dafür die Struktur – die Umsetzung wird am Ergebnis gemessen.

Säule 1: IKT-Risikomanagement als laufender Motor, nicht als Jahresübung

Die erste Säule ist das IKT-Risikomanagement. Darunter versteht DORA die Gesamtheit aller Maßnahmen, mit denen ein Unternehmen Risiken aus der Nutzung von Informations- und Kommunikationstechnologien identifiziert, bewertet, steuert und überwacht. Diese Pflicht ist nicht neu, wird aber durch DORA konkreter und verbindlicher. Es reicht nicht mehr, eine allgemeine Risikoanalyse pro Jahr durchzuführen. Gefordert sind laufende Bewertungen, abgestimmt auf die tatsächliche Bedrohungslage und die individuelle Risikosituation. Das IKT-Risikomanagement muss außerdem klar dokumentiert, regelmäßig vom Management überprüft und an veränderte Umstände angepasst werden. Damit macht DORA deutlich, dass Risikomanagement keine lästige Pflichtübung ist, sondern ein lebendiger, kontinuierlicher Prozess, der in den Alltag integriert werden muss.

Worauf es praktisch ankommt:

• Aktuelles Inventar und Service-Mapping: Ohne vollständige Sicht auf Assets, Datenflüsse, Abhängigkeiten und kritische Dienstleistungen ist jede Bewertung löchrig. Eine CMDB, die wirklich gepflegt wird, ist Grundvoraussetzung.
• Risikokriterien, die Technik und Business verbinden: Nicht nur CVSS-Scores, sondern Auswirkungsbetrachtungen auf Zahlungsverkehr, Handel, Kundenportale oder regulatorische Fristen. Ein „mittleres“ technisches Risiko kann geschäftlich kritisch sein – und umgekehrt.
• Behandlung mit Begründung: Zu jedem wesentlichen Risiko gehört eine dokumentierte Entscheidung: vermeiden, mindern, übertragen (z. B. Versicherung) oder bewusst akzeptieren – mit Ablaufdatum und Kompensationsmaßnahmen.
• Kennzahlen (KRIs/KPIs): Patch-SLA-Einhaltung, MFA-Abdeckung, PAM-Nutzung, MTTD/MTTR, erfolgreiche Restore-Tests vs. RTO/RPO, Logging-Abdeckung kritischer Systeme. Zahlen statt Bauchgefühl.
• Regelmäßige Reviews: Monatliche operative Durchsprachen und quartalsweise Management-Reviews sind kein Luxus, sondern notwendig, um Trends zu steuern.

Typische Fehlgriffe: Risikoanalysen nur auf Papier, Inventare ohne Owner, Ausnahmegenehmigungen ohne Enddatum, Kennzahlen ohne Zielwerte oder Verantwortliche. DORA verlangt nachvollziehbare Entscheidungen – nicht nur hübsche Matrizen.

Säule 2: Incident Reporting – erkennen, einstufen, melden, kommunizieren

Die zweite Säule betrifft das Incident Reporting, also die Meldung von schweren IKT-Vorfällen an die zuständigen Behörden. Auch hier gibt es zwar bereits nationale Vorgaben, doch DORA vereinheitlicht sie und verschärft zugleich die Anforderungen. Künftig gibt es klare Kriterien, was als meldepflichtiger Vorfall gilt, feste Fristen und standardisierte Meldeformate. Ziel ist es, dass Vorfälle EU-weit vergleichbar sind und Behörden schneller reagieren können. Für Unternehmen bedeutet das, dass sie interne Prozesse so aufsetzen müssen, dass Vorfälle nicht nur erkannt, sondern auch bewertet und fristgerecht gemeldet werden können. Dabei ist Zeit oft der kritischste Faktor – wer hier unvorbereitet ist, verliert wertvolle Stunden und riskiert gleichzeitig regulatorische Sanktionen.

