DORA-Anforderungen technisch sauber umsetzen
Cyberrisiken steigen – DORA setzt klare Anforderungen
Cyberangriffe treffen den Finanz- und Versicherungssektor besonders häufig und mit hoher Schadenswirkung. Hohe Vermögenswerte, strenge Verfügbarkeitsanforderungen und komplexe IT-Ökosysteme machen Banken und Versicherungen zu attraktiven Zielen – von Ransomware und Datendiebstahl bis hin zu Angriffen über externe Dienstleister.
Mit der EU-Verordnung DORA (Digital Operational Resilience Act) steigen zugleich die Anforderungen an digitale Resilienz. Sicherheitsmaßnahmen müssen nicht nur implementiert, sondern auch steuerbar, überprüfbar und dauerhaft beherrschbar sein – eingebettet in ein strukturiertes IKT-Risikomanagement.
Fast ein Fünftel aller globalen Cyber-Vorfälle der vergangenen zwanzig Jahre betraf Unternehmen des Finanzsektors. Der Schaden beläuft sich laut IWF seit 2004 auf fast 12 Milliarden US-Dollar.
(Quelle: BaFin, Fokusrisiken 2025)
Wachsende Angriffsfläche durch Digitalisierung
Die Digitalisierung von Finanzdienstleistungen und der wachsende E-Commerce führen dazu, dass Cyberkriminelle heute deutlich mehr Nutzer, Konten und digitale Prozesse angreifen können – besonders häufig über Social Engineering. Dabei ist längst nicht nur das Zahlungssystem selbst betroffen: Auch die Unternehmens-IT von Banken und Versicherungen gerät immer stärker in den Fokus.
Die höchsten finanziellen Risiken entstehen vor allem durch Ransomware und Datendiebstahl. Entscheidend ist daher, Zugriffe auf Daten und Systeme konsequent zu kontrollieren und abzusichern. Digitale Identitäten und starke Authentisierung – etwa im Rahmen eines Zero-Trust-Ansatzes – schaffen die Grundlage dafür, dass nur autorisierte Personen und Systeme Zugriff erhalten. Ergänzend müssen Verschlüsselungskonzepte so entwickelt und umgesetzt werden, dass sie dem Schutzbedarf entsprechen und auch im Betrieb zuverlässig funktionieren.
Hinzu kommt ein weiterer, zunehmend kritischer Angriffsvektor: Supply-Chain-Attacks. Durch ausgelagerte Services und externe IT-Dienstleister – beispielsweise Cloud-Provider oder KI-Technologien – wächst die Angriffsfläche des Finanzsektors spürbar. Umso wichtiger ist ein Partner, der diese sicherheitskritischen Komponenten nicht nur integriert, sondern Sicherheit, Resilienz und Compliance auch belastbar absichern kann.
Resilienz als regulatorische Pflicht
DORA schafft einen verbindlichen EU-Rahmen, der Finanzunternehmen verpflichtet, ihre digitale Resilienz systematisch zu stärken. Im Fokus stehen insbesondere:
- IKT-Risikomanagement und Governance
- Schutzmaßnahmen (Security by Design)
- Erkennung, Reaktion und Wiederherstellung
- Dokumentation und Prüfbarkeit
- Steuerung von IKT-Drittdienstleistern
Cybersecurity wird damit zu einem integralen Bestandteil der Unternehmenssteuerung.
DORA-Anforderungen in der Praxis
Die Vorgaben zum IKT-Risikomanagement (u. a. Art. 5–9) sowie zu Schutz- und Präventionsmaßnahmen machen deutlich: Einzelne punktuelle Sicherheitsmaßnahmen genügen nicht.
Erforderlich sind vielmehr:
- Klar definierte Verantwortlichkeiten
- Dokumentierte Richtlinien und Prozesse
- Kontrollierte technische Maßnahmen (z. B. Zugriff, Verschlüsselung, Schlüsselmanagement)
- Belastbare Nachweise und Auditierbarkeit
- Sichere Einbindung externer Dienstleister
DORA verlangt Sicherheitsarchitekturen, die transparent, skalierbar und auditierbar betrieben werden können.
Zugriffe absichern und Daten schützen
Viele zentrale DORA-Anforderungen lassen sich nur erfüllen, wenn Sicherheitsarchitekturen technisch so umgesetzt werden, dass sie im Betrieb dauerhaft kontrollierbar bleiben. Gerade im Finanzsektor sind dabei zwei Bereiche besonders relevant: Zugriffssicherheit und Kryptografie.
