BANKINGNEWS: Seit Anfang 2025 gilt DORA verbindlich. Wie verändert dieses Regelwerk den Umgang der Finanzbranche mit digitaler Resilienz und IT-Risiken?
Edgar Bernhard: DORA macht digitale Resilienz zu einem prüfbaren Unternehmens-Capability statt zu „Best Effort“. Es harmonisiert Erwartungen an ICT-Risikomanagement, Meldeprozesse, Tests sowie das Management kritischer Drittparteien – mit klaren Verantwortlichkeiten auf Management-Ebene und EU-weit einheitlichen Mindeststandards. Für Institute heißt das: Governance, Prozesse und Sourcing-Modelle müssen messbar, auditierbar und jederzeit nachweispflichtig sein (inklusive Lieferkette). Gleichzeitig betrifft DORA auch uns als Lieferanten: Wir stehen in der Pflicht, unsere Services und Prozesse transparent, belastbar und prüfbar auszugestalten. Damit rückt die enge Zusammenarbeit zwischen Finanzinstituten und ihren IKT-Dienstleistern stärker in den Fokus – partnerschaftliche Kooperation wird nicht nur gefördert, sondern regulatorisch eingefordert.
DORA schreibt umfangreiche Tests vor. Wo siehst Du hier die größten Herausforderungen für Finanzunternehmen?
Die größte Herausforderung liegt darin, dass die Testanforderungen nicht isoliert auf das einzelne Institut zielen, sondern die gesamte Wertschöpfungskette entlang geprüft werden muss – inklusive aller kritischen IKT-Dienstleister. Das erfordert eine stringente Koordination, klare Verantwortlichkeiten und abgestimmte Abläufe zwischen Bank, Dienstleistern und gegebenenfalls Aufsichtsbehörden. Ähnlich wie bei Revisionsprüfungen gilt: Institute müssen die Tests frühzeitig planen, Scope und Vorgehen klar definieren und dabei die betroffenen IKT-Partner eng einbinden. Nur so lassen sich realistische Szenarien abbilden, die auch Abhängigkeiten in hybriden oder ausgelagerten Umgebungen berücksichtigen. Für die Finanzbranche bedeutet das, neben technischen Testfähigkeiten auch Projekt- und Governance-Kompetenz aufzubauen, um eine konsistente, dokumentierte und prüfbare Durchführung sicherzustellen.
Wie kann die Koordination zwischen Behörden, Unternehmen und internationalen Partnern verbessert werden, um digitale Souveränität ohne zusätzliche Regulierungen zu stärken? Braucht es zusätzliche regulatorische Vorgaben?
Aus unserer Sicht braucht es keine neuen regulatorischen Vorgaben. Entscheidend ist vielmehr, dass die bestehenden Regeln – insbesondere DORA – konsequent angewendet und praktisch umgesetzt werden. Da bislang noch keine Erfahrungswerte mit der verbindlichen Umsetzung vorliegen, wird es in der Anfangsphase naturgemäß zu Reibungen, Unsicherheiten und Mehraufwand kommen. Das ist jedoch Teil eines Einspielprozesses, den Branche, Aufsicht und Dienstleister gemeinsam durchlaufen müssen. Wir vertreten daher klar die Linie: Es braucht keine zusätzliche Regulierung, sondern die konsequente Umsetzung und gelebte Anwendung der bestehenden Vorgaben. Damit lässt sich digitale Souveränität nachhaltig stärken, ohne weitere bürokratische Hürden aufzubauen.
„Wir sehen uns in einer Co-Existenz mit den Hyperscalern“
DORA fordert detaillierte Notfall- und Exit-Strategien für Cloud-Dienste. Wo stehen Finanzinstitute hier und wo siehst Du die größten Umsetzungsdefizite?
Eigentlich sind die Vorgaben nicht neu: Sowohl die BaFin als auch die EBA haben bereits vor einigen Jahren entsprechende Anforderungen an Exit-Strategien und Notfallkonzepte für Cloud-Services formuliert. In der Praxis standen diese Themen bisher jedoch selten im Fokus von Prüfungen – entsprechend wurden sie in vielen Häusern nicht mit Nachdruck umgesetzt oder gar real durchgespielt. Mit DORA rücken diese Anforderungen nun verbindlich ins Zentrum. Ähnlich wie bei den Testvorgaben gilt: Die Institute müssen ihre Hausaufgaben machen, sich intensiv mit ihren Prozessen auseinandersetzen und konkrete, belastbare Exit- und Reversibility-Szenarien entwickeln. Entscheidend ist, dass diese nicht nur auf dem Papier stehen, sondern tatsächlich erprobt werden. Dabei sind die IKT-Dienstleister frühzeitig einzubeziehen, um realistische Fallback-Optionen und praktikable Übergangsszenarien sicherzustellen.
Welche Alternativen gibt es zu Hyperscalern? Was sind hier Vor- und Nachteile?
Von echten „Alternativen“ zu den Hyperscalern würde ich nicht sprechen – dafür sind sie technologisch, funktional und in ihrer Skalierbarkeit bereits zu weit enteilt. Ihre Marktkapitalisierung und Innovationsgeschwindigkeit eröffnen Möglichkeiten, die andere Anbieter in dieser Breite und Tiefe schlicht nicht abbilden können. Unser Ansatz liegt daher nicht im Wettbewerb um Funktionalität, sondern in der Ergänzung: Daten-, Betriebs- und Technologiesouveränität sind die Felder, in denen wir als T-Systems ein echtes Ass im Ärmel haben. Hier können wir Lösungen bieten, die Hyperscaler in dieser Stringenz nicht gewährleisten – auch wenn sie versuchen, das Thema aufzugreifen. Wir sehen uns daher in einer Co-Existenz mit den Hyperscalern: Wir schaffen für unsere Kunden die Voraussetzungen, regulatorische Anforderungen an Souveränität und Reversibilität zu erfüllen, und ermöglichen zugleich eine plausible Exit-Strategie. Damit bieten wir einen klaren Mehrwert, den Hyperscaler allein nicht liefern können.
Welche Lessons Learned sollten Finanzinstitute aus jüngsten globalen IT-Sicherheitsvorfällen für ihr Risikomanagement ziehen?
Das ist eine anspruchsvolle Frage, denn die meisten Institute setzen sich bereits intensiv mit den Erkenntnissen aus globalen Sicherheitsvorfällen auseinander. Unser Eindruck ist, dass die Konsequenzen aus solchen Ereignissen heute systematisch in Risikomanagement, Prozesse und Kontrollen einfließen.
Die zentralen Learnings liegen dabei typischerweise in drei Bereichen:
- Single-Point-of-Failure vermeiden: Kritische Komponenten, Updates oder Kommunikationskanäle sollten redundante, getestete Fallbacks haben.
- Lieferketten- und Tool-Risiken managen: Monokulturen oder Abhängigkeiten von einzelnen Providern erhöhen systemisches Risiko; Diversifizierung und Validierung sind entscheidend.
- Resilience-by-Design: Notfall- und Wiederanlauf-Szenarien sollten regelmäßig geübt, dokumentiert und in Governance-Prozesse integriert werden – direkt anschlussfähig an DORA-Anforderungen.
Wir sind optimistisch: Die Branche nimmt diese Lessons Learned ernst, integriert sie aktiv in ihre Systeme und arbeitet daran, Risiken messbar zu reduzieren. Damit ist die Basis gelegt, um IT-Sicherheit und regulatorische Anforderungen nachhaltig zu vereinen.
Edgar Bernhard
Edgar Bernhard ist IT Regulatory & Compliance Expert FSI bei der T-Systems International GmbH.
Maria Scherban absolvierte von November 2023 bis Juli 2025 ihr redaktionelles Volontariat beim BANKINGCLUB und arbeitet seitdem als Redakteurin. Zuvor schloss sie ihren Master of Arts an der Rheinischen Friedrich-Wilhelms-Universität Bonn ab.