DORA in der Diskussion: Gut gemeint, schlecht gemacht?

DORA, Cloud und Souveränität – über dieses thematische Dreieck diskutierten in einem Roundtable Christina Krämer, IT-Managerin bei der Deutschen WertpapierService Bank, Nils Wilhelms, Abteilungsleiter IT-Steuerung bei der DekaBank in Frankfurt/M., Ansgar Finken, ehemaliger Chief Risk Officer bei Solaris sowie Peter Bitterlich, bei noris network spezialisiert auf den Finanz- und Versicherungssektor. In Teil eins des Roundtables nahmen die Fachleute DORA auseinander.

von Dunja Koelwel

Seit Januar 2025 verpflichtet DORA den Finanzsektor, seine digitale Widerstandsfähigkeit gegen Cyberangriffe und technische Ausfälle zu stärken, indem sie klare Regeln für IKT-Risikomanagement, Vorfallmeldung, Tests und das Management von Drittanbietern festlegt. Ein Jahr – was ist Ihr erstes Fazit?

Krämer: Als reguliertes Institut und zentraler Dienstleister für die Wertpapierabwicklung für über 1.000 Banken und Sparkassen in Deutschland legen wir schon immer großen Wert auf hohe Verfügbarkeit und Stabilität unserer Anwendungen. Die DORA-Anforderungen sind daher nicht komplett neu oder überraschend, denn viele Themen gehören ohnehin zum Standard bei der dwpbank. DORA hat einiges verschärft und die Operationalisierung der Anforderungen hat die dwpbank natürlich einiges an Aufwand gekostet.

DORA & Digitale Souveränität - es diskutieren Christina Krämer (dwpbank), Nils Wilhelms (DekaBank), Ansgar Finken (ehem. Solaris), Peter Bitterlich (noris network) — Peter Bitterlich, Banken-Experte bei noris network noris Network

DORA - es diskutieren Christina Krämer (dwpbank), Nils Wilhelms (DekaBank), Ansgar Finken (ehem. Solaris), Peter Bitterlich (noris network) — Nils Wilhelms, Abteilungsleiter IT-Steuerung, DekaBank Deka Bank

Wilhelms: Das sehe ich ähnlich: In unserer ersten Analyse, als DORA angekündigt wurde und als noch nicht klar war, was genau alles gefordert wird, haben wir festgestellt, dass wir rund 80 Prozent der Vorgaben bereits umsetzen. Es gab also keine Themen, die wir nicht auf dem Schirm hatten. Doch je mehr Details veröffentlicht wurden, fanden wir auch, dass man mit DORA über das Ziel hinausgeschossen ist, weil das ganze Micromanagement extrem aufwändig wurde. Hat man als Bank beispielsweise vorher schon ein gutes Incident Management hingelegt, musste man es jetzt dennoch neu aufsetzen und genauso machen, wie es die EZB fordert.

Finken: FinTechs haben hier einige Besonderheiten, etwa weniger Alt-IT. Für mein Dafürhalten hat es gutgetan, über Kulturwandel und Regeln nachzudenken.

Banken, die gut bei BAIT aufgestellt sind, haben in der Regel auch kein Problem mit DORA.“

Für Solaris hat es jedoch bedeutet, dass wir in einem Rutsch nachziehen mussten: also BAIT aufholen, DORA umsetzen. Die letzten Vorgaben für DORA kamen im Oktober 2024 – keine Bank hatte damit eine Chance, zur Deadline am 17.1.2025 fertig zu sein. Wir hatten dann sogar gleich als erste Bank in Deutschland die aufsichtliche Prüfung, und ich muss sagen: Es lief fair ab, und es gab ein faires und konstruktives Feedback.

Christina Krämer, dwpbank

Christina Krämer ist seit über 17 Jahren IT-Managerin bei der Deutschen WertpapierService Bank (dwpbank, Website), Dienstleister für Wertpapierservices in Deutschland. Seit 2018 leitet sie das Programm „MoveWP3”, in dem die Wertpapierplattform der dwpbank in einen modernen Technologiestack transformiert wird.

Krämer: Gab es denn Schwerpunkte in der Prüfung?

Finken: Der Hauptschwerpunkt war, IKT-Risiken zu identifizieren und die qualitativen IT-Risiken in quantitative operationale Risiken zu übersetzen. Daneben dann natürlich die Kernthemen Drittparteien, Strategie und Cyber.

Zweiter Schwerpunkt waren klassische Governance-Themen: Gibt es ein Projektmanagement, gibt es dies, gibt es jenes. Der dritte Schwerpunkt war der Austausch mit anderen, also mit Dienstleistern. Und hier sind wir safe, wir arbeiten nur noch mit europäischen Dienstleistern.

