Halbzeit unter DORA: Was aus den ersten sechs Monaten gelernt wurde

Sechs Monate sind vergangen, seit der Digital Operational Resilience Act (DORA) am 17. Januar 2025 in Kraft trat. Ein halbes Jahr, das für viele Unternehmen im Finanzsektor zugleich eine Compliance-Hürde und einen Prüfstein darstellte. Heute zeigt sich: Die ersten Erfahrungen sind klar – DORA ist kein Projekt mit Start- und Endpunkt, sondern der Beginn eines laufenden Transformationspfads. Was bisher gelungen ist, wo es noch hakt und warum die nächsten Monate entscheidend sind – all das erfährst du in diesem Artikel.

Die erste Phase: Anmeldung, Verwirrung und Umsetzungsstress

In den ersten Monaten galt es, die Basis zu schaffen: Das Register of Information (RoI) zu Drittdienstleistern musste bis Ende April 2025 eingereicht werden. Viele Unternehmen leisteten hier einen echten Sprint – doch schon damals war klar, dass die eigentliche Arbeit erst beginnt. Parallel dazu schärften nationale Behörden den Rahmen, indem sie detaillierte Anforderungen an Drittanbieter-Risikomanagement, Meldepflichten und interne Governance-Strukturen definierten. Besonders Asset Manager, Versicherer und kleinere Banken spüren seit Frühjahr 2025 einen deutlichen Umsetzungsdruck.

Die operative Realität in Q1/Q2 2025: ad-hoc Taskforces, verdichtete Dokumentationswellen, rasch aufgesetzte Gremien, erste Resilienztests „auf Knopfdruck“ – oft noch ohne ausgereifte Methodik. Viele Häuser bauten neben dem Tagesgeschäft in Rekordzeit GRC-Ablagen, Lieferantenregister, Meldeprozesse und Testkalender. Der Preis: hohe Belastung in Security, IT-Operations, Legal/Compliance und Einkauf.

Ein aktueller Stimmungscheck: Fast alle fühlen sich (noch) nicht bereit

Eine Branchenumfrage zeigt, dass sich der überwiegende Teil der Finanzdienstleister nach sechs Monaten DORA noch unvorbereitet fühlt:

• 96 % sehen ihre digitale Resilienz noch nicht als ausreichend.
• 94 % stufen DORA inzwischen als hohe Priorität ein, 40 % sogar als höchste Priorität im Bereich digitale Resilienz.
• 41 % melden hohen Stress bei IT- und Sicherheitsteams.
• 37 % sehen steigende Kosten durch ICT-Anbieter.
• 22 % betrachten DORA aktuell als Innovationsbremse.
• 20 % kämpfen noch mit Budgetknappheit.

Zudem fehlen bei vielen Unternehmen noch wichtige Bausteine: rund ein Viertel hat weder belastbare Resilienztests noch ein funktionierendes Incident Reporting etabliert. Klare Verantwortlichkeiten für DORA-Implementierung und laufende Pflege sind häufig noch nicht verbindlich dokumentiert.

Warum der Start so holprig war: Drei systemische Ursachen

1. Komplexität und Breite des Scopes: DORA ist nicht „nur Security“, sondern umfasst IKT-Risikomanagement, Incident-Meldewesen, Tests, Third-Party-Steuerung und Informationsaustausch – mit Schnittstellen zu DSGVO, NIS2, ISO 27001/22301 und bankaufsichtlichen Leitlinien.
2. Fragmentierte Ausgangslage: Viele Häuser hatten starke Einzelbereiche (z. B. ISO-zertifiziertes ISMS), aber Lücken in der Verzahnung: Risiko ↔ Kontrollen ↔ Tests ↔ Incidents ↔ Lieferanten.
3. Zeitdruck und Ressourcenkonkurrenz: Parallele Großvorhaben (Cloud-Migration, Modernisierung Kernbank/Payments), knappe Security-Talente, steigende Lieferantenkosten – und DORA als zusätzliche Querschnittspflicht.

