In der Welt der Cybersicherheit ist es ein offenes Geheimnis: Kein Unternehmen kann sich allein verteidigen. Die Angreifer arbeiten längst nicht mehr isoliert – sie tauschen sich aus, handeln im Darknet mit Schwachstellen und Angriffswerkzeugen und nutzen koordinierte Kampagnen, um möglichst viele Ziele gleichzeitig zu treffen. Wer darauf nur mit einer isolierten Verteidigungsstrategie reagiert, läuft Gefahr, in der Informationslücke zwischen den Organisationen unterzugehen. Genau hier setzt eine der Kernideen von DORA an: den strukturierten und sicheren Informationsaustausch im Finanzsektor zu fördern. Die Botschaft dahinter ist klar – Sicherheit wird zur Gemeinschaftsaufgabe.

Der Gedanke ist so einfach wie kraftvoll: Wenn ein Unternehmen eine Bedrohung erkennt oder einen Angriff erlebt, können andere davon profitieren, diese Informationen schnell zu kennen. Ob es sich um neue Phishing-Muster, Zero-Day-Schwachstellen oder komplexe Supply-Chain-Angriffe handelt – je früher andere potenzielle Opfer gewarnt sind, desto besser können sie reagieren. DORA will diesen Austausch nicht nur ermöglichen, sondern systematisieren. Das Ziel: Angriffszeiten verkürzen, Verteidigungsmaßnahmen beschleunigen und die kollektive Widerstandsfähigkeit des gesamten Sektors steigern.

Viele Unternehmen betrachten regulatorische Vorgaben zunächst als zusätzliche Belastung. Neue Gesetze bringen neue Pflichten, mehr Dokumentation, strengere Kontrollen – und das alles kostet Zeit, Geld und Nerven. Auch beim Digital Operational Resilience Act (DORA) war die erste Reaktion in manchen Vorständen und IT-Abteilungen verhalten. „Schon wieder eine EU-Verordnung, die uns Arbeit macht“, lautete der Tenor. Doch wer DORA nur als Pflichtübung versteht, übersieht das Potenzial, das in dieser Verordnung steckt. Richtig umgesetzt, kann DORA nicht nur helfen, Risiken zu reduzieren und Compliance sicherzustellen, sondern auch zu einem echten Wettbewerbsvorteil werden. Resilienz ist in einer digitalisierten Wirtschaft nicht nur eine Frage der Sicherheit – sie ist ein entscheidender Faktor für Vertrauen, Reputation und langfristigen Erfolg.

Von Mindeststandards zu Marktvorteilen: Die fünf Säulen als Wachstumshebel

Das beginnt mit einem Blick auf die Grundidee hinter DORA. Die Verordnung will nicht einfach nur Mindeststandards für die IT-Sicherheit festlegen, sondern die gesamte digitale Widerstandsfähigkeit von Finanzunternehmen und ihren Dienstleistern stärken. Das umfasst IKT-Risikomanagement, Incident Reporting, Resilienztests, Management von Drittparteien und den Informationsaustausch im Sektor. Wer diese fünf Säulen konsequent umsetzt, ist nicht nur gesetzeskonform, sondern auch deutlich robuster gegenüber Cyberangriffen, Systemausfällen oder Lieferkettenstörungen. Diese Robustheit ist kein Selbstzweck – sie sorgt dafür, dass das Unternehmen in Krisensituationen handlungsfähig bleibt, Kundenbeziehungen stabil hält und Schäden minimiert. Genau hier entstehen handfeste Vorteile: niedrigere Ausfallzeiten, schnellere Wiederanläufe, bessere Konditionen in Ausschreibungen, höhere Abschlussquoten im Vertrieb und ein spürbar geringeres Reputationsrisiko.

Für viele Unternehmen ist das Wort „Audit“ immer noch ein Synonym für Stress, lange To-do-Listen und schlaflose Nächte. Das gilt umso mehr, wenn es um neue regulatorische Anforderungen wie DORA geht. Schließlich verlangt die EU-Verordnung nicht nur, dass Unternehmen ihre digitale Resilienz aufbauen und pflegen – sie müssen auch jederzeit nachweisen können, dass sie dies tatsächlich tun. Audits sind das zentrale Instrument, mit dem Aufsichtsbehörden überprüfen, ob Prozesse, Systeme und organisatorische Strukturen den Vorgaben entsprechen. Wer hier unvorbereitet auftritt, riskiert nicht nur negative Feststellungen, sondern auch Bußgelder, Reputationsschäden und im schlimmsten Fall Einschränkungen im Geschäftsbetrieb. Dabei kann ein DORA-Audit deutlich entspannter verlaufen, wenn Unternehmen frühzeitig die richtigen Strukturen schaffen und Auditfähigkeit als Dauerzustand begreifen, nicht als kurzfristige Projektaufgabe.

