Es gibt Regulierungswellen, die über Unternehmen hinweglaufen, ein paar neue Formulare hinterlassen und dann im Tagesgeschäft versanden. Und es gibt Regulierungen, die die Statik eines Hauses verändern: wie Entscheidungen fallen, wie Risiken gemessen werden, wie Verträge geschrieben sind, wie IT gebaut, betrieben und wiederhergestellt wird. MaRisk war für viele Institute der Start in dieses neue Denken; DORA zwingt es nun zu Ende. Dazwischen liegen Jahre, in denen BAIT/VAIT/KAIT, EBA-Leitlinien, Outsourcing-Regelwerke, Datenschutz und sektorübergreifende Cybersicherheitsvorgaben das Puzzle immer dichter gemacht haben. Das Ergebnis ist mehr als „mehr Pflichten“. Es ist ein neues Governance-Paradigma: weg von Richtlinien als Selbstzweck, hin zu wirksamer Steuerung mit Evidenz – im Normalbetrieb und unter Stress.

Von der Checkliste zur Steuerung: Was MaRisk wirklich ausgelöst hat

MaRisk hat die Grundmechanik moderner Governance im Finanzsektor etabliert: Risikobasierung, Proportionalität, Verantwortlichkeit der Geschäftsleitung. Viele Häuser begannen, Ziele und Risiken systematisch zu kaskadieren, Kontrollfunktionen unabhängiger zu stellen und mit drei Verteidigungslinien zu arbeiten. Doch der vielleicht wichtigste Schritt fand still statt: die Einsicht, dass ein reproduzierbarer Entscheidungspfad wertvoller ist als die perfekte Einzelmaßnahme. Ein Limit nützt nichts ohne Schwellen, Eskalationsrechte, Fristen und Re-Checks. Ein Risiko ist nur dann „behandelt“, wenn die Maßnahme nachweislich wirkt – nicht, wenn sie einmal beschlossen wurde. Diese Logik wirkt heute in allen Vorgaben fort.

BAIT/VAIT/KAIT: IT-Governance wird Chefsache

Mit den xAITs (BAIT für Banken, VAIT für Versicherer, KAIT für Kapitalverwaltung) wurde IT-Governance aus dem Technik-Keller in die Chefetage geholt. Plötzlich stand nicht mehr nur die Firewall im Fokus, sondern Rollen, Prozesse, Lieferketten, Wiederanlaufziele, Testkalender, Asset- und Berechtigungsmanagement. Die xAITs haben die Brücke gebaut zwischen MaRisk-Denke und IT-Wirklichkeit: Der Vorstand verantwortet die Angemessenheit, die IT liefert die Betriebsevidenz, die Second Line macht Wirksamkeit messbar. Viele Institute erlebten hier ihren ersten Kulturschock: Nicht die schönste Policy, sondern der Restore-Beleg zählt. Nicht die Vollständigkeit des Vertragsordners, sondern die Steuerbarkeit von Auslagerungen.

Outsourcing-Leitlinien und Cloud: Abhängigkeiten werden zur Steuerungsfrage

Mit den europäischen Outsourcing-Leitlinien kam die nächste Realität an: Auslagerung entbindet nicht von Verantwortung. Due Diligence vor Vertrag; Informations- und Prüfungsrechte; Meldepflichten; Sub-Dienstleister-Transparenz; Exit- und Portabilitätsregeln; laufendes Monitoring. Vor allem aber: Telemetrie statt Papier. Wer kritische Services in die Cloud verlagert, muss die Lage sehen: Konfigurationsdrift, Identitätsereignisse, anomale Datenbewegungen, SLA-Drifts. Und er muss entscheiden können: Schwellen, Eskalationspfade, temporäre Kontrollen, Re-Checks. Genau hier beginnt Governance, spürbar leistungsfähig zu werden – oder sichtbar zu scheitern.

DORA: Der Sprung von Schutz zu Resilienz

DORA zwingt die Logik auf den Punkt: Nicht nur schützen, unterbrechen-resistent arbeiten. Das Bild wechselt von der Policy-Sammlung zur Fähigkeit, kritische Prozesse trotz Angriff, Ausfall oder Lieferkettenstörung am Laufen zu halten – und das belegen zu können. Die fünf Säulen – IKT-Risikomanagement, Incident Reporting, Resilienztests, Drittparteien-Steuerung, Informationsaustausch – ergeben zusammen eine einzige Frage: Funktioniert euer Steuerungs- und Wiederanlaufsystem unter Druck? Genau diese Frage verändert Governance tiefer als jede Einzelanforderung.