Zehn Erkenntnisse nach sechs Monaten – und was sie praktisch bedeuten

1. Reifegrade variieren stark
   Große Banken und IT-Dienstleister starteten mit besserer Governance und Tooling. Kleinere Player holen auf – mit Standard-Baukasten, geteilten Services und fokussierter Priorisierung.
   Praxis-Tipp: Ein Maturity-Assessment je Säule (0–5) schafft Klarheit über Lücken und Prioritäten.
2. Risikobasierte Ansätze sind entscheidend
   DORA verlangt keine Gleichverteilung von Aufwand. Schutzbedarf (CIA & Co.) und Business Impact bestimmen Tiefe und Frequenz.
   Praxis-Tipp: Heatmaps mit Top-10-Risiken, klare Risikotoleranzen, gezielte Maßnahmenbündel statt Gießkanne.
3. Kritische Funktionen präzise definieren
   Ohne klare Definition von kritischen Prozessen/Assets versanden Tests und Investitionen.
   Praxis-Tipp: BIA (Business Impact Analysis) inklusive RTO/RPO und Abhängigkeiten (Identität, Netzwerk, Drittpartei) ist Pflicht.
4. Regelwerk steht – Durchsetzung beginnt
   Die „Was“-Fragen sind beantwortet. Nun zählen Wirksamkeit und Nachweise, nicht hübsche Policies.
   Praxis-Tipp: KPIs/KRIs (MTTD/MTTR, RTO-Erfüllung, Lieferanten-Scorecards) ins Management-Reporting.
5. RoI ist Start, nicht Ziel
   Das Register of Information ist ein lebendes Objekt – mit Änderungstriggern (neue Sub-Prozessoren, Standortwechsel, Architekturänderungen).
   Praxis-Tipp: Monatliches Register-Review, Quartals-Abgleich mit Einkauf/Architektur.
6. Verträge brauchen Substanz
   Ohne Audit- und Informationsrechte, Vorfallfristen, Portabilität/Exit und Flow-down auf Sub-Prozessoren bleibt die Steuerung zahnlos.
   Praxis-Tipp: Standard-Sicherheitsanhang, Nachträge bei Bestandsverträgen, Exit-Drills einmal pro Jahr.
7. Dokumentation ist Routine, nicht Event
   „Always audit ready“: Evidenzen entstehen im Prozess (Systemexporte, Logs, Testberichte).
   Praxis-Tipp: Monatliche Evidence Days, Versionierung, WORM/Hash für Unveränderlichkeit.
8. Rollen & Mandate entscheiden
   Ohne Incident Commander, Regulatory Liaison, Supplier Manager und Exercise Director stocken Abläufe.
   Praxis-Tipp: RACI-Matrix, Stellvertretungen, formale Mandate (Entscheidungsbefugnisse).
9. Resilienztests müssen realistisch sein
   Failover, Restore, Tabletop, Purple Teaming – mit Zeitdruck und Ketteneffekten (z. B. IdP-Ausfall, Region-Fail).
   Praxis-Tipp: Halbjährliche DR-Proben für Kernservices, vierteljährliche Tabletops, jährliche Purple-Kampagnen.
10. Transparenz mit Aufsicht zahlt sich aus
    Frühe, strukturierte Kommunikation reduziert Tiefe und Reibung späterer Prüfungen.
    Praxis-Tipp: Standardisierte Kurzlagen (Scope, Gaps, Roadmap, Kennzahlen), konsistente Fakten in Incident-Meldungen.

Nachhaltigkeit statt Eile: Vom Sprint in den Dauerbetrieb

Viele Unternehmen haben im ersten Halbjahr unter DORA einen enormen Kraftakt vollbracht, um die Basisanforderungen zu erfüllen. Jetzt gilt es, nachhaltige Strukturen zu schaffen:

• RoI-Prozess mit klaren Triggern, monatlichem Review und quartalsweiser Qualitätssicherung.
• Third-Party-Lifecycle (Due Diligence → Vertrag → Onboarding → Monitoring → Re-Assessment → Exit).
• Testprogramm mit Jahreskalender, Akzeptanzkriterien, Re-Tests und Lessons Learned.
• Incident-Betriebsmodell: Playbooks, Taktzeiten, Kommunikationspfade, DORA/DSGVO/NIS-Abstimmung.
• Control-Monitoring: Automatisierte Checks (Identity, Patching, Config-Drift, Backup-Integrität).
• Management-Reviews: Quartalsweise Entscheider-Sicht mit Kennzahlen und Maßnahmenbeschlüssen.

DORA Säule für Säule: Wo die meisten Lücken sitzen – und wie man sie schließt

1) IKT-Risikomanagement

Typische Lücke: Risiken sind beschrieben, aber Kontrollen und Metriken fehlen.
Schließen: Einheitliche Kontrollbibliothek (DORA/ISO-Mapping), SoA-ähnliche Übersicht, KRIs (z. B. Anteil kritischer Assets ohne Backup-Integritätsnachweis).

2) Incident Reporting

Typische Lücke: Späte Klassifizierung, uneinheitliche Zahlen, fehlende TLP-Disziplin.
Schließen: Erstmeldung in festen Zeitfenstern, Incident-Log (Zeitleiste, Chain of Custody), Comms-Playbook, regulatorisch abgestimmte Templates.

3) Digital Operational Resilience Testing

Typische Lücke: Papier-Notfallpläne ohne Restore-Beweis.
Schließen: Restore-Tests mit Checksummen/Anwendungs-Kohärenz, Region-Failover-Proben, Purple Team zur Detektionsverbesserung.