Krämer: Solaris ist doch zu hundert Prozent in der AWS-Cloud. Amazon ist doch keine europäische Company?

Finken: Doch mit der neuen souveränen Cloud auf jeden Fall.

Bitterlich: Neu für noris ist die Tatsache, dass wir durch DORA jetzt auch Prüfkandidat sein können. Das war früher nicht so. Für noris kam daher die Frage auf, wer künftig dafür die Kosten trägt. Mittlerweile klären wir in den Verträgen die Verantwortlichkeiten – und das ist oft stark zu diskutieren. Und wir haben da so manche Überraschung erlebt, etwa dass Banken die Verantwortung komplett an uns auslagern wollten. Aber was uns in die Taschen spielt, ist, dass wir ein rein deutsches Unternehmen sind, mit RZ aktuell nur in Bayern, aber wir bauen gerade auch in Frankfurt.

Nils Wilhelms, DekaBank

Nils Wilhelms ist Abteilungsleiter IT-Steuerung bei der DekaBank (Website), wo er die Themen IT-Strategie, IT-Architektur, IT-Prozesse, IT-Compliance, IT-Risiken, IT-Kosten, IT-Sicherheit und IT-Resilienz verantwortet. Vor seinem Einstieg bei der DekaBank war Nils Wilhelms mehrere Jahre IT-Unternehmensberater bei Accenture.

DORA & Reporting: Finanzunternehmen sind im Rahmen von DORA verpflichtet, ein umfassendes Risikomanagement für IKT-Drittdienstleister zu implementieren. Die Auswahl dieser Dienstleister unterliegt strengen Due-Diligence-Prüfungen und klaren vertraglichen Anforderungen: Risikobewertung, Due Diligence, Vertragliche Anforderungen (Service Level Agreements, Prüfungs- und Zugangsrechte, Standort der Datenverarbeitung, Subcontracting, Kündigungsrechte und Übergangsfristen, Zusammenarbeit mit Behörden), Informationsregister, Überwachung. Was hat sich in der Praxis als am schwierigsten herausgestellt und weswegen?

Krämer: Das Reporting und die Risikobewertung der IKT-Dienstleister waren bei uns bereits etablierte Prozesse und stellten uns vor geringere Herausforderungen. Vielmehr führten die Verhandlungen der erforderlichen Verträge mit unseren Dienstleistern zu hohen Aufwänden. Auch zu den Kosten, die den Dienstleistern durch DORA entstehen, gibt es Diskussionen.

Kleine Service-Provider können den Aufwand aus den DORA-Regularien insbesondere bezüglich der Vertrags-Anforderungen nicht mehr kostendeckend erbringen und stellen Services ein.“

Bitterlich: Wir versuchen, die Kosten diskret „zu verstecken“, denn niemand ist bereit, expressis verbis für DORA zu zahlen. Wir haben zum Beispiel die noris Enterprise Cloud (nEC), mit der wir spezialisierte Cloud- und IT-Infrastrukturlösungen bieten, die insbesondere auf die hohen Sicherheits-, Compliance- und Leistungsanforderungen der Finanzbranche zugeschnitten sind. Aber der extra Cloud Space kostet etwas mehr.

Wir nennen das dann unsere „DORA-fee“ und verpacken die Gebühren im Service Management oder Reporting – es sind ja auch Mehraufwände.“

Wir wissen von einem anderen Dienstleister, der nur im Bankenumfeld tätig ist, der das auf die Einzelstückkosten umlegt.

Ansgar Finken, Solaris

Ansgar Finken war Chief Risk Officer bei Solaris (Website) und verfügt über 20 Jahre Erfahrung in der Finanzbranche. Zuvor war er CRO der BHW Bausparkasse und Mitinitiator ihres Nachhaltigkeitsmanagements.

Wilhelms: Im Reporting sind wir geübt, der Aufwand war eher, die Reporting-Fähigkeit für DORA auszubauen. In dem Moment, wo wir das in den LifeCycle überführt haben, ist das dann gelebte Praxis. Was ein enormer Aufwand war, war auch bei uns die enorme Masse an Verträgen. Man muss ja für jeden Hersteller und Software-Hersteller einen Erhebungsprozess durchlaufen und wir haben eine hohe dreistellige Anzahl von Verträgen. Aber es gibt natürlich auch problematische Bereiche, etwa beim Thema Incident Management. Hier versuche ich dann, das Problem in den Griff zu bekommen und denke nicht in erster Linie an die Formulare. Das kommt dann erst später.

