Auf den Punkt: DORA-Konformität ist notwendig, aber nicht ausreichend für digitale Resilienz – erforderlich ist eine konsistent aufgebaute und zentral steuerbare Sicherheitsarchitektur mit Fokus auf Identitäts- und Kryptografie-Management.
Der Digital Operational Resilience Act (DORA) schafft verbindliche Anforderungen für Banken und Versicherungen im Umgang mit IT-Risiken und Drittdienstleistern. Doch Regulierungskonformität allein führt nicht zu echter digitaler Widerstandsfähigkeit – notwendig ist eine konsistent aufgebaute Sicherheitsarchitektur.
DORA formuliert klare Verpflichtungen für alle beaufsichtigten Finanzunternehmen in der Europäischen Union: belastbare Strukturen für das Risikomanagement von IKT-Risiken, definierte Schutzmaßnahmen, Prozesse für Angriffsfall sowie Kontrolle von Drittdienstleistern. Viele Institute haben darauf mit Governance-Anpassungen reagiert und Richtlinien dokumentiert, Meldeprozesse bestimmt und Auslagerungsregister aufgebaut.
Das Problem liegt in der Kluft zwischen formaler Erfüllung und tatsächlicher Sicherheit. Regulatoren bewerten, ob Strukturen vorhanden und Prozesse definiert sind. Die echte Widerstandsfähigkeit zeigt sich jedoch erst im laufenden Betrieb unter realen Bedingungen. Beispiele sind verbreitete Zertifikate über mehrere Anwendungen, dezentral verwaltete kryptografische Schlüssel oder inkonsistent umgesetzte Identitäts- und Berechtigungskonzepte. In Cloud- und Drittumgebungen fehlt oft Transparenz über sicherheitsrelevante Prozesse. Diese Situation ist formal nicht regelwidrig, erhöht aber die Komplexität und damit die Anforderungen an Kontrolle und Reaktionsfähigkeit erheblich.
Die Cybersicherheitsbedrohungen im Finanzsektor verschärfen die Situation: Intensität und Professionalität von Angriffen nehmen zu, während viele Häuser mit über Jahre gewachsenen, komplexen IT-Landschaften kämpfen. Banken und Versicherungen bieten für Angreifer attraktive Ziele durch hohe Vermögenswerte und sensible Daten; Risiken wie Datendiebstahl und Ransomeware bleiben akut.
Effective digitale Resilienz erfordert eine Verschiebung vom Compliance-Mindset: Statt Sicherheit als Summe einzelner Maßnahmen zu verstehen, muss eine konsistent aufgebaute, zentral steuerbare und dauerhaft auditierbare Sicherheitsarchitektur entstehen. Zwei zentrale Hebel sind dabei die zentrale Steuerung digitaler Identitäten und Kryptografie. In modernen, dezentralen Infrastrukturen mit zahlreichen Schnittstellen verlieren klassische Netzwerkgrenzen an Bedeutung – Zugriffe erfolgen standort- und organisationsübergreifend oft mit externen Akteuren. Ansätze wie Zero Trust adressieren dies durch Authentifizierung und Autorisierung auf Basis klar definierter Identitäten statt Netzwerkperimeter.
Quelle: www.it-daily.net · Erschienen 3. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.