Die EU-Verordnung Dora ist zwar bereits seit dem 17. Januar 2025 in Kraft, dennoch haben viele Unternehmen deren Anforderungen noch nicht vollständig umgesetzt. Die Zeit drängt nun, denn bei mangelnder Konformität drohen Strafen.
Unternehmen sollten auf moderne Schutzmaßnahmen wie eine starke Verschlüsselung, Zugriffskontrollen und lückenlose Nachverfolgbarkeit zu setzen.
Sawyer0 / stock.adobe.com / Generated with AI
Seit Mitte Januar 2025 ist sie verbindlich: die EU-Verordnung Digital Operational Resilience Act (Dora), die von Finanzinstituten eine resiliente IT-Infrastruktur fordert. Trotz allem haben die Unternehmen die Vorgaben gerade einmal zu 45 Prozent erfüllt, einige beginnen sogar erst jetzt, sich überhaupt mit Dora zu beschäftigen. Doch das birgt hohe Risiken: Bei mangelnder Konformität drohen nicht nur empfindliche Strafen, sondern auch ein nachhaltiger Vertrauensverlust seitens der Kunden und Geschäftspartner.
Dass die Umsetzung ins Stocken geraten ist, überrascht nicht. Viele der Vorgaben wurden erst spät konkretisiert, sodass wenig Zeit blieb, Prozesse und IT-Infrastrukturen Dora-konform auszurichten. Vor allem das verpflichtend zu führende Informationsregister sorgte für Probleme. Denn Unternehmen hatten bereits mit der Implementierung begonnen, als das zugrunde liegende Datenmodell geändert wurde. Die Folge: Bisherige Vorlagen waren nicht mehr kompatibel, die endgültigen Templates der Bafin jedoch noch nicht verfügbar.
Sicherheitsmaßnahmen müssen gezielt ergriffen werden
Doch Schwachstellen in der IT-Sicherheit stellen nicht nur ein Compliance-Risiko dar, sondern können auch die wirtschaftliche Stabilität eines Unternehmens erheblich beeinträchtigen. Denn Betriebsstörungen, Datenverlust oder Imageschäden haben teils weitreichende finanzielle Folgen. Daher gilt es, gezielte Sicherheitsmaßnahmen und Strategien wie die Folgenden zu ergreifen.
Effektives Zugriffskonzept: Ein Zugriffskonzept, das weit über einfache Passwörter hinausgeht, schützt sensible Daten vor unbefugtem Zugriff. Multi-Faktor-Authentifizierung (MFA) etwa verstärkt die Sicherheit durch zusätzliche Prüfmechanismen wie biometrische Verfahren oder Einmalpasswörter. Rollenbasierte Zugriffskontrollen stellen sicher, dass nur autorisierte Personen Zugang zu besonders kritischen Daten erhalten. Noch strikter ist das Zero-Trust-Prinzip, das grundsätzlich alle Zugriffsanfragen und Identitäten verifiziert.
Modernste Verschlüsselung: Ein zuverlässiger Schutz sensibler Daten fußt ebenfalls auf einer starken Verschlüsselung. Wichtig dabei: Die Informationen müssen nicht nur während ihrer Übertragung, sondern auch im Ruhezustand und bei der Verarbeitung verschlüsselt sein. Modernste Technologien wie Confidential Computing sorgen dafür, dass die Daten während der Verarbeitung in isolierten, geschützten Umgebungen verbleiben und selbst bei Sicherheitsvorfällen unlesbar sind.
Frühzeitiges Erkennen von Schwachstellen: Penetrationstests simulieren reale Angriffe und helfen so, Sicherheitslücken aufzudecken und Angriffsvektoren zu minimieren. Um auf neue Bedrohungen vorbereitet zu sein, sollten Finanzinstitute diese Tests regelmäßig durchführen und ihre IT-Sicherheitsstrategie entsprechend anpassen.
Lückenlose Nachverfolgbarkeit: Protokolle helfen, Angriffe zu erkennen und Vorschriften einzuhalten. Audit-Trails zum Beispiel dokumentieren im Detail, wer wann welche Informationen bearbeitet, entfernt oder kopiert hat. Effektives Log-Management wiederum erlaubt es, verdächtige Aktivitäten in Echtzeit zu erkennen, zu analysieren und darauf zu reagieren.
Wiederherstellungsmaßnahmen: Auch mit den strengsten Sicherheitsvorkehrungen lassen sich IT-Ausfälle nie gänzlich vermeiden. Im Ernstfall hilft ein durchdachter Wiederherstellungsplan: Er ermöglicht es, Systeme schnell wieder lauffähig zu machen und so den Geschäftsbetrieb aufrechtzuerhalten. Zu einem solchen Disaster-Recovery-Plan gehören redundante Datensicherungen an mehreren Standorten, klare Notfallprotokolle und regelmäßige Tests, die eine Optimierung der Wiederherstellungsprozesse gestatten. Besonders empfehlenswert: eine Kombination aus Backup-Strategien und sicheren Cloud-Lösungen.
Hochsichere virtuelle Datenräume: Bei einem virtuellen Datenraum handelt es sich um eine geschützte Cloud-basierte Umgebung für die sichere Zusammenarbeit an vertraulichen Dokumenten (Secure Content Collaboration). Eine solche Cloud-Lösung gestattet es nicht nur, Zugriffsrechte granular zu definieren, sondern sorgt auch für lückenlose Nachverfolgbarkeit aller Aktivitäten. Moderne Sicherheitsarchitekturen bieten dabei zusätzliche Schutzmechanismen. So stellt Confidential Computing etwa sicher, dass Daten selbst während der Verarbeitung nicht einsehbar sind, wohingegen die Sealed Cloud unbefugte Zugriffe konsequent verhindert – selbst jene von Administratoren oder dem Cloud-Anbieter. Starke Verschlüsselung, isolierte Serversegmente und geschützte Verarbeitungsumgebungen tragen zudem zum Schutz sensibler Informationen bei. Diese hohen Sicherheitsstandards machen virtuelle Datenräume zu einer idealen Lösung für Unternehmen mit strengen regulatorischen Anforderungen.
Klare Data-Governance-Strategien: Auch eine klare Data Governance ist für die erfolgreiche Umsetzung der Dora-Vorgaben sinnvoll. Sie definiert Richtlinien für den rechtskonformen Umgang mit sensiblen Daten und sorgt für deren Verfügbarkeit, Integrität und Vertraulichkeit. Damit bildet sie die Basis für eine widerstandsfähige und regelkonforme IT-Infrastruktur.
Dora verlangt mehr als nur formale Compliance – sie fordert auch eine belastbare IT-Infrastruktur. Sinnvoll ist es daher, auf moderne Schutzmaßnahmen wie starke Verschlüsselung, Zugriffskontrollen und lückenlose Nachverfolgbarkeit zu setzen. Vor allem virtuelle Datenräume leisten hier wertvolle Dienste: Sie erlauben eine geschützte Zusammenarbeit und schließen einen unbefugten Zugriff zuverlässig aus. Technologien wie die Sealed Cloud sorgen dabei für zusätzliche Sicherheit und unterstützen eine Dora-konforme Datenverarbeitung. Unternehmen, die frühzeitig handeln, stärken nicht nur ihre digitale Resilienz, sondern auch das Vertrauen ihrer Kunden und Partner.
