Eine aktuelle Sicherheitslücke demonstriert die zunehmende Bedrohung von Cyberattacken für den Finanzsektor. Ein neuer Gesetzesentwurf der EU soll nun die Widerstandsfähigkeit von europäischen (Finanz)Unternehmen stärken.
Der Digital Operational Resilience Act der EU soll Finanzinstitute der EU besser vor Cyberbedrohungen schützen.
(Bild: Eduardo - stock.adobe.com)
Von einer Sicherheitslücke in der Datenübertragungssoftware „MOVEit“, die vor allem in der Finanzbranche eingesetzt wird, sind aktuell mehr als 40 Länder betroffen, allein in Deutschland mehr als 100 Unternehmen – Tendenz steigend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Datenabflüsse bestätigt. Auch die US-amerikanische Cybersicherheitsbehörde CISA und die britische Sicherheitsbehörde warnen vor der Bedrohung.
Dass Finanzunternehmen als Teil der kritischen Infrastruktur besonders von Cyberattacken bedroht sind, zeigt eine Untersuchung des Sicherheitsunternehmens Yeswehack. Demnach waren 93 Prozent aller Finanzunternehmen in der DACH-Region im Jahr 2022 regelmäßig Opfer von Hackerangriffen.
Einheitliche Regeln mit DORA
Im europäischen Raum existiert jedoch kein einheitlicher Rechtsrahmen, um die Cyber-Sicherheit im Finanzsektor zu organisieren. Mit dem „Digital Operational Resilience Act“ (DORA) möchte die Europäische Union (EU) nun die Regelungen harmonisieren und europäische Finanzunternehmen und deren Dienstleister für Informations- und Kommunikationstechnologie (ITK) gegen Cyberattacken wappnen. Durch DORA soll sichergestellt werden, dass die Unternehmen über angemessene Sicherheitssysteme verfügen, damit der Betrieb im Fall eines Angriffs reibungslos weiterlaufen kann.
Mit der neuen EU-Verordnung werden die Regelungen zur Cybersicherheit nicht nur unternehmensübergreifend harmonisiert, sondern auch grenzübergreifend. Mitgliedstaaten haben mit der Verabschiedung von DORA keinen Anlass mehr, im Alleingang nationale Vorschriften und Standards zu erlassen.
Vor allem international tätige Finanzunternehmen erhalten dadurch Rechtsklarheit zu Vorschriften für digitale Resilienz. Die Verordnung ist am 16. Januar 2023 in Kraft getreten und wird am 17. Januar 2025 angewendet.
Änderungen auch für ITK-Drittdienstleister
Es ist zu erwarten, dass die Verordnung mehr als 22.000 Unternehmen betreffen wird. Dabei gilt DORA nicht nur für alle auf EU-Ebene regulierten Finanzunternehmen, wie Banken, Kreditinstitute, Ratingagenturen und Anbieter von Krypto-Dienstleistungen, sondern auch für Unternehmen die ITK-bezogene Dienstleistungen für diese Finanzunternehmen erbringen.
Zu diesen ITK-Drittdienstleistern zählen beispielsweise Cloud-Speicheranbieter. Ziel ist es, Cyberbedrohungen entlang der gesamten Wertschöpfungskette zu mindern. Denn die Cybersicherheit großer Unternehmen kann auch durch Schwachstellen in den Netzwerken der Dienstleister bedroht sein, wenn Hacker dadurch Zugriff auf sensible Daten erhalten.
Um den Anforderungen von DORA bis zum Januar 2025 nachzukommen, müssen alle betroffenen Unternehmen Sicherheitsmaßnahmen in fünf Bereichen vornehmen:
im ITK-Risiko-Management,
in der Berichterstattung über ITK-bezogene Vorfälle,
im Management des ITK-Drittparteienrisikos,
in der digitalen operationellen Widerstandsfähigkeit
und dem Informationsaustausch.
ITK-Risiko-Management
DORA verpflichtet Unternehmen dazu, einen umfassenden Rahmen für das ITK-Risiko-Management zu schaffen und diesen zu dokumentieren. Dazu gehört die Entwicklung von geeigneten Plänen, um auf mögliche digitale Störungen vorbereitet zu sein, sowie die Nutzung von ITK-Systemen, die anormale Aktivitäten sofort erkennen.
Berichterstattung über ITK-bezogene Vorfälle
Künftig müssen alle ITK-bezogenen Vorfälle unverzüglich an die zuständigen EU-Behörden gemeldet werden. Dazu sollte ein Management-Prozess eingerichtet werden, der Vorfälle überwacht und protokolliert. Das inkludiert Pläne zur Klassifizierung, Bewältigung und Berichterstattung dieser Vorfälle.
Management des ITK-Drittparteienrisikos
Bei vertraglichen Vereinbarungen müssen Finanzunternehmen und ITK-Dienstleister Regelungen zum Abschluss, zur Erfüllung und Beendigung des Arbeitsverhältnisses nachkommen. Außerdem etabliert DORA einen Aufsichtsrahmen für kritische ITK-Dienstleister, die entscheidend zur Betriebsfähigkeit des Finanzsektors beitragen. Sie sollen durch die European Supervisory Authorities (ESA) überwacht werden. Eine Liste kritischer ITK-Anbieter wird jährlich veröffentlicht.
