Jedes in der Europäischen Union tätige Finanzinstitut muss den Digital Operational Resilience Act (DORA) einhalten. DORA konzentriert sich darauf, ob Systeme ICT-bezogenen Störungen standhalten, darauf reagieren und sich davon erholen können und ob dies durch Nachweise belegt werden kann.
Für Engineering-, Security- und Risikoteams ergibt sich daraus eine praktische Anforderung. Die operationelle Resilienz muss in Live-Systemen beobachtbar, kontinuierlich getestet und über die Zeit nachvollziehbar sein.
Dieser Artikel erläutert die technischen Erwartungen von DORA und wie Aikido Security deren Umsetzung unterstützt.
TL;DR
DORA verlangt von EU-Finanzinstituten, die operationelle Resilienz in der Praxis nachzuweisen. Aikido Security unterstützt die technische Umsetzung von DORA durch die Bereitstellung kontinuierlicher Schwachstellen-Transparenz, Exploitability-Validierung, Resilienz-Tests und Compliance-fähiger Nachweise über Code-, Cloud- und Runtime-Umgebungen hinweg.
Worum es bei DORA geht
DORA gilt seit dem 17. Januar 2025 für Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und andere regulierte Finanzinstitute in der EU.
Sie wurde eingeführt, um wiederholte IKT-Störungen zu beheben, die durch Software-Schwachstellen, Ausfälle von Drittanbietern und inkonsistente Incident-Behandlung in den Mitgliedstaaten verursacht wurden. DORA etabliert einen einzigen, sektorspezifischen Rahmen, der auf messbare Ergebnisse abzielt.
Regulierungsbehörden erwarten von Organisationen, dass sie nachweisen können:
- IKT-Vorfälle schnell erkennen
- Effektiv reagieren und wiederherstellen
- Nachweise erbringen, dass Kontrollen unter Betriebsbedingungen funktionieren
Die fünf Säulen von DORA
Aus technischer Sicht ist DORA um fünf Säulen herum strukturiert:
- IKT-Risikomanagement: Wissen, welche Systeme Sie betreiben, wo Ihre Risiken liegen und wie Sie diese täglich verwalten.
- Vorfallsberichterstattung: Vorfälle schnell erkennen und innerhalb strenger regulatorischer Fristen melden.
- Tests zur digitalen operationalen Resilienz: Regelmäßiges Testen der Fähigkeit Ihrer Systeme, Störungen standzuhalten und sich davon zu erholen.
- IKT-Drittparteien-Risikomanagement: Verstehen und Verwalten der Risiken, die durch Anbieter, Lieferanten und Abhängigkeiten entstehen.
- Informationsaustausch: Austausch von Bedrohungsaufklärung zur Stärkung der Resilienz im gesamten Finanzökosystem.
Jede Säule hat direkte Auswirkungen darauf, wie Systeme gebaut, überwacht und getestet werden.
Was DORA für Engineering-Teams bedeutet
Sichere Entwicklungspraktiken
Artikel 9 Absatz 4 Buchstabe e verpflichtet Organisationen, Sicherheitspraktiken zu dokumentieren, Schwachstellen zu verfolgen und zu demonstrieren, wie Resilienz in die Softwarebereitstellung integriert wird. Sicherheitskontrollen müssen in Entwicklungsworkflows und CI/CD-Pipelines integriert werden.
Verantwortlichkeit für Abhängigkeiten
Gemäß Artikel 28 sind Drittanbieter- und Open-Source-Abhängigkeiten vollständig erfasst. Verursacht eine Abhängigkeit eine Störung oder Offenlegung, verbleibt die Verantwortung bei der Finanzorganisation. Teams müssen wissen, welche Abhängigkeiten verwendet werden, wo sie laufen und wie schnell Probleme behoben werden können.
Nachvollziehbarkeit und Nachweise
Entwicklungsteams müssen nachweisen können, was bereitgestellt wurde, wann es live ging, welche Sicherheitsprüfungen durchgeführt wurden und wer die Änderung genehmigt hat. Build-Logs, Versionskontrolle und Sicherheitstools müssen einen nachvollziehbaren Prüfpfad erzeugen.