Was ein belastbares Vorfallmanagement auszeichnet:

• 24/7-Erreichbarkeit und eine klare Eskalationsmatrix (wer entscheidet wann was?).
• Klassifikation mit objektiven Kriterien (z. B. betroffene Service-Kritikalität, Kundenauswirkung, Datenbezug, Dauer, geografische Ausdehnung).
• Playbooks für häufige Szenarien: Ransomware, Cloud-Region-Ausfall, Credential-Missbrauch, DDoS, kritischer Lieferantenausfall.
• Forensik-Fähigkeit (Beweissicherung, Chain of Custody) – rechtssicher und reproduzierbar.
• Kommunikation nach innen (Vorstand, Aufsicht, Fachbereiche) und außen (Behörden, Kunden, Medien) mit abgestimmten Botschaften.
• Übung macht handlungsfähig: Tabletop-Übungen mit Management-Beteiligung und Live-Drills (z. B. Restore unter Zeitdruck) offenbaren Lücken, die keine Policy zeigt.

Tipp: Vorfallakten standardisieren. Jede Akte enthält Zeitleiste, Entscheidungen, Meldeweg, Root-Cause, Maßnahmen, Wirksamkeitsnachweis. Diese Evidenz spart Nerven – im Audit und in der Nachbereitung.

Säule 3: Digital Operational Resilience Testing – testen, was wirklich zählt

Die dritte Säule ist das Digital Operational Resilience Testing. Hier geht es um die Überprüfung der eigenen Resilienz durch gezielte Tests. Das Spektrum reicht von Schwachstellenanalysen und internen Notfallübungen bis hin zu komplexen, realitätsnahen Simulationen, bei denen externe Experten im Rahmen sogenannter Threat-Led Penetration Tests (TLPT) versuchen, in Systeme einzudringen. DORA macht diese Tests verbindlich und schreibt vor, dass ihre Häufigkeit und Tiefe am Risikoprofil des Unternehmens ausgerichtet werden müssen.

Ein sinnvolles Test-Portfolio enthält:

• Kontrollprüfungen: Härtungs-Checks, Konfigurationsaudits, Identity-Baselines.
• Technische Tests: Pen-Tests, Red-/Purple-Team, Phishing-Simulationen, Adversary Emulation.
• Resilienztests: Wiederanlauf- und Failover-Tests, Degradationsbetrieb („Business Continuity Mode“), Datenwiederherstellung aus unveränderlichen Backups.
• Prozess-/Kommunikationsübungen: Tabletop-Szenarien mit Vorstand, Compliance, Recht, Fachbereichen.

Wichtig ist Follow-up-Disziplin: Findings brauchen Besitzer, Fristen, Prioritäten und einen Wirksamkeits-Check. Tests ohne Abstellmaßnahmen sind Kosmetik.

Säule 4: IKT-Drittparteienrisiko – die Lieferkette als Resilienzfaktor

Die vierte Säule widmet sich dem IKT-Drittparteienrisiko. Angesichts der wachsenden Abhängigkeit von Cloud-Anbietern, Rechenzentren, Software-as-a-Service-Diensten und spezialisierten IT-Dienstleistern ist dieser Bereich besonders kritisch. DORA verlangt, dass Unternehmen ihre Drittanbieter systematisch bewerten, vertraglich absichern und kontinuierlich überwachen. Dazu gehören klare Anforderungen an Sicherheit, Resilienz, Meldepflichten und Exit-Strategien für den Fall, dass ein Anbieter ausfällt oder nicht mehr den Anforderungen entspricht. Besonders bedeutsam ist, dass bestimmte kritische Drittanbieter künftig direkt von europäischen Behörden beaufsichtigt werden. Das entlastet zwar die einzelnen Unternehmen teilweise, ändert aber nichts daran, dass sie für ihre Lieferketten verantwortlich bleiben.