Digitale operationelle Widerstandsfähigkeit
Ab sofort sollten Unternehmen Programme implementieren, die regelmäßig die Abwehrbereitschaft und Schwachstellen des IT-Sicherheitssystems testen. Werden bei den Tests Lücken erkannt, müssen umgehend Strategien zur Klassifizierung und Behebung erarbeitet werden. Je nach Größe und Risikoprofil des Unternehmens bestehen verschiedene Anforderungen an diese Tests. So werden für kleinere Unternehmen Standardtests der ITK-Werkzeuge und -Systeme genutzt, für größere Häuser hingegen Tests auf der Grundlage von Threat-Led Penetration Testing (TLPT).
Informationsaustausch
Nicht nur die Unternehmen müssen künftig ITK-bezogenen Vorfälle melden, sondern die EU-Aufsichtsbehörden teilen ihrerseits relevante anonymisierte Informationen über Cyberrisiken. DORA soll Finanzunternehmen zudem veranlassen, Vereinbarungen zum Austausch von Informationen über Cyberbedrohungen zu treffen. Durch den Informationsaustausch soll das Bewusstsein für ITK-Risiken gestärkt und Methoden zur Erkennung von Bedrohungen optimiert werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
So werden Unternehmen DORA-konform
Um alle Anforderungen der Verordnung bis 2025 zu erfüllen, sollten Finanzunternehmen und ITK-Dienstleister zunächst umfangreiche Gap-Analysen durchführen. Dabei wird die eigene IT-Sicherheit auf Lücken geprüft. Fallen Schwachstellen auf, sollte ein sicheres Netzwerk auf Basis eines stabilen Schwachstellen-Managements und automatisierten Penetrationstests eingerichtet werden.
Schwachstellen-Management-Tools sollten regelmäßige, professionelle Scans durchführen und Alarm schlagen, wenn etwas mit einer Konfiguration nicht stimmt oder Passwörter unsicher sind. Werden Sicherheitslücken bereits mit einem etablierten Schwachstellenmanagement-Prozess kontrolliert, sind im nächsten Schritt Penetrationstests (auch Pentesting genannt) sinnvoll.
Beim Pentesting werden die Vorgehensweisen von Hackern imitiert und Exploits ausgeführt. Schwachstellen werden also tatsächlich ausgenutzt und es kann ermittelt werden, welcher Schaden daraus entstehen würde. Sicherheitslücken, die auf dem ersten Blick nicht bedrohlich aussehen, können sich nämlich als äußerst kritisch erweisen. Herkömmliche Schwachstellen-Scanner haben nicht die Fähigkeit, dies zu ermitteln.
SIEM-Werkzeuge
Eine weitere Maßnahme zur DORA-Konformität sind sogenannte SIEM-Tools (Security Information and Event Management). Dabei handelt es sich um automatisierte Sicherheitstechniken, die Daten auf Anomalien prüfen – und zwar in Echtzeit. SIEM-Tools sind fester Bestandteil von Security Operation Centers (SOC).
Ein SOC besteht aus einem unternehmensinternen oder externen Team von IT-Sicherheitsexperten, die das IT-Netzwerk eines Unternehmens rund um die Uhr überwachen. So wird sichergestellt, dass Bedrohungen auf Anhieb erkannt werden und der größtmögliche Schaden aufgrund der schnellen Reaktion abgewendet werden kann.
Die Umsetzung von DORA bedeutet für die betroffenen Unternehmen Abstimmungs-, Schulungs- und Implementierungsaufwände. Daher sollten Finanzinstitute und ITK-Dienstleister so früh wie möglich angemessene Sicherheitsmaßnahmen implementieren. So bietet DORA die Chance auf langfristige Cybersicherheit: Denn ein Schaden durch Cyberattacken verursacht höhere Kosten als die Investition in Sicherheitsmaßnahmen.
*Sebastian Brabetz, Autor Sebastian Brabetz ist in der Geschäftsleitung bei der Mod IT GmbH für die Professional Security Solutions verantwortlich. Er ist als „Offensive Security Certified Professional“ sowie als „Tenable Certified Security Engineer“ zertifiziert und hat darüber hinaus zwei Bücher zum Thema „Penetration Testing“ veröffentlicht.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/4b/ee/4bee19d172fd9c8c8993590986ba9c06/0129260266v2.jpeg "Enrique Lores, Präsident und CEO von HP, ist zurückgetreten und wechselt zum Zahlungsdienstleister Paypal. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/17/fd1778d08449fea134998137a6b60297/0129245350v1.jpeg "Nur 1.034 Gramm bringt das Acer Travelmate P6 14 AI in der von uns getesteten Version auf die Waage. In dem Chassis aus Aluminium-Magnesium-Legierung sitzt ein Mainboard mit einem Intel Core Ultra 7 258V. Das 14-Zoll-IPS-Display liefert die Full-HD+-Auflösung, allerdings nur mit 60 Hz. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/64/95/64952f6ea7a90e5b05cfee86750f54a9/0129232332v1.jpeg "Der CM5-Pico von Zotac ist als Gerät auf Basis des Raspberry Pi Compute Module 5 für Linux als Betriebssystem ausgelegt. Der kleine Rechner kommt ohne aktive Kühlung aus und soll sich für den 24/7-Betrieb eignen. (Bild: Zotac)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/11/0f/110f00f836727507d8d29697099001f0/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v. l.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a0/5c/a05cfe3e617700d99328e49729937bc1/0125401080v1.jpeg "NIS2 und Dora sollen die Resilienz wichtiger IT-Systeme stärken. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/7d/e27df1b3b3c99ec398c93753fa0c5c1f/0127034231v1.jpeg "Tokenisierung bietet digitale Möglichkeiten, die auf Internet- und Blockchain-Technologien basieren, um Transfer- und Aufbewahrungsmedien für Werte jeglicher Art zu etablieren. (Bild: Midjourney / KI-generiert)")