Es ist eine unangenehme Vorstellung: Das E-Mail-Postfach ist nicht mehr zu erreichen, wichtige Digitalfunktionen fallen aus, die eigene Internetseite bricht zusammen. Die Daten sind auf einmal verschlüsselt – oder geklaut. Wenn die IT gestört ist oder Hacker sich digital in ein Unternehmen eingeschlichen haben, ist das eine bedrohliche Situation. Diverse Berichte über Cyber-Attacken zeigen, dass das Thema dringlich ist. Auch Finanzunternehmen sind von Systemausfällen und digitalen Angriffen bedroht. Da sie mit Geld hantieren, haben sie in den Volkswirtschaften eine Schlüsselfunktion. Das macht sie aus Sicht potenzieller Angreifer zu einem besonders interessanten Ziel.

2025 wird die europäische Verordnung Dora wirksam. Sie soll dafür sorgen, dass Finanzunternehmen sensibler mit IT-Risiken umgehen. Dazu gehört im ersten Schritt, dass sie sich überhaupt erst einmal dieser Risiken bewusst werden.

Dora steht für Digital Operational Resilience Act und ist bereits am 17. Januar 2023 in Kraft getreten. Die Verordnung ist in allen EU-Ländern unmittelbar gültig. Ab Inkrafttreten hatten Finanzunternehmen zwei Jahre Zeit, um alle Regeln umzusetzen. Mehr als die Hälfte davon ist jetzt verstrichen. Bei vielen Unternehmen läuft die Umsetzung bereits auf Hochtouren. Bei anderen wird erst nach und nach klar, welch umfassende Anforderungen Dora an sie stellt. Insgesamt fallen in Deutschland rund 3.600 Unternehmen direkt unter die Dora-Regulierung, schätzt die Bafin. Europaweit sollen es rund 20.000 sein.

Dora fokussiert sich auf Banken, Versicherungen, Zahlungsdienstleister, Fondsgesellschaften, Vermögensverwalter, Verwahrstellen – Finanzunternehmen, die innerhalb der Europäischen Union beaufsichtigt sind. Für Deutschland heißt das, grob gesagt: Unternehmen, die eine Bafin-Lizenz besitzen. Haftungsdächer etwa sind erfasst – die gebundenen Vermittler nicht. Dora erfasst auch Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, allerdings mit einer großzügigen Ausnahme: Sie gilt nur für Betriebe mit mehr als 250 Mitarbeitern und mehr als 50 Millionen Euro Jahresumsatz oder einer Jahresbilanzsumme von mehr als 43 Millionen Euro. Vermittler nach Paragraf 34c, f, h, und i Gewerbeordnung sind in der Verordnung nicht aufgeführt.

Die Verordnung fußt auf fünf Themen (Grafik unten): Es geht um das Managen von IKT-Risiken (IKT = Informations- und Kommunikationstechnologie), Störungsmeldungen, Stresstests, den Umgang mit IKT-Drittdienstleistern – externen IT-Anbietern – und Informationsaustausch bei Cyber-Bedrohungen.

„Für viele Finanzunternehmen steht die IT nicht so im Fokus. Da möchte Dora den Finger in die Wunde legen“, sagt Lucas Schmidt. Der IT-Spezialist ist Chef von IT4Funds, Dienstleistungstochter der Luxemburger Service-KVG Axxion. In dieser Position befasst sich Schmidt schon seit einigen Monaten mit Dora. Mittlerweile fühlt er sich darin so firm, dass er seit Anfang März wöchentlich einen Blog-Beitrag nur über Dora-Themen schreibt und diesen Takt bis zum Dora-Start im kommenden Januar durchhalten will. „Der Content wird uns nicht ausgehen“, ist sich Schmidt sicher.

Wenn man sich nur ein wenig in das Thema vertieft, wird klar, dass Dora in der Tat für die erfassten Unternehmen eine Art Herkulesaufgabe ist.

Fünf Kernthemen

Die kommende Verordnung will Finanzunternehmen verpflichten, sich einen Überblick über die eigenen Strukturen zu verschaffen: Welche Geschäftsprozesse sind IT-gestützt? Ob es dabei um die grundlegende Infrastruktur, eine Software-Anwendung oder das Buchhaltungssystem in der Cloud geht: Was passiert, wenn etwas ausfällt, Daten weg sind oder ein Cyber-Angriff stattfindet? Welche Geschäftsprozesse genau kann das betreffen? Und wie lässt sich das Unternehmen widerstandsfähiger machen? In dem Zusammenhang soll auch nach „kritischen und wichtigen“ Funktionen gefiltert werden, das heißt nach solchen Funktionen, deren Ausfall die Geschäftstätigkeit, die finanzielle Leistungsfähigkeit oder die regulatorisch konforme Arbeit eines Unternehmens erheblich beeinträchtigen kann.