4) IKT-Drittparteien

Typische Lücke: Verträge ohne echte Rechte, Monitoring nur über SLA-Berichte.
Schließen: Nachträge (Audit/Incident/Exit/Sub-Outsourcing), Scorecards, API-basierte Telemetrie, Exit-Drills.

5) Informationsaustausch

Typische Lücke: Zögerliches Teilen, fehlende Standards.
Schließen: TLP 2.0, STIX/TAXII, MISP/OpenCTI, Sigma/YARA-Pipelines, Time-to-Share als KPI.

RoI richtig leben: Datenmodell, Qualität, Aktualität

• Datenmodell: Dienstleister, Service, Kritikalität, Datenklassen, Regionen, Sub-Prozessoren, Kontakt-/Meldewege, Audit-/Test-Nachweise, Exit-Pfad.
• Qualität: Eindeutige IDs, Änderungsjournal, Pflichtfelder, Validierungsregeln (z. B. keine kritischen Services ohne RTO/RPO).
• Aktualität: Trigger (neuer Sub-Prozessor, Standortwechsel, Architekturänderung, Major Incident, M&A), monatliche Pflege, quartalsweise Auditreife-Check.

Metriken, die Wirkung zeigen: Von Gefühl zu Führung

• MTTD/MTTR je Serviceklasse; Time-to-Classify; Time-to-Notify.
• RTO/RPO-Erfüllung bei DR-Tests; Restore-Integrität (Checksummen/Transaktionskonsistenz).
• Kontrollabdeckung (MFA-Quote, Patching < x Tage, Config-Drift-Rate, Backup-Testquote).
• Lieferanten-KRIs (SLA-Major-Breaches, Vorfallmeldezeit, RCA-Qualität, Sub-Prozessor-Transparenz).
• Informationsaustausch (Time-to-Share, Adoption-Rate, FP-Quote je Quelle).
• Konzentrationsrisiko (Top-3-Provider-Exposure je kritischem Prozess, Herfindahl-Index).

Maturity-Modell: Von ad-hoc zu adaptiv

• Level 1 – Ad-hoc: Einzelmaßnahmen, manuelle Evidenzen, reaktiv.
• Level 2 – Definiert: Policies/Prozesse vorhanden, erste Kalender, sporadische Tests.
• Level 3 – Gemanagt: Kennzahlen, regelmäßige Reviews, Re-Tests, Lieferanten eingebunden.
• Level 4 – Integriert: Verzahnt mit ISMS/BCM/Risk, automatisierte Kontrollen, Informationsaustausch etabliert.
• Level 5 – Adaptiv: Threat-intel-gestützt, kontinuierliche Verbesserung, „Design for Exit“, Übungen mit Partnern/Aufsicht.

Budget, Kosten, ROI: Vom Pflichtaufwand zum Werttreiber

Ja, DORA kostet – Tools, Tests, Vertragsanpassungen, Personal. Aber:

• Downtime-Reduktion spart direkt (MTTR runter, SLO rauf).
• Vorfallfolgen sinken (schnellere Detektion, bessere Eindämmung).
• Auditkosten sinken (Always-Audit-Ready, automatisierte Reports).
• RFP-Erfolg steigt (Trust-Center, belastbare Nachweise).
• Versicherungsbedingungen verbessern sich mit Evidenzlage.

Einfacher Business Case:
ΔVermeidete Verluste + ΔUmsatz (höhere Abschlussquote) + ΔEffizienz – Invest → positiver ROI ab Jahr 2 realistisch, wenn Test-/Incident-Programm und Lieferanten-Scorecards greifen.

Rollen & RACI: Wer führt, wenn’s zählt?

• C-Level-Sponsor (CIO/COO/CRO): Ressourcen, Risikoappetit, Entscheidungen.
• DORA-Programmleitung: Steuerung, Roadmap, Reporting.
• Regulatory Liaison: Meldungen, Abstimmung mit Aufsicht.
• Incident Commander: Führung in Vorfällen/Übungen.
• Exercise Director: Testkalender, Durchführung, Auswertung.
• Supplier Manager: Verträge, Scorecards, Eskalationen, Exit-Drills.
• ISMS/BCM Leads: Controls, BIA, RTO/RPO.
• Comms Lead: Interne/externe Kommunikation, Q&A, Freigaben.

RACI pro DORA-Anforderung beugt Lücken vor: verantwortet/unterstützt/konsultiert/informiert – verbindlich festgehalten.

Tooling-Stack, der trägt

• GRC/DMS mit Versionierung, Metadaten, DORA-Mapping.
• CMDB/Service-Katalog als Single Source of Truth für RoI-Daten.
• SIEM/XDR/SOAR mit Use-Case-Katalog, Automationspfaden (z. B. IOC → Policy Update).
• Backup/DR-Plattform mit Integritäts-Checks und Reporting.
• MISP/OpenCTI für Threat-Intel & Austausch.
• Vendor-Risk-Management (Register, Scorecards, Nachweisverwaltung).
• Observability (SLI/SLO, synthetische Checks, Tracing) – für Resilienz „zum Anfassen“.

