DORA: Finanzinstitute bleiben trotz IT-Auslagerung in der Verantwortung
Die Europäische Union nimmt mit dem Digital Operational Resilience Act (DORA) die digitale Sicherheit von Finanzinstituten in den Blick. Die Verordnung stellt klar: Wer IT-Leistungen auslagert, trägt dennoch die volle Verantwortung für die Risiken. Besonders die systematische Überwachung von IT-Drittanbietern wird zur Pflicht.
Mit dem Digital Operational Resilience Act (DORA) nimmt die Europäische Union eine längst überfällige Herausforderung in Angriff: die digitale Sicherheit von Finanzinstituten. DORA stellt strenge Anforderungen an das Risikomanagement im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT). Dabei rückt die Verordnung auch die Sicherheit in den Fokus, die auf den ersten Blick nicht im eigenen Verantwortungsbereich liegt: die Risikobewertung von Drittparteien, also externen IT-Dienstleistern, die für die Stabilität ganzer Branchen entscheidend geworden sind. Die klare Botschaft von DORA: Unternehmen dürfen sich nicht hinter externen Anbietern verstecken. Wer Risiken auslagert, bleibt dennoch in der Pflicht und trägt die volle Verantwortung.
Die EU-Verordnung verlangt von Unternehmen, IKT-Risiken systematisch zu identifizieren, konsequent zu überwachen und gezielt zu reduzieren. Dabei geht es nicht um reine Bürokratie, sondern um sicherheitsrelevante Kernfragen. Der Hintergrund: Externe Dienstleister haben sich besonders im traditionell konservativen Finanzsektor zunehmend zur Achillesferse entwickelt. Das bedeutet, dass jedes Unternehmen gegenüber Cyberangriffen nur so gut geschützt ist wie sein schwächster Zulieferer.
Externe Dienstleister als potenzielle Schwachstelle
Die Auslagerung digitaler Leistungen ist längst Standard – doch mit ihr wachsen die Risiken deutlich. Datenschutzverletzungen, Betriebsunterbrechungen und regulatorische Verstöße haben häufig ihren Ursprung bei externen IT-Dienstleistern. Besonders kritisch: Unternehmen haben diese Risiken oft nur begrenzt unter Kontrolle. Hier setzt DORA an und fordert eine konsequente, kontinuierliche Überwachung sämtlicher externer IT-Anbieter.
Vier konkrete Anforderungen für mehr digitale Resilienz
Die Anforderungen von DORA sind klar und verbindlich definiert:
- Transparenz erzwingen
Unternehmen müssen ein zentrales Register über alle vertraglichen Vereinbarungen mit Drittparteien führen, das regelmäßig aktualisiert und mit Aufsichtsbehörden abgestimmt wird. - Vorabprüfung statt Nachsorge
Schon im Beschaffungsprozess fordert DORA eine gründliche Risikoanalyse, die neben regulatorischer Compliance auch Cybersecurity und operative Belastbarkeit des Anbieters umfasst. - Permanente Wachsamkeit
Risiken verändern sich dynamisch – deshalb verlangt DORA eine kontinuierliche Überwachung von Drittparteien anhand definierter KPIs und regelmäßiger Audits, um auf Probleme schnell reagieren zu können. - Exit-Strategien als Pflichtprogramm
Für kritische IT-Dienstleistungen verlangt DORA verbindliche Exit-Pläne, um im Falle von Compliance-Verstößen oder Leistungsproblemen sofort reagieren zu können, ohne die Geschäftskontinuität zu gefährden.
Identitätsmanagement als Schlüsselkomponente
Ein oft unterschätzter Bestandteil eines wirksamen Drittanbieterrisikomanagements ist Identity Governance and Administration (IGA). Bei der Zusammenarbeit mit externen Dienstleistern entstehen zwangsläufig Zugriffe auf sensible interne Daten und Systeme – und jeder einzelne Zugriff birgt potenzielle Risiken.
Ein systematisches Identitätsmanagement kann diese Sicherheitslücken schließen und ist daher essenziell für die Einhaltung der DORA-Vorgaben. Die Vorteile eines effektiven IGA-Systems umfassen:
- Prinzip minimaler Rechtevergabe (Least Privilege):
Externe Dienstleister erhalten ausschließlich Zugriff auf Daten und Systeme, die zwingend notwendig sind, wodurch das Risiko von Sicherheitsverletzungen deutlich reduziert wird. - Zentrales Management digitaler Identitäten:
Alle externen Benutzeridentitäten und deren Zugriffsrechte werden zentral verwaltet, wodurch Unternehmen volle Transparenz und Kontrolle über Zugriffsrechte erhalten. - Automatisiertes Compliance-Reporting:
Regelmäßig und automatisiert erstellte Berichte erleichtern das Einhalten regulatorischer Anforderungen gemäß DORA und gewährleisten jederzeit Prüfbereitschaft gegenüber Aufsichtsbehörden und Auditoren. - Risikobasierte Zugriffssteuerung:
Durch kontinuierliche Bewertung und Anpassung der Zugriffsrechte auf Basis von Risikokriterien können potenziell gefährliche Zugriffsanomalien frühzeitig erkannt und beseitigt werden.
DORA im internationalen Kontext
Risikomanagement nach DORA darf keinesfalls auf das bloße Erfüllen gesetzlicher Mindestanforderungen reduziert werden. Die Herausforderungen sind global, und Europa steht mit DORA keineswegs allein da: Die NIS-2-Richtlinie, die Cybersecurity Executive Order in den USA oder die Empfehlungen des Financial Stability Board setzen international ähnliche Maßstäbe. Digitale Sicherheit ist längst globales Pflichtprogramm.
Unternehmen, die Identitätsmanagement gezielt einsetzen, erfüllen nicht nur regulatorische Pflichten. Sie erhöhen zugleich ihre operative Stabilität, sichern ihre Reputation und stärken das Vertrauen bei Kunden, Partnern und Behörden.
Fazit: Wer Sicherheit auslagert, muss Kontrolle bewahren
Digitale Resilienz ist heute eine strategische Notwendigkeit. Wer Drittparteirisiken unterschätzt, riskiert nicht nur Strafen oder Reputationsschäden – sondern potenziell seine gesamte geschäftliche Existenz.
DORA stellt die Regeln auf; ein funktionierendes Identitätsmanagement kann dazu beitragen, dass diese Regeln wirkungsvoll umgesetzt werden. Die Frage lautet nicht mehr, ob man diese Anforderungen akzeptiert, sondern wie man sie nutzt, um Risiken zu reduzieren und langfristig wettbewerbsfähig zu bleiben.
Autor
Thomas Müller-Martin ist Global Partner Lead bei Omada.