Bausteine eines wirksamen Drittparteien-Managements:

• Tiering: Kritikalität der Dienstleistung, Datenkategorie, Sub-Outsourcing, geographische Lage, Konzentrationsrisiken.
• Due Diligence: Nachweise (Zertifizierungen, Auditberichte, Pentest-Summaries), Architekturbeschreibungen, Betriebs- und Wiederanlaufkonzepte.
• Verträge: Mindestanforderungen zu Sicherheit, Logging, Meldepflichten, Auditrechten, Exit, Datenportabilität, Verschlüsselung/Keys, Location.
• Monitoring: Regelmäßige Re-Assessments, SLAs, Ereignis-Meldungen, Changes beim Anbieter, Testbeteiligung.
• Exit-Fähigkeit: Getestete Rückführung, alternative Anbieter- oder Eigenbetriebs-Optionen, realistische Zeit-/Kostenplanung.

Praxisrealität: Fragebögen reichen nicht. Stichprobenprüfungen, technische Nachweise und (wo möglich) Audits sind nötig, um Vertrauen zu verifizieren.

Säule 5: Informationsaustausch – kollektiv lernen, kollektiv stärker werden

Die fünfte und letzte Säule ist der Informationsaustausch. Dieser Punkt ist weniger technisch, dafür aber strategisch hoch relevant. DORA fördert, dass Unternehmen innerhalb des Finanzsektors Bedrohungsinformationen, Angriffsmuster und Erfahrungen aus Sicherheitsvorfällen austauschen – freiwillig, aber in strukturierten Formaten. Die Idee dahinter: Wenn Unternehmen voneinander lernen, steigt die kollektive Abwehrfähigkeit des gesamten Sektors. In der Praxis ist dieser Austausch oft eine Herausforderung, weil er Vertrauen und klare Regeln erfordert. Doch richtig umgesetzt, kann er verhindern, dass sich Angriffe unbemerkt von einem Ziel zum nächsten ausbreiten.

Erfolgsfaktoren:

• Rechtsrahmen (Kartellrecht, Datenschutz) klären und einhalten.
• Strukturierte Formate (TLP, STIX/TAXII) nutzen.
• Nutzwert sichern: Nur Informationen teilen, die TTPs, Indikatoren und Abwehrmaßnahmen greifbar machen.
• Rückfluss in die Organisation: Threat Intelligence muss in Use-Cases, Erkennungslogik und Risikobewertungen einfließen.

Die Säulen wirken nur im Verbund – Integration als Leitprinzip

Wer die fünf Säulen isoliert betrachtet, verpasst den Mehrwert. Ein meldepflichtiger Vorfall, der nicht sauber klassifiziert ist, findet nicht den Weg in die Lessons Learned der Risikoorganisation. Ein TLPT-Finding ohne Lieferantenbezug übersieht eine Root Cause im SaaS-Stack. Ein guter Informationsaustausch verpufft, wenn Detection-Use-Cases nicht angepasst werden. Integration heißt: gemeinsame Datenbasis, abgestimmte Metriken, ein einheitliches Reporting und klar definierte Übergabepunkte zwischen Risiko, Betrieb, Compliance, Einkauf, Recht und BCM.

Governance und Rollen: Chefsache mit Verantwortungskette

DORA betont die Verantwortung des Top-Managements. Das ist keine Floskel: Ohne regelmäßige Reviews, klare Zielvorgaben und sichtbare Priorisierung durch die Leitung verharren Initiativen in Silos. Bewährt hat sich:

• Lenkungsausschuss (Vorstand/GL, vierteljährlich): Ampelbericht, Trends, Beschlüsse, Budget.
• Programmorganisation (Security, Risk, IT-Ops, Architektur, Einkauf, Recht, BCM, Datenschutz).
• Drei Verteidigungslinien: 1st Line (Betrieb/Fach), 2nd Line (Risk/IS/Compliance), 3rd Line (Revision).
• RACI-Matrizen für Schlüsselprozesse (Incident, Lieferant, Change/Release, DR-Tests).

Metriken, die zählen: Weniger Dashboard, mehr Aussage

Ein schlanker Satz an Kennzahlen genügt – solange er Entscheidungen ermöglicht:

• Patch-SLA für kritische Schwachstellen (Erfüllungsquote/Trend).
• MFA-Abdeckung (gesamt/privilegiert).
• PAM-Konten unter Kontrolle (Rezertifizierung, Session-Überwachung).
• MTTD/MTTR nach Schweregrad.
• Restore-Erfolg (Zeit vs. RTO/RPO, Fehlerquote).
• Logging-Abdeckung kritischer Systeme.
• Lieferanten-Compliance (Nachweise aktuell, Findings offen/überfällig).
• Audit-Feststellungen (Alter, Priorität, Closing-Rate).

Zu jeder Zahl gehört eine Erzählung: Warum bewegt sie sich? Welche Maßnahmen wirken? Welche Entscheidung ist fällig?

Cloud & SaaS: geteilte Verantwortung sauber regeln

Viele Institute betreiben wesentliche Teile in der Cloud. DORA ändert daran nichts – verlangt aber Klarheit:

• Shared Responsibility vertraglich und technisch präzisieren (IAM, Netz, Logging, Verschlüsselung, Härtung).
• Guardrails (präventive Policies, IaC-Checks), CSPM/CNAPP, Exposure-Management.
• Schlüsselmanagement (KMS/HSM, ggf. Kundenschlüssel), Mandantentrennung als rote Linie.
• Resilienz über Regionen/Zonen denken, Degradationsbetrieb planen und testen.
• Nachweise (Architektur, Zertifikate, Tests) aktuell halten.

Datenfokus: Schutzbedarf, Standort, Portabilität

Daten sind der Kern operativer Resilienz:

• Klassifikation nach Vertraulichkeit/Integrität/Verfügbarkeit und regulatorischen Bezügen.
• Standort & Souveränität: Wo liegen welche Daten? Welche Rechtsräume greifen?
• Portabilität & Exit: Wie kommen Daten vollständig, konsistent und nutzbar zurück?
• Backup-Strategie: Unveränderliche Kopien, Air-Gap-Optionen, regelmäßige Wiederherstellungstests.

Kommunikation im Krisenfall: Geschwindigkeit, Wahrheit, Konsistenz

Gute Technik rettet die Lage – gute Kommunikation schützt Vertrauen:

• Sprechzettel für Standardlagen, Freigabewege, Pressesprecherrollen, Q&A.
• Adressatenlisten (Aufsicht, Kunden, Partner, Medien) gepflegt und geübt.
• Tonalität: sachlich, transparent, keine Spekulation, klare Nächste Schritte.
• Dokumentation aller Aussagen und Zeitpunkte – für Nachweis und Lernen.

Roadmap: Vom Start zum wirksamen Betrieb

Phase 1 – Standortbestimmung (4–8 Wochen): Inventar prüfen, Lücken je Säule bewerten, Quick-Wins identifizieren (MFA-Lücken, kritische Patches, Backup-Immutability, Logging-Gaps).
Phase 2 – Governance & Fundamente (8–12 Wochen): Lenkungskreis, KRIs/KPIs, Incident-Playbooks, Lieferanten-Tiering, erste Tabletop-Übungen.
Phase 3 – Ausbau & Integration (3–6 Monate): Resilienztest-Portfolio aufsetzen, Restore-/Failover-Tests, Vertragsnachbesserungen bei kritischen Lieferanten, GRC-/IR-Tooling integrieren.
Phase 4 – Verstetigung (laufend): Quartalsweise Reviews, TLPT-Planung (falls erforderlich), kontinuierliche Verbesserung, Evidenzpflege.