Pflichten für Banken im Umgang mit kritischen Dienstleistern: Banken tragen weiterhin die Letztverantwortung für ihr IKT-Risikomanagement. Zu ihren Kernpflichten gehören Informationsregister, Vertragsgestaltung, Überwachung (Banken müssen die Leistung und Sicherheit ihrer kritischen Dienstleister kontinuierlich überwachen und regelmäßige Risikoanalysen durchführen). Wie gestaltet sich das in der Praxis? Wie offen zeigen sich die Dienstleister? Was würden Sie sich mehr wünschen? Woran hapert es?

Finken: Das ist sehr unterschiedlich. Wir haben unseren Dienstleistern Fragebögen geschickt und manche haben diese innerhalb einer Woche unterschrieben zurückgeschickt. Da war uns klar: Die haben das nicht immer richtig durchgelesen. Für ein kleines Haus wie Solaris ist es schwierig, gegenüber großen Anbietern Dinge durchzusetzen, aber hier helfen die Regulierung und die Zusammenarbeit mit anderen Playern. Aus der bisherigen Erfahrung plädiere ich unbedingt für branchenweite Lösungen mit Hyperscalern unter Einbindung der Aufsicht und anderer Prüfender.

Wie zeigt es sich, wenn AWS ein Institut „abperlen“ lässt?

Finken: Eigentlich ganz banal: Man bekommt von AWS lediglich standardisierte Protokolle, man kann sich in einem Portal etwas abrufen, man kann Fragen an eine Mailbox schicken. Das wars. Daher komme ich wieder zu der Idee, sich industrieweit zu engagieren, sonst ist man nie auf Augenhöhe. Komplett anders läuft es beispielsweise bei einem anderen Service-Partner, IDnow. Hier machen wir VideoIdent und da fahren wir hin, lassen uns das zeigen – alles auf Augenhöhe.

Krämer: Wir sind Teil der sogenannten CCAG, einem Zusammenschluss von Instituten, um die Hyperscaler gemeinsam zu prüfen. In dem Kontext muss sich AWS deutlich offener für die Anforderungen der Revisoren zeigen und lässt auch Vorort-Begehungen zu.

Peter Bitterlich, noris network

Peter Bitterlich ist seit 2011 bei noris network (Website) tätig und spezialisierte sich dort auf die Betreuung von Kunden aus dem regulierten Finanz- und Versicherungssektor. Seine besondere Expertise liegt dabei in der Beratung zu komplexen regulatorischen Anforderungen wie dem Digital Operational Resilience Act (DORA).

Bitterlich: Das ist doch ein riesiger Aufwand, man kann da nicht so einfach rein? Lohnt sich das? Ich bin mir auch nicht sicher, ob es was bringt, nach Dublin zu fahren, das ist doch eher ein Feigenblatt. Wichtig ist doch, genau reinzugucken, wo etwas liegt, was und wie verschlüsselt wird, wer worauf Zugriff hat – habe ich wirklich die Hoheit über meine Daten, wenn sie in Dublin liegen?

Wilhelms: Wir sind ja auch teilweise bei AWS und haben hier auch das Problem, wie man die Verträge gestaltet. Aber bei den Hyperscalern gibt es auch Unterschiede. Wir haben den Eindruck, dass Microsoft Azure und Google redebereiter sind – aber das hängt natürlich davon ab, wie groß die Marktmacht der Kunden ist.

Finken: Tja, da sind FinTechs immer schlechter organisiert.

Krämer: Genau dieses Thema haben wir auch in der Arbeitsgruppe Cloud beim Bankenverband diskutiert: Es wäre sinnvoll, Wirtschaftsprüfer mit den Prüfungen zu betrauen, die besser auf die Welt der Hyperscaler vorbereitet sind als gegebenenfallss interne Revisoren. Noch vorteilhafter wäre es, wenn die BaFin selbst in die Verantwortung geht und die Hyperscaler prüft.

Wilhelms: Mich stört hier auch, dass mit zweierlei Maß gemessen wird. Ich beziehe auch Strom, doch die Bankenaufsicht wird mich nicht zwingen, meinen Stromanbieter zu prüfen.

Das ganze Thema Cloud muss entmystifiziert werden. Cloud war nie greifbar, das muss sich ändern.“

Krämer: Eine Bank ist heute auch nicht mehr das, was man sich landläufig darunter vorstellt, sondern ein IT-Unternehmen mit hoch-automatisierten Prozessen: „80 Prozent sind IT“, die nicht im Keller der Bank steht, sondern hochprofessionell und wirtschaftlich betrieben werden muss. Das erfordert auch eine angepasste Haltung der Regulatoren.

In Teil zwei des Roundtables sprechen die Experten über ihre Cloud-Erfahrungen. dk