Sichere Authentisierung durch digitale Identitäten (Zero Trust)
Digitale Identitäten und Zero-Trust-Prinzipien stellen sicher, dass nur autorisierte Personen, Systeme und Services Zugriff erhalten – unabhängig davon, ob sich diese in der internen IT, in Cloud-Umgebungen oder in ausgelagerten Services befinden.
Damit wird Identität zu einem zentralen Sicherheits- und Governance-Baustein, der sich in Richtlinien, Rollenmodellen und technischen Kontrollen abbilden lässt.
Verschlüsselung mit kontrolliertem Schlüssel- und Zertifikatsmanagement
Verschlüsselung schützt Daten vor Diebstahl und Manipulation – aber nur dann, wenn Zertifikate und kryptografische Schlüssel zuverlässig verwaltet werden.
In der Praxis entstehen hier häufig Risiken, die auch im Kontext von DORA schnell relevant werden:
Kontrolle über Zertifikate und Schlüssel
Um digitale Identitäten, Verschlüsselung und sichere Kommunikation zuverlässig zu betreiben, braucht es strukturierte technische Bausteine. Sie helfen dabei, operative Risiken zu reduzieren und Sicherheitsmaßnahmen nachvollziehbar umzusetzen:
- Eine Public Key Infrastructure (PKI) bildet die Grundlage für Zertifikate und Vertrauensketten – und damit für zentrale Sicherheitsmechanismen in Banken und Versicherungen.
- Certificate Lifecycle Management (CLM) automatisiert den gesamten Lebenszyklus von Zertifikaten – von der Ausstellung über Erneuerung bis zum Austausch. Das reduziert Ausfälle, minimiert manuelle Fehler und macht Zertifikatsprozesse im Betrieb beherrschbar.
- Ein Credential Management System (CMS) schafft zentrale Kontrolle über digitale Credentials – etwa Tokens oder Smart Cards. Es unterstützt Governance, Richtlinien und Nachweisfähigkeit – insbesondere für Systeme, die kritische oder wichtige Funktionen unterstützen.
- Hardware Security Modules (HSM) und Key Management Systeme (KMS) sorgen dafür, dass kryptografische Schlüssel sicher erzeugt, gespeichert und genutzt werden – als Grundlage für belastbare Kryptografie im Betrieb.
Sicherheit für hochverfügbare Transaktionssysteme
Der digitale Zahlungsverkehr zählt im Sinne von DORA zu den besonders kritischen Funktionen. Debit- und Kreditkarten, Mobile Payment, Instant Payments und eWallet-Lösungen erfordern hochverfügbare, sicher betriebene Systeme.
Hohe Transaktionsvolumina und die Einbindung externer Zahlungsnetzwerke erhöhen das operative und regulatorische Risiko. Belastbare Kryptografie, kontrolliertes Zertifikats- und Schlüsselmanagement sowie auditierbare Prozesse sind daher zentrale Voraussetzungen für einen stabilen und compliant betriebenen Zahlungsverkehr.
Dies gilt insbesondere für kartengestützte Systeme wie SECCOS®, das im deutschen Markt etabliert ist und komplexen Zulassungs- und Prüfprozessen unterliegt.
Von der Planung bis zum sicheren Betrieb
achelos unterstützt Banken und Versicherungen ganzheitlich – von der Beratung durch erfahrene Security-Expertinnen und -Experten über Implementierung und Integration bis hin zur Unterstützung im sicheren Betrieb und bei Auditierungen.
Als ISO 27001- und Common-Criteria-zertifiziertes Unternehmen verfügen wir über nachweisbare Prozesse und Rahmenbedingungen für die Zusammenarbeit in hochregulierten Umgebungen. Dabei setzen wir auf etablierte, zertifizierte Produkte aus einem starken Partnernetzwerk.
Sie möchten Ihre Kryptoinfrastruktur modernisieren oder eine belastbare technische Grundlage für DORA schaffen? Sprechen Sie mit unseren Expertinnen und Experten!
Unsere Lösungen für zertifizierte Cybersicherheit im Finanzsektor
Sie haben Fragen? Ihr Ansprechpartner in diesem Bereich ist:
