Zielgerichteter Umgang mit IKT-Risiken mittels DORA – Impulse für Banken und Sparkassen

Wie das Aufsichtsbriefing von Bundesbank und BaFin am 05.02.2026 bestätigte, hat die Bedeutung von Informations- und Kommunikationstechnologien im Kontext der Digitalisierung und künstlichen Intelligenz (KI) den deutschen Banken- und Finanzmarkt in den letzten Jahren nachhaltig geprägt und verändert. Gleichzeitig sind Risiken aus Informations- und Kommunikationstechnologie (sog. IKT-Risiken) damit deutlich gestiegen. Beispielsweise können betroffene Institute durch Cyber-Vorfälle oder den Ausfall von (kritischen) IT-Dienstleistern schwerwiegend in ihrer operativen Tätigkeit beeinträchtigt werden. In der Folge sind sie dann nicht nur mit den direkt verursachten Schäden (z.B. Ausfälle, Datenlecks etc.) konfrontiert, sondern erleiden ggf. zusätzlich langfristige Reputationsschäden. Um Institute weiter zu sensibilisieren und konkrete Verbesserungen im Umgang mit IKT-Risiken zu erreichen, setzt die Aufsicht hier einen Fokus. So sieht die EZB einen Prüfungsschwerpunkt in der Stärkung der operativen Resilienz und der Forderung nach angemessenen IKT-Ressourcen. Die BaFin hat entsprechend Risiken aus Cyber-Vorfällen sowie der Konzentration bei der Auslagerung von IKT-Dienstleistungen in ihre Fokusrisiken aufgenommen. Folglich können diese Fokusthemen Schwerpunkte möglicher Prüfungen (v.a. On-site-Inspections / § 44er-Prüfungen) bei Banken und Sparkassen bilden und signifikante Feststellungen verursachen.

Im Gegensatz zu herkömmlichen Risiken lassen sich IKT-Risiken nur schwerlich mit bestehenden Methoden messen. Dennoch müssen sie im modernen Risikomanagement von Banken und Sparkassen adressiert werden. Die passgenaue Umsetzung des Digital Operational Resilience Acts (kurz DORA) ist hierbei essenziell und bildet auch den Schwerpunkt der aufsichtlichen Prüfungen.

Governance und Organisation

Institute haben wirksame Governance- und Kontrollstrukturen für den Umgang mit IKT-Risiken einzurichten. Ziel ist dabei die Sicherstellung einer möglichst hohen digitalen operationellen Resilienz. Die Verantwortung für die Definition, Genehmigung, Überwachung und Prüfung sämtlicher relevanter Strategie, Zuständigkeiten und Maßnahmen des IKT-Risikomanagements (inkl. Umgang mit IKT-Drittdienstleistern) obliegt dem Leitungsorgan (bei Banken v.a. Vorstand und Aufsichtsrat).

IKT-Risikomanagementrahmen

Zentrales Element des IKT-Risikomanagements ist der dokumentierte IKT-Risikomanagementrahmen, welcher v.a. Strategien, Richtlinien und Instrumente eines jeweiligen Instituts beinhaltet, die zum Schutz seiner IKT-Assets (d.h. Soft-/ Hardware inkl. Infrastruktur) sowie physischer Infrastruktur dienen. Ziel ist es, potenzielle IKT-Risiken zielgerichtet, zügig und möglichst vollumfänglich zu adressieren und die sogenannte digitale operative Resilienz sicherzustellen. Weiterhin besteht ein besonderer Fokus auf der unabhängigen IKT-Risikokontrollfunktion in den Instituten. Diese ergänzt als zusätzliche Funktion bestehende Kontrollfunktionen – insb. Risikocontrolling-/Compliance-Funktionen – und soll den angemessenen Umgang mit IKT-Risiken sicherstellen (d.h. Überwachung, Kontrolle und Berichterstattung). Aktuelle Beispiele aus Banken und Sparkassen zeigen, dass diese relativ neue Funktion mit entsprechender Sorgfalt ausgestaltet werden sollte. Im weiteren Verlauf des Artikels wird der vereinfachte IKT-Risikomanagementrahmen unter Relevanzgesichtspunkten für Banken und Sparkassen nicht weiter thematisiert.

Tools und Systeme

Zeitgemäßes IKT-Risikomanagement erfordert den Einsatz modernster IKT-Systeme, -Protokolle und -Instrumente. Diese müssen u.a. dem Ausmaß und der Komplexität der Tätigkeiten entsprechen, eine hohe (technologische) Zuverlässigkeit aufweisen und auch bei hoher Auslastung fehlerfrei und fristgerecht funktionieren. So können Banken und Sparkassen auf Lösungen ihrer zentralen Verbundunternehmen zurückgreifen. Dabei müssen sie jedoch auch die bankindividuelle Passgenauigkeit zu ihren Tätigkeiten, internen Governance- und Kontrollstrukturen sowie (IT-)Systemen wiederum „nachweislich“ sicherstellen.

IKT-Steuerungs- und Handlungsfelder

Um im operativen Betrieb einen möglichst reibungslosen Ablauf mit IKT-Risiken sicherzustellen, gilt es für die Institute angemessene Prozesse aufzubauen und deren Umsetzung sicherzustellen. Wesentliche Handlungsfelder in diesem Zusammenhang:

• Identifikation / Inventar: Institute müssen – zumindest jährlich – sämtliche Funktionen, Assets und Abhängigkeiten identifizieren und bezogen auf deren Betroffenheit durch IKT-Risiken klassifizieren. Dies fließt dann auch in die damit verbundene Dokumentation ein. Die IKT-Risiken und -Schwachstellen sind dabei fortlaufend zu bewerten, wobei bei wesentlichen Änderungen eine erneute Risikobewertung erforderlich wird. Zudem sind aktuelle Inventare zu führen und Altsysteme regelmäßig im Rahmen einer erhöhten Sorgfaltspflicht gesondert auf IKT-Risiken hin zu prüfen.
• Schutz- / Präventionsmaßnahmen: Weiterhin sind die IKT-Systeme regelmäßig im Auge zu behalten und durch adäquate Sicherheitsmaßnahmen vor Risiken zu schützen. So haben Institute umfassende Richtlinien und Methoden umzusetzen, welche durchgängig widerstandfähige IKT-Systeme sicherstellen. Schwerpunkte liegen hierbei v.a. auf dem Schutz von Daten und kritischen Funktionen, der jeweiligen Banken und Sparkassen. So haben die Institute u.a. hohe Anforderungen an Zugriffskontrollen sowie eine starke Authentifizierung und Verschlüsselung durchzusetzen bzw. sicherzustellen.
• Schadenerkennung: Da Schäden aus IKT-Risiken wahrscheinlicher werden und potenziell häufiger vorkommen, müssen Banken und Sparkassen konkrete Mechanismen zur frühzeitigen Erkennung von IKT-bezogenen Anomalien, Leistungsrückgängen und Schadensereignissen implementieren und turnusmäßig prüfen. Es gilt, Warnschwellen, mehrstufige Kontrollen und eine automatische Benachrichtigung der zuständigen Stellen sicherzustellen. Institute sind gefordert, hierfür das nötige Maß an Überwachungskapazitäten vorzuhalten, was vor allem kleinere und mittlere Institute vor Herausforderungen stellen kann.
• Reaktion / Wiederherstellung im Schadensfall: Um den Geschäftsbetrieb auch im Schadensfall sicherzustellen und mögliche Schäden bei insb. den kritischen Funktionen zu limitieren, sind die Institute verpflichtet, separat eine sogenannte IKT-Geschäftsfortführungsleitlinie sowie Reaktions- und Wiederherstellungspläne inkl. Regelungen zu Krisenmanagement und Kommunikation einzurichten. Die einzelnen Methoden und Dokumente sind dabei zielgerichtet auf die jeweiligen Besonderheiten der Banken und Sparkassen abzustellen, was erheblichen Abstimmungsaufwand erzeugen kann.
• Backup / Datenwiederherstellung: In Schadenfällen kann es dann zu eklatanten Verlusten an Daten und Ausfällen der Systeme kommen. Daher müssen die Institute dokumentierte Backup- und Wiederherstellungsverfahren aufbauen, diese in angemessenen Abständen überprüfen sowie die Daten getrennt und sicher speichern. Institute müssen zudem redundante IKT-Kapazitäten bereithalten, um im Schadenfall darauf ausweichen zu können. Soweit zentrale Verbundunternehmen die Rolle der Verwahrung von IKT-Funktionen bzw. Daten übernehmen, sind diese an einem getrennten sowie voll funktionsfähigen und angemessenen Zweitstandort zur Verarbeitung vorzuhalten.
• Lernen / Entwicklung: Die hohe Dynamik in diesem Themenfeld erfordert eine kontinuierliche Befassung mit neuen Ausprägungen von IKT-Risiken und möglichen Mitigationsmaßnahmen. Daher sind die Institute selbst gefragt, aus Vorfällen und/oder Tests zur Resilienz zu lernen, mögliche Ursachen aufzuarbeiten und passende Verbesserungen abzuleiten. Diese sind in ihr IKT-Risikomanagement zu implementieren und das Leitungsorgan ist über Vorfälle und die Effektivität des Umgangs mit IKT-Risiken zu informieren. Mitarbeitenden sind hinsichtlich IKT-Risiken zu schulen und zu sensibilisieren.
• Informations- / Kommunikationspolitik: Um vor allem bei schwerwiegenden IKT-Vorfällen angemessen die Stakeholder und die Öffentlichkeit informieren zu können, sind Kommunikationspläne seitens der Institute vorzuhalten. Zudem haben Banken und Sparkassen die in- und externe Kommunikation bei Vorfällen zu regeln und bestimmen zumindest einen dafür verantwortlichen Mitarbeitenden.

Folge: Welche Schwerpunkte sind in der Vorbereitung auf aufsichtliche Prüfungen zu setzen?

Feststellungen aus aktuellen Prüfungen von Banken und Sparkassen zu IKT-Risiken erfassen nahezu sämtliche DORA-Themen – siehe folgende Abbildung 1. Daraus abgeleitet ergeben sich direkt die vorzubereitenden und „nachzuschärfenden“ Aspekte im IKT-Risikomanagement.

Der hier dargestellte Aufwand in der Prüfungsvorbereitung ergibt sich aus dem antizipierten Fokus der aufsichtlichen Prüfung, dem Umfang der jeweiligen Anforderungsdetails und der Menge der betroffenen Bereiche innerhalb der Banken und Sparkassen. Da beim Management des IKT-Drittparteienrisiko nahezu sämtliche DORA-Themen im Institut sowie im Umgang mit dem Auslagerungsunternehmen adressiert werden, ist der Aufwand dementsprechend hoch. Umgekehrt ermöglicht diese Sichtweise eine Priorisierung der Vorbereitung auf die in der Prüfung besonders wichtigen Themenfelder.

Horn & Company setzt bei der Prüfungsvorbereitung von Banken und Sparkassen ein Assessment-Prüfraster ein, um die relevanten Aspekte zu berücksichtigen und gleichzeitig den Status Quo des jeweiligen DORA-Themas im Institut festzustellen.

Die folgende Abbildung 2 zeigt hierzu beispielhaft das Vorgehen im spezifischen Themenfeld IKT-Risikomanagementrahmen mit einem Fokus auf den Umgang mit Drittdienstleistern („Thema und Kritikalität“). Dabei werden vor allem die DOR-Strategie, das 3-Lines-of-Defense-Modell sowie die Aufsichtspflichten im Rahmen der Prüfungsvorbereitung („Prüfpunkte“) auf Basis vorliegender Dokumente und Vorgaben („typische Hinweise“) überprüft. Die Bewertung erfolgt anhand eines abgestuften Rasters, welches den Status Quo im Institut am besten beschreibt („Reifegrade“).

Grundsätzlich sind zwar sämtliche DORA-Themen umzusetzen. Kommt es jedoch im Rahmen der Prüfungsvorbereitung zu Engpässen, sind Prioritäten zu setzen: Bei Themen mit tendenziell hoher IKT-Kritikalität für das Institut und seine Prozesse (d.h. kritische Funktionen) sollten möglichst höhere Reifegrade angestrebt werden. Themen geringerer Kritikalität würden dementsprechend erst in der Folge vertieft. Durch die zielgerichtete Bewertung des Status Quo können somit potenziell schwerwiegende Mängel proaktiv behoben und die ansonsten damit verbundenen Feststellungen vorab abgeschwächt oder gar vermieden werden.

Ein wesentlicher Fokus der Prüfungen in 2026 wird das Informationsregister zu den IKT-Dienstleistern sein. Während im letzten Jahr hingenommen wurde, dass weniger als 2/3 der europäischen Finanzdienstleister solche Register eingereicht hatten, wird der diesbezügliche Anspruch der Prüfer in 2026 deutlich höher erwartet. Ein fehlendes Register dürfte zu schwerwiegenden Feststellungen führen, wie auch eine Verletzung von zu vielen automatisierten Validierungsregeln.

Dank erprobter Werkzeuge kann Horn & Company ein vollständig DORA-konformes Informationsregister innerhalb weniger Tage erfassen und Reports im XBRL-Format oder im von der BaFin bereitgestellten Excel erzeugen.

Fazit: Proaktiver Umgang mit IKT-Risiken und Implementierung unterstützender Instrumente

Kommt es – wie aufsichtlich erwartet – zu einem weiteren Anstieg an IKT-Risiken und Cyberangriffen, nimmt die Bedeutung eines modernen und passgenauen IKT-Risikomanagements weiter zu. DORA ist mehr als nur „lästige“ Regulatorik, sondern liefert eine wirksame und durchdachte Guidance, um nachhaltig digitale operative Resilienz innerhalb der Institute aufzubauen.

Banken und Sparkassen sind gefordert, proaktiv ihre Strategien, Prozesse und Regelwerke an den regulatorischen Vorgaben auszurichten und, dabei eine hohe Konformität zu den eigenen Charakteristika und dem aufsichtlichen Anforderungsniveau herzustellen. Hilfestellung können hierbei Instrumente sein, welche den Mitarbeitenden im Umgang mit den aufsichtlichen Anforderungen helfen (z.B. ein automatisiertes DORA-Informationsregister). So nimmt die Anfälligkeit potenzieller Fehler ab.

Im Rahmen der direkten Prüfungsvorbereitung kommt einem zielgerichteten und risikoorientierten Vorgehen eine hohe Bedeutung zu. Es gilt ggfs. zu priorisieren und neben Nachschärfungen von Dokumenten und Prozessen auch die betroffenen Mitarbeitenden vorzubereiten. Dabei sind der operative tägliche Umgang mit IKT-Risiken kritisch zu erfassen und in der Folge passgenaue Optimierungen anzuregen.

Horn & Company unterstützt Banken, Sparkassen und andere Finanzdienstleister regelmäßig beim Umgang mit IKT-Risiken und passgenauen DORA-Lösungen. Dabei greifen unsere Fachexperten auf einen großen Erfahrungsschatz zurück. Gern unterstützen wir auch Sie. Melden Sie sich gern bei unseren Experten.