Skip to main content

DORA, IKT-Risiken und operative Resilienz: Was Finanzunternehmen aus den aktuellen Berichten von ESA und Basler Bankenausschuss lernen können

Operative Resilienz wird zum entscheidenden Wettbewerbsfaktor

Die Digitalisierung des Finanzsektors schreitet weiter voran. Gleichzeitig steigen die Anforderungen an die Stabilität und Verfügbarkeit von IT-Systemen. Zwei aktuelle Veröffentlichungen liefern hierzu wertvolle Erkenntnisse:

  • Der Bericht der ESAs zu schwerwiegenden IKT-Vorfällen unter DORA analysierte erstmals EU-weit Vorfälle aus dem Jahr 2025.
  • Der Basler Ausschuss für Bankenaufsicht untersuchte die Ursachen von IKT-Ausfällen und erfolgreiche Praktiken im IKT-Risikomanagement.

Die zentrale Botschaft beider Berichte: Die größte Herausforderung liegt heute nicht mehr ausschließlich in Cyberangriffen, sondern zunehmend in der Beherrschung komplexer IT-Landschaften, Abhängigkeiten von Drittanbietern und fehleranfälligen Änderungsprozessen.

Die gute Nachricht lautet: Maßnahmen zur Cybersicherheit sind wirksam und können Schäden rechtzeitig begrenzen.

3.383 schwerwiegende IKT-Vorfälle in nur einem Jahr

Laut den ESAs wurden im Jahr 2025 insgesamt 3.383 schwerwiegende IKT-bezogene Vorfälle gemeldet. Besonders betroffen waren Kreditinstitute und Zahlungsdienstleister.

Bemerkenswert ist dabei:

  • Rund ein Drittel aller Vorfälle hatte grenzüberschreitende Auswirkungen.
  • Fast ein Drittel der Vorfälle stand im Zusammenhang mit Drittanbietern.
  • Die häufigsten Ursachen waren Systemausfälle, Prozessfehler und externe Ereignisse.
  • Zwei Drittel der Vorfälle konnten jedoch frühzeitig erkannt und erfolgreich eingedämmt werden.

Die Zahlen zeigen: Nicht jeder Vorfall entwickelt sich zur Krise. Entscheidend ist die Fähigkeit eines Unternehmens, Störungen schnell zu erkennen, wirksam zu steuern und kontrolliert wiederherzustellen.

Die größten Risikotreiber: Änderungen, Komplexität und Drittanbieter

Der Bericht des Basler Bankenausschusses identifiziert vier Hauptursachen für nicht böswillige IKT-Vorfälle:

1. Schwächen im Änderungsmanagement

2. Mängel in Design, Entwicklung und Testprozessen

3. Kapazitäts- und Leistungsprobleme

4. Ausfälle bei externen Dienstleistern

Besonders das Änderungsmanagement sticht hervor. Banken berichten von Millionen technischer Änderungen pro Jahr. Bereits kleine Fehler können weitreichende Auswirkungen auf Kundenservices, Zahlungsverkehr oder digitale Kanäle haben.

Gleichzeitig steigt die Komplexität moderner IT-Landschaften: Cloud-Services, Microservices, APIs und externe Plattformen schaffen neue Möglichkeiten – erhöhen aber auch die Zahl kritischer Abhängigkeiten.

DORA verschiebt den Fokus von Compliance auf Resilienz

Ein zentrales Ergebnis beider Berichte ist der Wandel im Verständnis von IKT-Risiken.

Früher stand häufig die formelle Einhaltung regulatorischer Anforderungen im Vordergrund. Heute rückt die tatsächliche Widerstandsfähigkeit von Geschäftsprozessen in den Fokus.

Erfolgreiche Institute investieren daher verstärkt in:

  • Business Continuity Management und Disaster Recovery
  • Echtzeit-Monitoring und Frühwarnsysteme
  • Automatisierte Incident-Management-Prozesse
  • Umfassende Asset- und Abhängigkeitsinventare
  • Konsequentes Risikomanagement für Drittanbieter
  • Regelmäßige Resilienz- und Wiederherstellungstests

DORA macht deutlich, dass Unternehmen nicht nur Risiken dokumentieren müssen. Sie müssen nachweisen können, dass kritische Geschäftsprozesse auch unter Störungsbedingungen funktionsfähig bleiben.

KI und Automatisierung gewinnen an Bedeutung

Sowohl die ESAs als auch der Basler Bankenausschuss beobachten einen zunehmenden Einsatz von KI-gestützten Lösungen.

Typische Anwendungsfälle sind:

  • Anomalieerkennung
  • Kapazitätsprognosen
  • Ursachenanalysen
  • Testautomatisierung
  • Unterstützung im Incident Management

Gleichzeitig betonen die Aufsichtsbehörden, dass menschliche Kontrolle weiterhin unverzichtbar bleibt. KI kann Risiken schneller erkennen, die Verantwortung für Entscheidungen verbleibt jedoch bei den Organisationen.

Handlungsempfehlungen für Finanzunternehmen

Die aktuellen Erkenntnisse lassen sich in fünf konkrete Prioritäten übersetzen:

1. Änderungsmanagement professionalisieren

Automatisierte Deployments, risikobasierte Freigaben und produktionsnahe Tests reduzieren Ausfallrisiken erheblich.

2. Transparenz über kritische Abhängigkeiten schaffen

Vollständige Asset-Inventare und End-to-End-Abhängigkeitsanalysen werden zunehmend zum Erfolgsfaktor.

3. Drittanbieter stärker steuern

Vertragswerke, Exit-Strategien, kontinuierliche Überwachung und Resilienztests müssen fester Bestandteil des Third-Party-Risk-Managements sein.

4. Wiederherstellungsfähigkeit regelmäßig testen

Disaster-Recovery-Tests sollten realistische Szenarien simulieren und nicht nur als Compliance-Übung betrachtet werden.

5. Resilienz als Managementthema etablieren

Operative Resilienz ist kein IT-Thema mehr. Sie betrifft Governance, Prozesse, Technologie und Organisation gleichermaßen.

Fazit

Die aktuellen Berichte der ESAs und des Basler Bankenausschusses zeigen deutlich: Die Zukunft der Finanzbranche hängt an drei Fähigkeiten:

  • ausnutzbare Lücken für Cyberangriffe zu minimieren, Angriffe schnell zu erkennen und abzuwehren,
  • Drittanbieter und deren Sub-Unternehmer wirksam zu steuern und
  • komplexe IT-Ökosysteme zu beherrschen.

DORA setzt hierfür den regulatorischen Rahmen. Die eigentliche Herausforderung besteht jedoch darin, operative Resilienz als festen Bestandteil der Unternehmenssteuerung zu etablieren.

Unternehmen, die Transparenz schaffen, ihre kritischen Prozesse kennen und ihre Wiederherstellungsfähigkeit kontinuierlich testen und verbessern, werden langfristig stabiler aufgestellt sein – regulatorisch wie auch wirtschaftlich.

Aus Gründen der besseren Lesbarkeit wird in den Texten auf die Verwendung geschlechtergerechter Sprachformen verzichtet und das generische Maskulinum verwendet.
Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

© Copyright 2024
evolving systems consulting GmbH