Was DORA wirklich prüft: Mehr als Technik

Der wichtigste Schritt zu einem souveränen Audit ist das Verständnis, was DORA überhaupt nachprüft. Die Verordnung deckt ein breites Spektrum ab: vom IKT-Risikomanagement über Incident Reporting und Resilienztests bis hin zum Management von Drittparteien und dem Informationsaustausch im Sektor. Das bedeutet: Audits verlangen technische und organisatorische, vertragliche und strategische Nachweise. Ein Penetrationstest-Bericht mag zeigen, dass ein System hart ist – wenn der dazugehörige Prozess für Schwachstellenmanagement nicht dokumentiert oder nicht gelebt ist, bleibt eine Lücke. Ebenso sehen Auditoren Inkonsistenzen sofort: Was im Risikoregister steht, muss mit Testberichten, Vorfall-Eskalationswegen und Lieferantenverträgen zusammenpassen.

Die Digitalisierung der Finanzwelt hat in den letzten Jahren einen klaren Trend hervorgebracht: Immer mehr Leistungen werden an externe Partner ausgelagert. Cloud-Computing, spezialisierte IT-Dienstleister, externe Rechenzentren, Software-as-a-Service-Lösungen oder Managed Security Services – kaum ein Finanzunternehmen betreibt heute noch seine gesamte IT selbst. Diese Entwicklung hat enorme Vorteile: schnellere Innovation, flexiblere Skalierung, Zugang zu Spezialwissen und oft auch Kostenvorteile. Doch sie hat eine Schattenseite, die spätestens mit dem Inkrafttreten von DORA in den Mittelpunkt rückt: Die Abhängigkeit von Drittanbietern kann zur Achillesferse werden, wenn Risiken nicht konsequent gemanagt werden. DORA macht deshalb das Management von IKT-Drittparteien zu einer eigenen Säule der digitalen Resilienz – mit klaren Vorgaben, die deutlich über das hinausgehen, was bisher viele Unternehmen praktiziert haben.

Der Grundsatz: Auslagerung hebt Verantwortung nicht auf

Der Kern der DORA-Vorgaben ist einfach: Unternehmen bleiben auch dann vollständig verantwortlich, wenn sie kritische Funktionen an externe Partner auslagern. Es gibt kein „Das macht unser Dienstleister, darum kümmern wir uns nicht“ mehr. Vielmehr muss jedes Unternehmen sicherstellen, dass auch ausgelagerte Services den gleichen Resilienz- und Sicherheitsstandards entsprechen wie interne Leistungen. Das bedeutet, dass die Auswahl, Überwachung und vertragliche Absicherung von Drittanbietern einen zentralen Platz im Risikomanagement bekommt. Schon vor Vertragsabschluss muss geprüft werden, ob ein Anbieter die technischen, organisatorischen und finanziellen Voraussetzungen erfüllt, um die ausgelagerten Leistungen sicher und stabil zu erbringen. Diese Prüfung ist keine reine Formalität, sondern muss dokumentiert, nachvollziehbar und auf die kritischen Funktionen des Unternehmens zugeschnitten sein.

Wer in einer Organisation für Informationssicherheit, Compliance oder IT verantwortlich ist, weiß: Sicherheitsvorfälle passieren nicht nur bei anderen. Irgendwann kommt der Tag, an dem ein System ausfällt, Daten abfließen oder ein Cyberangriff den Geschäftsbetrieb stört. Für viele Unternehmen ist das ein Schreckmoment, der Adrenalin freisetzt und schnell in hektisches Handeln münden kann. Genau hier setzt DORA mit klaren Vorgaben für das Incident Reporting an – der strukturierten Meldung von schweren IKT-Vorfällen an die zuständigen Behörden. Die Idee dahinter ist einfach: Wenn Vorfälle einheitlich, zeitnah und vollständig gemeldet werden, können Aufsichtsbehörden die Lage besser einschätzen, koordinierte Gegenmaßnahmen einleiten und vor allem verhindern, dass ähnliche Angriffe unbemerkt andere Unternehmen treffen. Für die betroffenen Organisationen bedeutet das aber auch, dass sie ihre internen Prozesse so aufstellen müssen, dass sie im Ernstfall nicht improvisieren, sondern nach einem klaren Plan vorgehen.

Was unter DORA als schwerwiegender IKT-Vorfall gilt – und warum das nicht nur „große Hacks“ sind

Der erste Schritt ist das Verständnis, was unter DORA überhaupt als „schwerwiegender IKT-Vorfall“ gilt. Hier geht es nicht nur um spektakuläre Hackerangriffe oder großflächige Systemausfälle. Auch lang anhaltende Beeinträchtigungen einzelner kritischer Prozesse, der Verlust sensibler Daten oder sicherheitsrelevante Störungen in der Lieferkette können meldepflichtig sein. DORA definiert Kriterien, die sich an der Auswirkung auf Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität orientieren. Dazu zählen unter anderem die Anzahl betroffener Kunden, die Dauer der Störung, die geographische Reichweite, die potenziellen finanziellen Verluste und mögliche Auswirkungen auf die Stabilität des Finanzsystems. Unternehmen müssen diese Kriterien nicht erst im Ernstfall nachschlagen, sondern schon vorab in ihre eigenen Bewertungsverfahren integrieren. Gute Praxis ist eine interne Schwellwertmatrix, die technische Indikatoren (z. B. Umfang der Beeinträchtigung, Exfiltrationsindikatoren) mit Geschäftsauswirkungen (z. B. SLAs, verpasste Zahlungen, Marktkommunikation) verbindet und so schnell zur Entscheidung „meldepflichtig – ja/nein“ führt.