Kommt es zu einem IKT-Vorfall, müssen Unternehmen zunächst dessen Schwere bewerten. Ab einem gewissen Grad muss die Bafin informiert werden, und das gründlich: Erstmeldung, Zwischenmeldung, Abschlussbericht. Die Bafin meldet den Vorfall weiter an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die zuständige europäische Behörde, entweder Eba, Esma oder Eiopa. Bei schwerwiegenden Vorfällen, die den gesamten Markt betreffen, können die Behörden öffentliche Warnungen aussprechen. Erkennt ein Unternehmen eine erhebliche Bedrohung, kann es diese auch aus eigenem Antrieb an die Aufsicht melden.

Ein anderes Kernthema von Dora sind Tests. „Die Unternehmen müssen ein Testprogramm einrichten. Sie können das intern machen oder einen externen Dienstleister beauftragen“, erläutert Peggy Steffen. Als Risikomanagerin kümmert sie sich beim Fondsverband BVI federführend um Dora. „Die Tests sollen mindestens einmal jährlich erfolgen, um zu ermitteln, wie sicher Unternehmen vor digitalen Störfällen sind.“

Einige Finanzunternehmen, die die Aufsicht auswählt, müssen zudem sogenannte Penetrationstests, beauftragte Hacker-Angriffe, über sich ergehen lassen. Im Ergebnis sollen alle Unternehmen Pläne für IT-Back-ups und das Wiederherstellen von Daten festlegen.

Verträge anpassen

Eine andere Aufgabe klingt weniger nach Herkules und mehr nach Sisyphos: Es sollen auch alle IKT-Vertragsbeziehungen erfasst und in einem Informationsregister dokumentiert werden. Das soll der Bafin helfen zu bestimmen, welche Drittdienstleister innerhalb der Finanzbranche besonders verflochten sind – und wo eine Störung den stabilen Markt bedrohen könnte.

Da viele Finanzunternehmen IT-Aufgaben auslagern, können beim Auflisten aller externen Anbieter mitunter auch dreistellige Zahlen zusammenkommen. IT-Spezialist Lucas Schmidt sieht darin ein Problem. „Sehr oft werden aus Kostengründen IT-Dienstleister ausgesucht, die fachlich nicht auf die Finanzbranche ausgerichtet sind.“ Solche nicht spezialisierten Unternehmen könnten mit den Dora-Regeln überfordert sein.

Die IT-Dienstleister selbst unterliegen übrigens nicht Dora, jedenfalls nicht direkt. Dennoch kommt auch auf sie Arbeit zu. Denn Dora verlangt, dass die Finanzunternehmen ihre Dienstleister auf etwaige Cyber-Sicherheitslücken prüfen. „Die Unternehmen müssen überwachen, dass externe IKT-Anbieter IT-Sicherheitsvorschriften einhalten“, erläutert Steffen. Die Dienstleister wiederum sollen sich verpflichten, bei IKT-Vorfällen, die ihre Arbeit betreffen, den Finanzunternehmen beizuspringen. Bei Schwierigkeiten und fehlender Kooperation muss die Zusammenarbeit sonst im Zweifel beendet werden. Bestimmte Dienstleister, die die Bafin in ihrer Marktrelevanz als kritisch einstuft, können zudem von der Regulie- rungsbehörde direkt überprüft werden. Sie sind dann verpflichtet, Informationen herauszugeben.

In der fünften Säule schließlich, beim Austausch von Informationen, sind Finanzunternehmen angehalten, sich untereinander zu warnen, wenn sich eine umfassendere Cyber-Bedrohung abzeichnet. Die Aufsichtsbehörden wiederum sollen ihre eigenen Informationen mit der Branche teilen.

Neu an Dora ist, dass die Verordnung wirklich alle regulierten Finanzunternehmen in den Fokus nimmt. Frühere Regulierung zur IT-Sicherheit bezog sich jeweils nur auf einige von ihnen und auf bestimmte Themen. Die Dora-Regeln erfassen nun sowohl die Großen als auch die Kleinen: Ein unabhängiger Vermögensverwalter mit nur wenigen Mitarbeitern steht ebenso im Fokus wie eine große Bank oder eine Versicherung.

Proportionalität

Die Verordnung verspricht jedoch, dass die Regeln proportional auf die Größe und das Risiko von Unternehmen angepasst sind. In der Tat: Dora grenzt von den großen Unternehmen die mittleren, Klein- und Kleinstunternehmen ab. Kleinstunternehmen – weniger als zehn Mitarbeiter, maximal 2 Millionen Euro Jahresumsatz – genießen zum Beispiel Erleichterungen beim IKT-Risikomanagement. In den Detailbestimmungen der Esas ist sehr genau aufgeschlüsselt, welche Anforderungen für welche Unternehmen gelten.

Schmidt sieht die Regeln dennoch sorgenvoll: „Die Detailvorschriften zur Proportionalität sind bei Dora zwar sehr umfangreich. Trotzdem wird auf Verhältnismäßigkeit nur sehr wenig Rücksicht genommen“, findet er.

Der IT4Funds-Spezialist glaubt daher auch, dass Dora die Unternehmen unterschiedlich hart treffen wird: „Die großen dürften damit voraussichtlich weniger Probleme haben, weil sie mehr finanzielle Power haben, die Anforderungen umzusetzen.“ Anderweitig geht in der Branche die Befürchtung um, Dora könnte großen Unternehmen einen Wettbewerbsvorteil bescheren. Unstrittig dürfte sein, dass die neue Regulierung sich zumindest auf die Unternehmensberatungsindustrie positiv auswirken dürfte. Denn bei vielen Regeln plus noch mehr Detailvorschriften gibt es eine Menge Fragen zu klären.

So räumt auch Peggy Steffen ein, dass sie sich aktuell in 80 Prozent ihrer Arbeitszeit beim BVI mit Dora beschäftige. Aus dem Bankenkosmos ist zu hören, dass sich mitunter ein zweistellig besetztes Mitarbeiter-Team speziell nur mit dem Dora-Rahmen befasst – die Umsetzung noch nicht inbegriffen.

Dora hat einen weiteren Haken. Man kennt ihn schon aus vergangenen Regulierungsprojekten wie der Mifid II oder der Nachhaltigkeitsregulierung: Der EU-Gesetzgeber hat zwar den groben Rahmen bestimmt, die Feinarbeit wird jedoch erst schrittchenweise nachgeliefert. So stehen bis dato zu Dora noch wichtige Level-2- und Level-3-Rechtsakte aus – Detailvorgaben, die die EU-Behörden Eba, Esma und Eiopa erarbeiten. Mehrere große Rechtsakte mit jeweils mehreren Unterkomplexen wurden schon verabschiedet. Anderes soll erst noch kommen – etwa eine Anleitung, was die Meldungen von IKT-Vorfällen genau enthalten und welches Format sie haben sollen: „Viele technische Details sind noch nicht final verabschiedet. Das macht die praktische Umsetzung schwierig“, sagt Steffen.

Umsetzungsfrist läuft aus

Dabei wird die Zeit knapp. Auch weil viele Unternehmen erfahrungsgemäß die größten Anstrengungen erst auf den letzten Metern unternehmen. „Ich denke, dass von Oktober bis Dezember dieses Jahres eine Welle von Anfragen auf die externen Dienstleiter zukommt“, sieht Schmidt voraus. Viele Unternehmen könnten dann auf einen Schlag ihre bestehenden IT-Verträge an Dora anpassen wollen. Solche Bemühungen könnten teils in der Sackgasse landen. Schmidt nennt ein Beispiel: „Wenn ein kleiner IT-Dienstleister, der zum Beispiel einige Server bereitstellt, auf einmal in die Verträge aufnehmen soll, dass die Aufsichtsbehörde ihm ins Geschäft hineinreden darf – das wird meiner Meinung nach ein fast unmögliches Unterfangen.“

Auch Markus Koerner, Deutschlandchef des IT-Infrastrukturanbieters Kyndryl, glaubt: „Je nachdem, welche Maßnahmen sie noch implementieren müssen, könnte die fristgerechte Umsetzung für einige Institute zu einem Problem werden.“ Wer das Thema bislang schleifen ließ, komme nun erst recht in Zeitnot: „Haben Unternehmen noch gar nicht mit der Einführung konkreter Resilienz-Maßnahmen begonnen, läuft ihnen die Zeit davon.“ Koerner meint auch: „Innerhalb eines Jahres entsprechende Lösungen zu planen, zu budgetieren, freigeben zu lassen, zu implementieren und in den Betrieb zu überführen, ist gelinde gesagt sehr sportlich.“

Gemeinsam stark

Ob Unternehmen sich auch zusammenschließen könnten, um die Herausforderungen gemeinsam zu meistern? Schmidt hält das für schwer umsetzbar, „weil jedes Unternehmen ein heterogenes IT-Umfeld hat“. Trotzdem wünscht sich der IT-Profi, dass die Finanzbranche bei Dora zusammenstehen möge. „Wenn einer dabei schneller ist als der andere, hat er keinen Wettbewerbsvorteil. Es ist einfach nur mühsam für alle“, sagt er.