Zum Inhalt springen

DORA schafft Strukturen, nicht automatisch Sicherheit – warum Architektur zählt

Auf den Punkt: DORA-Konformität ist nicht gleichbedeutend mit Sicherheit – digitale Resilienz entsteht erst durch konsistente, zentral steuerbare Sicherheitsarchitektur jenseits von Checklisten.

Der Digital Operational Resilience Act (DORA) verpflichtet Banken und Versicherungen zu Governance, Prozessen und Drittanbieter-Kontrollen – doch formale Konformität garantiert nicht die tatsächliche Widerstandsfähigkeit gegen Cyberangriffe. Die fehlende durchgehende technische Steuerung bleibt ein kritisches Risiko.

DORA schafft seit seiner Verabschiedung einen verbindlichen europäischen Rahmen für den Umgang mit IKT-Risiken, Cyberangriffen und Abhängigkeiten von Drittdienstleistern. Finanzunternehmen in der EU haben darauf mit angepassten Governance-Strukturen reagiert: Sie dokumentieren Richtlinien, etablieren Meldeprozesse und führen Auslagerungsregister. Aus regulatorischer Perspektive werden diese Strukturen als Erfüllung der Anforderung bewertet – ein Häkchen im Compliance-Prozess.

In der Praxis offenbaren sich jedoch erhebliche Lücken zwischen formaler Konformität und operativer Sicherheit. Selbst wenn DORA-Anforderungen auf dem Papier erfüllt sind, erschwert die gewachsene Systemlandschaft vieler Institute eine durchgehende technische Steuerung erheblich: Zertifikate sind über verschiedene Anwendungen verteilt, kryptografische Schlüssel dezentral verwaltet, Identitäts- und Berechtigungskonzepte nicht konsistent implementiert. In Cloud- und Drittanbieter-Umgebungen fehlt häufig die Transparenz über die tatsächliche Umsetzung sicherheitsrelevanter Prozesse. Diese Strukturen sind möglicherweise regelkonform, erhöhen aber Komplexität und damit die Anforderungen an Kontrolle und Reaktionsfähigkeit erheblich.

Eine konsistente Sicherheitsarchitektur entsteht nicht durch Checklisten oder isolierte Maßnahmen, sondern durch eine zentral steuerbare, dauerhaft auditierbare Systemlandschaft. Zentrale Steuerung digitaler Identitäten bildet dabei ein Kernelement: In modernen, grenzenlosen Infrastrukturen mit externen Akteuren verlagern sich Sicherheitsentscheidungen auf die Identitätsebene. Zero-Trust-Ansätze erfassen diese Realität, indem sie Authentifizierung und Autorisierung konsistent auf definierten Identitäten basieren lassen – nicht auf klassischen Netzwerkgrenzen.

Für CISOs bedeutet dies: Das Erfüllen von DORA ist notwendig, aber nicht hinreichend. Parallel zur Compliance muss eine konsistente technische Architektur aufgebaut werden, die zentrale Kontrolle über Identitäten, Kryptografie und Zugriffsrechte ermöglicht und transparent bleibt.


Quelle: www.it-daily.net · Erschienen 3. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: