ICT-Risikomanagement ohne Chaos – Was DORA wirklich fordert

ICT-Risikomanagement ohne Chaos – Was DORA wirklich fordert

Wer DORA zum ersten Mal liest, stößt unweigerlich auf den Begriff ICT-Risikomanagement, im Deutschen meist als IKT-Risikomanagement bezeichnet. Er steht im Zentrum der gesamten Verordnung und ist weit mehr als nur eine formale Pflicht. Im Kern geht es darum, Risiken, die aus der Nutzung von Informations- und Kommunikationstechnologien entstehen, systematisch zu erkennen, zu bewerten, zu steuern und zu überwachen. Das klingt zunächst vertraut, denn Risikomanagement gehört schon lange zu den Aufgaben jedes regulierten Finanzunternehmens. Der entscheidende Unterschied unter DORA: Die Anforderungen werden einheitlich, detailliert und verbindlich für alle Marktteilnehmer definiert – und das auf einem Niveau, das deutlich über bisherige nationale Standards hinausgeht. Es reicht nicht mehr aus, einmal im Jahr eine Risikoübersicht zu erstellen oder Risiken vage zu kategorisieren. Gefordert ist ein kontinuierlicher, ganzheitlicher Ansatz, der tief in den täglichen Betrieb integriert ist.

Das beginnt bei der Definition dessen, was überhaupt als IKT-Risiko gilt. DORA macht klar, dass es sich nicht nur um klassische Cyberangriffe handelt. Auch Systemausfälle, fehlerhafte Software-Updates, Konfigurationsfehler, Datenverluste, Störungen durch Dritte oder physische Schäden an Rechenzentren fallen darunter. Selbst Risiken aus der Lieferkette, etwa durch Ausfälle eines Cloud-Anbieters oder Sicherheitslücken in genutzter Standardsoftware, müssen erfasst werden. Das Ziel ist, alle Ereignisse, die die Funktionsfähigkeit kritischer Systeme oder die Verfügbarkeit wichtiger Daten beeinträchtigen können, systematisch zu berücksichtigen. Dabei sollen nicht nur technische Aspekte betrachtet werden, sondern auch organisatorische, personelle und prozessuale Faktoren. Ein System mag technisch sicher sein, doch wenn es keine klaren Eskalationswege im Störungsfall gibt, ist das Risiko dennoch hoch.

Ein zentrales Element des DORA-konformen Risikomanagements ist die kontinuierliche Risikoidentifikation. Statt Risiken nur periodisch zu erfassen, verlangt DORA, dass neue Bedrohungen, Schwachstellen oder Abhängigkeiten laufend beobachtet und in die Risikobewertung aufgenommen werden. Das setzt voraus, dass Unternehmen über aktuelle Bedrohungsinformationen verfügen, Schwachstellenscans regelmäßig durchführen und ihre eigenen Systeme, Schnittstellen und Abhängigkeiten genau kennen. Hier verschmelzen technisches Monitoring, Threat Intelligence und organisatorische Prozesse zu einer Einheit. Wer das sauber aufsetzt, kann nicht nur schneller reagieren, sondern auch Entwicklungen frühzeitig erkennen, bevor sie zum Problem werden.

Die Bewertung von Risiken unter DORA muss nachvollziehbar und konsistent erfolgen. Es genügt nicht, Risiken grob als hoch, mittel oder niedrig einzustufen. Unternehmen müssen Kriterien definieren, anhand derer sie Eintrittswahrscheinlichkeit und Auswirkung bewerten. Diese Bewertung muss dokumentiert, regelmäßig überprüft und an Veränderungen angepasst werden. Wichtig ist dabei auch die Verbindung zum Geschäftsmodell: Ein Vorfall in einem Nebenprozess mag aus technischer Sicht schwerwiegend erscheinen, doch wenn er keine wesentlichen Geschäftsprozesse beeinträchtigt, wird er anders gewichtet als ein Risiko, das den Zahlungsverkehr oder den Handel betrifft. Umgekehrt kann ein scheinbar kleiner technischer Fehler gravierende Folgen haben, wenn er in einem kritischen Prozess auftritt.

Die Steuerung von Risiken bedeutet unter DORA, dass Unternehmen Maßnahmen ergreifen, um Risiken zu vermeiden, zu mindern, zu übertragen oder – in bestimmten Fällen – bewusst zu akzeptieren. Dabei verlangt DORA, dass die getroffenen Entscheidungen nachvollziehbar sind. Es reicht nicht, eine Firewall zu installieren oder Backups anzulegen – es muss dokumentiert werden, warum diese Maßnahmen geeignet sind, das identifizierte Risiko zu adressieren, und wie ihre Wirksamkeit überprüft wird. Das gilt auch für den Umgang mit Restrisiken: Wenn ein Unternehmen ein bestimmtes Risiko akzeptiert, muss es darlegen können, warum dies geschieht, welche Folgen kalkuliert werden und welche Alternativmaßnahmen geprüft wurden.

Ein besonderer Fokus liegt auf der Überwachung. DORA verlangt, dass das IKT-Risikomanagement kein statisches Konstrukt ist, sondern permanent kontrolliert wird. Dazu gehören kontinuierliche Überwachungssysteme, regelmäßige Berichte an das Management und unabhängige Überprüfungen durch interne oder externe Prüfer. Diese Überwachung muss sicherstellen, dass nicht nur bekannte Risiken im Blick bleiben, sondern auch neue, unerwartete Risiken erkannt werden. Gerade im dynamischen Umfeld der IT können sich Bedrohungslagen innerhalb weniger Wochen ändern, sodass starre jährliche Berichte längst nicht mehr ausreichen.

DORA legt zudem Wert auf die Verantwortung des Managements. Anders als in manchen bisherigen Regelwerken wird hier ausdrücklich betont, dass das Top-Management für das IKT-Risikomanagement verantwortlich ist und dessen Wirksamkeit sicherstellen muss. Es darf nicht an die IT-Abteilung delegiert und dann vergessen werden. Führungskräfte müssen Berichte verstehen, Entscheidungen auf Grundlage der Risikobewertung treffen und sicherstellen, dass ausreichende Ressourcen bereitgestellt werden. Das bedeutet auch, dass sie im Ernstfall Rechenschaft darüber ablegen müssen, wie Risiken gemanagt wurden und warum bestimmte Entscheidungen getroffen wurden.

Ein weiterer Aspekt, den DORA fordert, ist die Integration des IKT-Risikomanagements in andere Unternehmensprozesse. Es darf nicht isoliert als IT-Projekt geführt werden, sondern muss mit dem operativen Risikomanagement, dem Compliance-Management, der Geschäftskontinuitätsplanung und dem Auslagerungsmanagement verzahnt sein. So wird sichergestellt, dass Risiken nicht doppelt erfasst oder übersehen werden und dass Maßnahmen koordiniert umgesetzt werden. Diese Integration erleichtert auch die Berichterstattung an Aufsichtsbehörden, da alle relevanten Informationen konsistent vorliegen.

In der Praxis wird die Umsetzung dieser Anforderungen bedeuten, dass viele Unternehmen ihre bestehenden Prozesse erheblich erweitern und professionalisieren müssen. Wer bisher nur punktuelle Risikoerhebungen gemacht hat, braucht ein kontinuierliches Monitoring. Wer Risiken bisher nur technisch bewertet hat, muss auch geschäftliche Auswirkungen berücksichtigen. Wer bisher auf manuelle Prozesse gesetzt hat, wird Automatisierung und zentrale Risikomanagement-Plattformen einführen müssen. Der Aufwand ist beträchtlich, aber er zahlt sich aus: Ein funktionierendes, integriertes IKT-Risikomanagement erhöht nicht nur die regulatorische Compliance, sondern auch die tatsächliche Widerstandsfähigkeit des Unternehmens.

Am Ende ist das Ziel von DORA klar: Risiken sollen nicht nur erkannt, sondern auch in ihrer Gesamtheit verstanden und aktiv gesteuert werden. Das erfordert Disziplin, Fachwissen und eine Unternehmenskultur, die Sicherheit und Resilienz nicht als Kostenfaktor, sondern als strategische Notwendigkeit begreift. Wer das verinnerlicht, wird feststellen, dass ein robustes IKT-Risikomanagement nicht nur hilft, gesetzliche Anforderungen zu erfüllen, sondern auch im Wettbewerb einen entscheidenden Vorteil bietet. Denn in einer Welt, in der digitale Störungen jederzeit Realität werden können, ist die Fähigkeit, Risiken im Griff zu haben, letztlich die beste Versicherung gegen den Stillstand.