Was DORA für Sicherheits- und Risikoteams bedeutet
Kontinuierliche Risikosichtbarkeit
DORA erwartet ein fortlaufendes Bewusstsein dafür, was in der Produktion läuft, welche Schwachstellen existieren und welche Risiken jederzeit ausnutzbar sind. Regelmäßige Bewertungen sind unzureichend.
Automatisierte Schwachstellenbehandlung
Manuelles Tracking skaliert nicht. Erkennung, Priorisierung und Behebungsfristen müssen durch automatisierte Systeme mit klarer Verantwortlichkeit unterstützt werden.
Dokumentation im Einklang mit der Realität
Bei Vorfällen müssen Organisationen nachweisen, wann das Problem erkannt wurde, wie es bewertet wurde, wer es bearbeitet hat und wie schnell es behoben wurde. Die Nachweise müssen das tatsächliche Systemverhalten widerspiegeln.
Wie sich DORA von anderen Frameworks unterscheidet
DORA ersetzt nicht ISO 27001, NIS2 oder SOC 2. Es führt strengere, sektorspezifische Anforderungen ein, die auf operationale Ergebnisse abzielen.
DORA fungiert als lex specialis, was bedeutet, dass DORA im Falle eines Konflikts zwischen DORA und NIS2, zum Beispiel, Vorrang hat. Die Regeln sind speziell auf die Risiken des Finanzsektors zugeschnitten und strenger als in anderen regulatorischen Rahmenwerken.
Warum DORA Compliance in der Praxis schwierig ist
Große und sich schnell entwickelnde Codebasen erschweren die Nachverfolgung jeder Änderung und Genehmigung. Moderne Anwendungen basieren auf Hunderten von Abhängigkeiten, oft ohne klare Transparenz über Bereitstellung und Exposition. Die Sicherheitstools sind fragmentiert und erzeugen Daten über mehrere Systeme hinweg, die bei Audits korreliert werden müssen.
Wie Aikido die technischen Anforderungen von DORA unterstützt
Aikido Security ist eine KI-gestützte Plattform, die die Sicherheitstransparenz über Quellcode, Abhängigkeiten, Cloud-Infrastruktur, Container und Laufzeitumgebungen hinweg zentralisiert.
Aikido ersetzt keine Governance-Frameworks, Incident-Response-Verfahren oder regulatorische Berichterstattung. Es liefert die technischen Signale und Beweismittel, auf die sich diese Prozesse stützen.
Tests zur digitalen operationellen Resilienz und Aikido Security
DORA verlangt von Organisationen, die operationelle Resilienz unter realistischen Bedingungen zu testen. Das alleinige Identifizieren von Schwachstellen ist unzureichend.
Aikido unterstützt Resilienztests durch:
- Kontinuierliches DAST auf Live-Anwendungen
- Container- und Kubernetes-Sicherheitstests
- Aikido Attack, das KI-gesteuertes Penetration Testing nutzt, um realistische Angriffswege zu simulieren und die Ausnutzbarkeit zu validieren
- AutoFix und Auto Triage, um die Behebungszeit zu verkürzen und die Wirksamkeit der Wiederherstellung zu verfolgen
DORA in der Praxis unterstützen
DORA erfordert eine nachweisbare operative Resilienz, die durch Belege gestützt wird. Aikido Security bietet die technische Transparenz, Testmöglichkeiten und prüfbereite Daten, die Organisationen dabei unterstützen, diese Erwartungen in Live-Systemen zu erfüllen.
Governance, Incident Response und die Einhaltung regulatorischer Anforderungen bleiben essenziell. Aikido stellt sicher, dass diese Prozesse auf präzisen, aktuellen technischen Daten basieren.
Das könnte Sie auch interessieren:
- Warum europäische Unternehmen Aikido als ihren Cybersicherheits-Partner wählen
- Einhaltung des Cyber Resilience Act (CRA) mit Aikido Security.
- Wie Aikido und Deloitte entwicklerzentrierte Sicherheit in Unternehmen bringen
- Wie man die UK Cybersecurity & Resilience Bill einhält: Ein praktischer Leitfaden für moderne Engineering-Teams
