Wer nichts prüft, fliegt raus – DORA zwingt IT-Outsourcer endlich zur Rechenschaft

DORA, NIS2, KRITIS – die regulatorische Daumenschraube für die IT und Sicherheit wird weiter angezogen. Wer IT auslagert, ohne Compliance mitzudenken, riskiert Kontrollverlust und mangelnde Nachweisfähigkeit.

von Nils Gröne, Datagroup

Für Finanzunternehmen wie Banken, Versicherungen und Kapital­verwaltungs­gesellschaften steigen die regulatorischen Anforderungen in der IT erheblich. Dabei verschärft DORA, seit Januar 2025 anzuwenden, die Vorgaben zum IKT-Risikomanagement, zur Steuerung von Drittparteien, zu Resilienztests sowie zum Vorfallmanagement. So sind Finanzinstitute verpflichtet, nicht nur ihre IT-Systeme, sondern auch Abhängigkeiten zu Drittanbietern – wie Cloud-Providern oder IT-Dienstleistern – im Rahmen eines ganzheitlichen Risikomanagements abzubilden und regelmäßig auf Resilienz zu testen, etwa durch simulierte Ausfälle oder Ransomware-Szenarien.

Gefordert ist ein kontrolliertes, auditierbares IT-Betriebsmodell, auch für ausgelagerte Services.”

Was nicht prüfbar ist, gilt im Zweifel als nicht existent. Das ist die Realität für IT-Verantwortliche im Finanzsektor.

Compliance im IT-Outsourcing

Die regulatorischen Pflichten machen vor den vielfach eingesetzten IT-Dienstleistern keinen Halt. Die Verantwortung endet nicht an der Unternehmensgrenze, sondern umfasst die gesamte IT-Auslagerungskette. Unternehmen müssen sicherstellen, dass die für sie geltenden regulatorischen Anforderungen auch bei Drittdienstleistern konsequent eingehalten werden. Und das risikobasiert und technisch-organisatorisch umgesetzt, durchgängig nachweisbar, überprüfbar und vollständig dokumentiert. Die Wahrnehmung von Steuerungs- und Kontrollaufgaben ist komplex, anspruchsvoll und bedarf eines gewissen Grades an Transparenz. Die interne Revision kann dabei unterstützen, indem sie die Ergebnisse externer Prüfungen validiert und eigene Audits zur Überprüfung der Wirksamkeit von Zugriffskontrollen oder der Einhaltung von DORA-Anforderungen durchführt. Dabei trifft sie jedoch oft auf Stolpersteine wie eine unzureichende Standardisierung der IT-Service-Prozesse, die Prüfungen erschwert. Häufig zeigen sich zudem Schwächen in der Konsistenz von Prozessen wie Change-, Incident- oder Patch-Management, die eine verlässliche Bewertung der Kontrollumgebung erschweren. Auch eine unklare Risikozuordnung beim Dienstleister behindert eine fundierte Prüfung. Besonders kritisch ist die unzureichende Überwachung von Subdienstleistern: Revisionsfeststellungen legen oft nahe, dass deren Einbindung in das Kontroll- und Berichtswesen lückenhaft bleibt, was versteckte Risiken in der Lieferkette birgt.

Daher sind regulierte Unternehmen auf proaktiv mitwirkende IT-Dienstleister angewiesen. Eine gute Partnerschaft gelingt, wenn der Dienstleister über regulatorisches Wissen, ausgereifte Service-Prozesse und eine angemessene Risiko- und Kontrollorganisation verfügt.

Compliance braucht Systemblick

Ein Vergleich zeigt, worauf es ankommt: Die Situation ähnelt der Zulassung eines Fahrzeugs. Der Fahrzeughalter unterliegt gesetzlichen Vorgaben, um die Straßenzulassung zu erhalten. Er bringt das Auto zur Werkstatt, wo Fachleute Wartung und technische Maßnahmen wie neue Bremsen, Reifen oder Elektronikchecks umsetzen. Direkt im Anschluss erfolgt die TÜV-Prüfung: Ein unabhängiger Prüfer bewertet das Gesamtsystem und vergibt die Prüfplakette. Der Fahrzeughalter kann damit auf sein Fahrzeug vertrauen und gegenüber Behörden nachweisen, dass alle Anforderungen erfüllt sind.

Übertragen auf die IT heißt das: Entscheidend ist das funktionierende Zusammenspiel aller Komponenten. Nicht nur einzelne Systeme, sondern die gesamte IT-Servicearchitektur muss sicher, nachvollziehbar und überprüfbar sein. IT-Dienstleister können dabei die Rolle der Werkstatt übernehmen und das System technisch vorbereiten mit integrierten Compliance-Funktionen, strukturierten Prozessen und dokumentierten Maßnahmen.