Praxisbeispiel: Wenn Integration Wirkung zeigt

Ein europaweit tätiger Versicherer betrieb Kundenportale in Multi-Cloud-Architektur. Ausgangslage: hohe Tool-Vielfalt, uneinheitliche Kennzahlen, wiederkehrende Patching-Verzüge. Maßnahmen: zentrales KRI-Set, CMDB-Service-Mapping, Cloud-Guardrails, Lieferantentiering mit Nachweisen, Restore-Tests mit Zeitvorgaben, Vorstand-Tabletops. Ergebnis nach neun Monaten: Patch-SLA von 58 % auf 93 %, Restore-Zeit von 9 h auf 2 h, erste meldepflichtige Störung ohne Kundendatenabfluss in < 48 h stabilisiert – dokumentiert, nachvollziehbar, auditfest.

Häufige Stolpersteine – und wie man sie umgeht

• „IT-only“-Denken: DORA ist kein reines Technikprojekt. → Interdisziplinäres Programm, Lenkungskreis, gemeinsame Roadmap.
• Papier ohne Praxis: Policies ohne Übung sind wertlos. → Tabletop & Live-Drills fest im Kalender.
• Lieferanten-Fragebögen als Feigenblatt: → Nachweise prüfen, Stichproben-Audits, Exit testen.
• Ausnahmen ohne Ablauf: → Befristen, kompensieren, nachhalten.
• Kennzahlen ohne Konsequenz: → Ziele, Verantwortliche, Beschlüsse.
• Inventar ohne Besitzer: → Service-Owner-Modell, klare Verantwortlichkeiten.

Der kulturelle Aspekt: Resilienz als Haltung

Resilienz entsteht, wenn Menschen wissen, warum sie etwas tun, und spüren, dass es wirkt:

• Rollenbasierte Schulungen (Vorstand, Entwickler, Admins, Fachbereiche).
• Kurzformate statt Jahresmarathon (Micro-Learnings, Brown-Bag-Sessions).
• Fehlerkultur: Melden ohne Angst, Lernen ohne Schuldzuweisung.
• Sichtbarkeit: Erfolge und Lerneffekte teilen – Vertrauen wächst mit Transparenz.

Fazit: Fünf Säulen, ein Ziel – handlungsfähig bleiben, wenn es zählt

Wer die fünf DORA-Säulen betrachtet, erkennt schnell, dass DORA weit mehr ist als ein weiteres IT-Sicherheitsgesetz. Es verbindet Prävention, Reaktionsfähigkeit, kontinuierliche Verbesserung, Lieferkettensteuerung und kollektive Verteidigung in einem Rahmenwerk, das von allen Marktteilnehmern getragen werden muss. Dabei gibt es bewusst keine Einheitslösungen – jedes Unternehmen muss seinen eigenen Weg finden, die Vorgaben umzusetzen, orientiert am eigenen Risikoprofil. Das macht die Aufgabe komplex, eröffnet aber auch die Möglichkeit, Resilienzmaßnahmen maßgeschneidert und effizient zu gestalten.

In der Praxis wird es entscheidend sein, die Säulen nicht isoliert zu behandeln. Ein Vorfall, der nicht erkannt oder gemeldet wird, kann nicht in die Verbesserung der Tests einfließen. Schwachstellen in der Lieferkette können den besten Notfallplan zunichtemachen. Fehlender Informationsaustausch kann dazu führen, dass andere Unternehmen dieselben Fehler wiederholen. DORA zwingt zu einer integrierten Sichtweise – und genau darin liegt der eigentliche Mehrwert.

Mit der Umsetzung dieser fünf Säulen stellen Unternehmen sicher, dass sie nicht nur die gesetzlichen Vorgaben erfüllen, sondern ihre digitale Widerstandsfähigkeit tatsächlich steigern: weniger Ausfallzeiten, schnellere Reaktionen im Ernstfall, robustere Lieferketten und ein höheres Maß an Vertrauen von Kunden, Partnern und Aufsichtsbehörden. Wer DORA nur als bürokratische Last betrachtet, verpasst die Chance, daraus eine strategische Stärke zu entwickeln. Denn am Ende ist Resilienz nicht nur eine Frage der Compliance – sie ist eine Frage der Zukunftsfähigkeit.