Wo Regulierung Governance wirklich verändert: Zehn Verschiebungen

1) Von Policy-Existenz zu Operating Effectiveness
Früher reichte oft der Nachweis, dass es eine Regel gibt. Heute zählt, wie sie wirkt. Der Wechsel zeigt sich im Detail: Backups ohne applikationsseitigen Integritätsbeleg gelten nicht mehr als Nachweis. Schwachstellenprozesse ohne Alterskurven und Ausnahme-Fristen sind unvollständig. Incident-Runbooks ohne Zeitstempel und Entscheidungsjournal bleiben Rhetorik. Die Messlatte ist nun „immer auditfähig“ – nicht „audittauglich einmal im Jahr“.

2) Von Risiken als Liste zu Risiken als Regelspur
MaRisk hat Risikokataloge etabliert; DORA zwingt sie in Bewegung. Reife Häuser definieren KRIs mit Schwellen, verknüpfen sie mit Tickets, hinterlegen Eskalationsrechte, setzen Fristen und planen Re-Checks. So entsteht eine Regelspur statt einer Tabelle: aus Überschreitung wird Entscheidung, aus Entscheidung wird Maßnahme, aus Maßnahme wird Evidenz.

3) Von Schutzbedarf zu Operations-Toleranzen
Die CIA-Triade bleibt – aber die Frage hat sich erweitert: Wie lange dürfen wir degradiert arbeiten? Welche Datenqualität reicht im Notfall? Welcher Nutzeranteil muss zwingend arbeitsfähig sein? Diese Antworten sind nicht technisch, sondern geschäftspolitisch. DORA und xAITs verlangen, dass solche Toleranzen definiert, geübt und gemessen werden.

4) Von Infrastruktur-Notfall zu Geschäfts-Wiederanlauf
Resilienztests wirken erst, wenn sie dort prüfen, wo es wehtut: Anwendungsebene. Ein Restore ist erst ein Nachweis, wenn Daten- und Transaktionsintegrität belegt sind, RTO/RPO gemessen und Abweichungen adressiert. Dazu gehören Tabletop-Übungen (Entscheidungen unter Unsicherheit), Failover-Proben (Funktion statt Häkchen) und wiederkehrende Re-Tests.

5) Von Outsourcing als Vertragsakt zu Lieferkette als Steuerungsdisziplin
Regulatorik fordert: sehen–bewerten–reagieren–belegen. Vor Vertrag (Due Diligence), im Vertrag (Informations-/Prüfrechte, Meldepflichten, Sub-Transparenz, Exit), im Betrieb (Scorecards, Telemetrie, Eskalationen), im Ausnahmefall (Abweichungen mit Frist und Kompensation), im „Worst Case“ (geübte Exit-Pfade). Vertrauen bleibt wichtig – aber prüfbare Steuerbarkeit wird Pflicht.

6) Von Kennzahlen als Tapete zu Kennzahlen als Entscheidung
Gute Häuser reduzieren auf wenige, harte Metriken – mit Ownern, Schwellen, Eskalation, Fristen, Re-Checks: MTTD/MTTR; Alterskurven für Schwachstellen; Restore-Erfolgsquote je Serviceklasse; RTO/RPO-Einhaltung; De-Provisioning-Dauer; Rezertifizierungsquote; Nutzung/Review privilegierter Sitzungen; SLA-Compliance; Incident-Meldezeiten; Exit-Readiness; Kosten pro Service/Transaktion. Daraus werden Führungsimpulse statt bunter Cockpits.

7) Von IAM als Komfortthema zu Identity-first-Resilienz
Kein Bereich produziert so verlässlich Feststellungen wie Rechte. Der Sprung gelingt nur ganzheitlich: Rollenmodelle (Funktionstrennung, befristete Ausnahmen), Lifecycle-Kopplung (HR↔IAM), JIT-Privilegien mit Sitzungsaufzeichnung & Review, Rezertifizierungen mit Konsequenzen, systemische Evidenzen (Populationen, Genehmigungsjournale, Log-Links). Identity-first begrenzt den Blast Radius und beschleunigt Korrektur.