Zwei Mini-Fallstudien (anonymisiert)

A) Regionalbank (kritischer Zahlungsservice)
Ausgangslage: RoI sprintfertig, DR ungeübt, Lieferantenverträge generisch.
Maßnahmen: Halbjährliche DR-Proben, Nachträge (Vorfallfristen/Audit/Exit), Supplier-Scorecards, Tabletop „Cloud-Region down“.
Ergebnis nach 6 Monaten: MTTR –45 %, Erstmeldung in <2 h, RTO in Tests ≥95 % erfüllt, Versicherer reduziert Selbstbehalt.

B) Asset Manager (SaaS-Zentrierung)
Ausgangslage: 80 % Kernprozesse über SaaS, keine Exit-Pläne.
Maßnahmen: Daten-/Betriebs-Escrow, Exit-Drill (Export/Import), MISP-Anbindung, Purple-Sprints zur Detektion.
Ergebnis: Kürzere Due-Diligence-Zyklen, Audit ohne Major Findings, spürbar weniger Incident-Stress.

30/60/90-Tage-Plan für die zweite Halbzeit 2025

0–30 Tage

• Maturity-Assessment, Risikoappetit konkretisieren.
• RoI-Qualitätscheck + Triggerliste.
• Lieferanten Top-10: Vertrags-Gap-Analyse (Audit/Incident/Exit).
• Testkalender Q3/Q4 fixieren; Tabletop-Agenda.
• Incident-Templates (Erst/Zwischen/Abschluss) finalisieren.

31–60 Tage

• DR-Generalprobe für 1–2 Kernservices inkl. Restore-Integritätsnachweis.
• Vertragsnachträge verhandeln; Scorecards live.
• SOAR-Playbooks für IOC→Block/Hunt; Time-to-Share messen.
• Management-Dashboard mit KPIs/KRIs in Betrieb.

61–90 Tage

• Purple-Kampagne (3–5 relevante ATT&CK-Techniken) + Re-Tests.
• Exit-Drill (Mini-Migration) dokumentieren.
• Probe-Audit (intern), CAPA-Plan, Evidence-Room vervollständigen.
• Lessons Learned in Roadmaps und Budgets 2026 verankern.

Häufige Fallstricke – und wie du sie vermeidest

• Policy-Schönwetter ohne Betrieb → Walkthroughs, Systemexports, Stichproben.
• DR ohne Restore-Beweis → Checksummen, Anwendungs-Kohärenz, Zeitziele.
• Lieferanten-Blackbox → Nachträge, Scorecards, Telemetrie-APIs, Exit-Proben.
• IOC-Flut ohne Wirkung → TTL, Priorisierung, TTP-Fokus, Adoption-KPIs.
• Inkonsistenzen (Risiko ↔ Tests ↔ Incidents ↔ Verträge) → Konsistenz-Reviews, gemeinsame Quellen.
• Zähe Freigaben → Incident-Fast-Track, vordefinierte Freigabeprofile, TLP-Disziplin.
• Evidenz auf Zuruf → „Always audit ready“, monatliche Evidence Days, WORM/Hash.

Der Status nach sechs Monaten – zusammengefasst

• Meilensteine erreicht (RoI, erste Prozesse), aber Lücken bleiben.
• Druck hoch: Viele fühlen sich noch nicht DORA-ready.
• Fokus auf kritische Bereiche zahlt sich finanziell und operativ aus.
• Regulatorik steht – nun zählen Überwachung und Sanktionierung.
• DORA ist kein Projektziel, sondern ein fortlaufendes Resilienzprogramm, das in die DNA muss.

Fazit: Halbzeit – aber der echte Wettkampf beginnt jetzt

Das erste halbe Jahr unter DORA war geprägt von hoher Umsetzungsgeschwindigkeit, teils widersprüchlichen Erwartungen und dem Kampf gegen die Zeit. Jetzt beginnt die Phase, in der nicht nur formal erfüllt werden muss, sondern die Wirksamkeit der Maßnahmen zählt. Wer von der reinen Compliance-Perspektive auf eine echte Resilienzstrategie umschwenkt, steht regulatorisch sicherer – und gewinnt Wettbewerbsvorteile: weniger Ausfälle, schnellere Reaktionen, bessere Verträge, überzeugendere RFP-Antworten, mehr Vertrauen bei Kund:innen und Aufsicht.

Kurz: DORA ist der Startschuss, nicht das Zielband. Die zweite Halbzeit entscheidet, ob Resilienz ein Poster an der Wand bleibt – oder zur spürbaren Stärke im Markt wird.