In der Zusammenarbeit mit Auditoren und Prüfinstanzen sorgen sie dafür, dass das Gesamtgefüge bewertet und die regulatorische Betriebssicherheit bestätigt wird.”

Für Unternehmen entsteht so ein IT-Modell, das technisch abgesichert und jederzeit prüfbereit ist.

Umsetzung im IT-Outsourcing

Damit ein IT-Dienstleister regulatorischen Anforderungen gerecht wird, muss die gesamte technische Leistungserbringung auf ein systematisches, risikobasiertes Fundament gestellt werden. Grundlage dafür ist eine Kombination aus Informationssicherheitsmanagement, Risikomanagement, Service Continuity Management und internem Kontrollsystem – organisatorische Eckpfeiler, die durch DORA an Relevanz gewinnen. Diese Basis wird um spezifische technische und organisatorische Maßnahmen ergänzt. Diese Maßnahmen sind regelmäßig risikobasiert zu bewerten, auf die Betriebssituation abzustimmen und wirksam in die Prozesse und Kontrollen einzuflechten.

Beispielsweise kann dies bedeuten, dass bei besonders schutzbedürftigen Anwendungen zusätzlich zu den regulären Backup- und Recovery-Strategien auch geo-redundante Hochverfügbarkeitslösungen mit definierten RTO/RPO-Zeiten (Recovery Time Objective / Recovery Point Objective) etabliert werden müssen. So entsteht eine Architektur, die dynamisch auf Bedrohungslagen reagiert und die Schutzniveaus hinsichtlich Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität abdeckt.

Für ein hohes Niveau der Informationssicherheit und Resilienz ist es notwendig, die Bedrohungslage und IT-Risiken durchgängig zu identifizieren und mit geeigneten Maßnahmen zu adressieren.

Die IT-Sicherheitsarchitektur sollte unter Beobachtung der Markttrends regelmäßig weiterentwickelt werden.”

So bleiben Unternehmen auch bei neuen Angriffsvektoren reaktionsfähig.

Sicherheitsmaßnahmen als Bestandteil regulatorischer Nachweiskette

Die Umsetzung regulatorischer Anforderungen erfolgt nicht abstrakt, sondern sehr konkret über technische Schutzmaßnahmen mit präventiver, detektiver und reaktiver Wirkung. Dazu zählen aktives Schwachstellenmanagement, Maßnahmen zur Netzwerksicherheit, kryptografische Verfahren, Identity und Access Management, ein 7×24 Security Operations Center (SOC) in Kombination mit einem Security Information and Event Management (SIEM) sowie Extended Detection and Response (XDR).

Weiterhin sollte auf Technologien wie Security Orchestration, Automation and Response (SOAR), External Attack Surface Management, Penetrationstests und Compromise Scans gesetzt werden. Die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen als Teil der IT-Architektur sollte außerdem regelmäßig durch umfangreiche Risikoanalysen sowie ein umfassendes Compliance- und Security-Reporting überprüft werden.

Auswahlkriterien für den richtigen Partner

Regulatorisch tragfähiges IT-Outsourcing beginnt mit nachweislicher Qualität: Ein geeigneter IT-Dienstleister verfügt über etablierte Zertifizierungen und Prüfungsberichte unabhängiger Dritter (z.B. nach ISO 27001, ISO 22301, ISAE 3000, ISAE 3402, SOC2 oder C5). Sie gelten als anerkannter Beleg für gelebte IT-Compliance entlang der gesamten Servicekette. Denn wichtig ist, dass regulatorische Anforderungen strukturell in die Leistungserbringung integriert werden. Ein breites Managed Security Portfolio sorgt dabei für die notwendige technische Tiefe.

Kompetenz zeigt sich zudem auch darin, regulatorische Anforderungen nicht nur umzusetzen, sondern fachlich einzuordnen.”

Nur wer Technik und Beratung verbindet, ist im regulierten Umfeld langfristig geeignet.

Fazit

DORA verlangt einen IT-Betrieb, der regulatorisch durchdrungen, technisch abgesichert und prüfbar ist. IT-Dienstleister unterstützen, indem sie Compliance in ihre Services integrieren und belastbare Nachweise liefern. Sie schaffen Transparenz im Gesamtsystem, ohne dass Unternehmen jeden Aspekt selbst prüfen müssen. Entscheidend ist ein ganzheitlicher Ansatz, der regulatorische Anforderungen entlang der gesamten IT-Wertschöpfungskette technisch fundiert verankert. So lassen sich Resilienz und Compliance wirksam umsetzen. Nils Gröne, Datagroup