8) Von Datensummen zu Data-Lineage
Zahlen führen – oder verwirren. Lineage macht sie prüfbar: Herkunft, Transformation, Freigaben, Qualitätsschwellen, Tickets bei Verstößen, Ursachenanalyse, Re-Checks. Wer so arbeitet, beendet Debatten über „welche Zahl stimmt“ und gewinnt Entscheidungszeit im Ernstfall.

9) Von jährlichem Prüfmodus zu Continuous Controls Monitoring
Regelmäßige Exporte und Dashboards sind kein Selbstzweck. Sie zeigen Drift in der Cloud, Alter in Patches, Anomalien in Identitäten, SLA-Drifts in Lieferketten, Restore-Gesundheit je Serviceklasse. Entscheidend ist die Konsequenz bei Schwellenbrüchen: Eigentümer, Eskalationskette, Maßnahmen, Re-Checks.

10) Von Kultur als Plakat zu Kultur als Verhaltensspur
Resilienz misst sich an Verhalten: Quote rechtzeitig gemeldeter „Near Misses“, Zeit bis zur Eskalation, Anteil fristgerecht geschlossener CAPA-Maßnahmen, Halbwertszeit von Ausnahmen, Häufigkeit/Qualität von Lessons Learned. Diese Zahlen sind robuster als jede Selbstbeschreibung – und lenken Kultur in eine messbare Richtung.

Sektor-Schnappschüsse: Wie sich das neue Paradigma anfühlt

Retail-Bank mit hoher Cloud-Quote
Guardrails in der Landing Zone, Policy-as-Code in Pipelines, Use-Case-Detection (Datenexfiltration, privilegierte API-Muster), Restore-Tests auf Zahlungs- und Kernbank-Anwendungen mit Integritätsbeleg, Telemetrie-basierte Lieferanten-Scorecards, Incident-Backbone mit Multi-Adressierung (intern, Kunden, Aufsicht). Ergebnis: weniger Überraschung, schnellere Wiederherstellung, prüfbare Resilienz.

Versicherer mit Altlasten und neuen Digitalprodukten
Segmentierung statt Monolith, Daten-Lineage bis in ESG- und Schadenreports, Tabletop-Übungen mit Schaden und Aktuariat, IAM-Disziplin als Hebel für Betrugsprävention, Lieferantenverträge mit Sub-Transparenz und Exit-Probe. Ergebnis: klare Prioritäten, bessere Auditfähigkeit, spürbar weniger Betriebsrisiko.

Asset Manager unter KAIT-Logik
Fokus auf Datenintegrität (Portfolioprozesse, NAV-Berechnung), Restore-Tests mit fachlichen Stichproben, API-Security für Marktdaten-Feeds, strikte Funktionstrennung in Buchungs- und Freigabeprozessen, Scorecards für Administratoren/Depotbanken. Ergebnis: weniger stille Fehler, schnellere Korrekturzyklen, hohe Nachvollziehbarkeit.

Zahlungs-Fintech
Identity-first, JIT-Privilegien, Zero-Trust-Kanten; FinOps-Kennzahlen im Governance-Report (Kosten-Drifts als Sicherheitsindikator); Standardisierung von Partner-Integrationen; Exit-Pfade pro Mandant. Ergebnis: Wachstum ohne Governance-Erosion.

Anti-Patterns – und wie Regulierung sie entlarvt

Der Governance-Werkraum: Eine integrierte Erzählung statt fünf Inseln

Die stärkste Wirkung entfaltet Regulierung dort, wo Häuser eine einheitliche Erzählung bauen:

  1. Zielkaskade vom Geschäfts- über das IKT-Ziel zu Metriken.
  2. Risiko-/Toleranzmodell mit klaren Schwellen und Eskalationsrechten.
  3. Evidenz-Baukasten: standardisierte Exporte (IAM, Incidents/Changes, Schwachstellen, Backups/Restores, Lieferkette), unveränderliche Ablage, Populationsdefinitionen.
  4. Testkalender mit Akzeptanzkriterien (RTO/RPO, Integrität, Kommunikationszeiten), Lessons Learned, Re-Tests.
  5. Kohärenz-Review (Risiko, Incidents, Tests, Lieferkette, Finanzen, Management-Report) mit Ticket/Frist/Owner/Re-Check.
    So wird aus MaRisk-Prinzipien Betriebspraxis – und DORA-Ansprüche laufen „by design“ mit.

Roadmap 180 Tage: Vom Nebeneinander zum Betriebsmodus

Monat 1–2
Design-Faktoren schärfen (Geschäftsmodell, Bedrohung, Sourcing, Aufsicht); kritische Services/Daten inventarisieren; Schutzbedarfe/Kritikalitäten und Operations-Toleranzen festlegen; Eskalationsmatrix (Normal/Krise) verankern; Führungs-KPIs definieren.

Monat 3–4
Evidence-Baukasten aufsetzen (Exporte, WORM/Hash, Populationslogik); Pipeline-Gates für Top-Risiken (IaC-Checks, Security-Tests, Rollback-Fähigkeit); IAM-Quickwins (De-Provisioning-Zeit halbieren, Rezertifizierungszyklus starten, JIT-PAM inkl. Sitzungsaufzeichnung).

Monat 5
Restore-Übungen auf Anwendungsebene mit Integritätsbeleg; Tabletop-Übungen für Krisenentscheidungen und Meldungen; Scorecards mit Top-Dienstleistern; erstes Kohärenz-Review; CAPA-Backlog mit Fristen & Re-Checks; Incident-Backbone auf Mehrfach-Adressierung trimmen.

Monat 6
Probe-Audit „Operating Effectiveness“ mit echten Stichproben (Tickets, Logs, Pipelines, Restore-Belege); Lücken schließen, Re-Tests terminieren; Evidence-Tage und quartalsweise Kohärenz-Reviews institutionalisieren; Management-Reporting konsequent auf Entscheidungen statt nur Zahlen ausrichten.

Ergebnis: Governance wird Betriebsmodus. MaRisk-Geist (Risikobasierung, Proportionalität) bleibt; DORA-Wucht (Resilienz, Drittparteiensteuerung, Meldelogik) wird in Routinen verankert.

Was Prüfer wirklich sehen wollen

Wo diese vier Punkte sichtbar sind, kippt jede Prüfung von Belastung zu Bestätigung.

Ökonomie der Governance: Warum das kein „Kostenkapitel“ bleibt

Resilienz senkt Schadenshöhe und Reparaturzeit – das ist offensichtlich. Weniger sichtbar, aber genauso wirksam: Planbarkeit. Guardrails in der Cloud reduzieren „Tech-Schulden“. Telemetrie in der Lieferkette reduziert Streit und Verzug. JIT-Privilegien senken Audit-Findings und Incident-Kosten. Lineage spart Meetings und Fehlerreparatur. Kurz: Gute Governance amortisiert sich in Operations – nicht in Präsentationen.

Kultur, die trägt: Verantwortung als Gewohnheit

Die schönste Architektur bleibt Theorie ohne Verhalten. Häuser, die nachhaltig bestehen, kultivieren drei Gewohnheiten: Transparenz (Signale werden gemeldet, auch wenn sie unbequem sind), Konsequenz (Schwellen haben Folgen, auch wenn es wehtut), Lernen (Fehler werden zur Bauanleitung für das nächste Mal). Regulierung fordert das – aber Kultur ermöglicht es.

Schluss: Regulierung als Kompass, nicht als Klotz

Von MaRisk bis DORA lässt sich ein roter Faden ziehen. Am Anfang stand die Einsicht, dass Risiken nicht nur begrenzt, sondern geführt werden müssen. Am Ende steht die Forderung, das unter Stress zu beweisen: Resilienz. Wer die Reise als Bürokratie erlebt, hat das Ziel verfehlt. Wer sie als Kompass nutzt, gewinnt mehr als Compliance: Klarheit im Entscheiden, Tempo im Handeln, Vertrauen bei Aufsicht, Kunden und Partnern. Regulatorik hat Governance wirklich verändert – nicht, weil sie dicker geworden ist, sondern weil sie vom Papier in den Betrieb gewandert ist. Genau dort gehört sie hin.