Resilienz ist kein Zufallsprodukt. Sie entsteht nicht allein durch technische Schutzmaßnahmen oder durch das Verfassen von Notfallplänen. Wirkliche Widerstandsfähigkeit zeigt sich erst im Ernstfall – und dafür müssen Unternehmen vorbereitet sein. DORA macht deshalb unmissverständlich klar: Digitale Resilienz ist nicht nur zu planen, sondern regelmäßig und systematisch zu testen. Der Grundgedanke ist einfach: Ein Unternehmen kann nur dann sicherstellen, dass es auf IKT-Störungen, Cyberangriffe oder sonstige digitale Notlagen wirksam reagiert, wenn es diese Szenarien vorher geübt hat. Dabei geht es nicht um symbolische Trockenübungen, sondern um realistische, teilweise sehr anspruchsvolle Tests, die technische Systeme, organisatorische Abläufe und menschliches Handeln gleichermaßen prüfen.
Die Grundlage solcher Resilienztests ist eine klare Definition der kritischen Funktionen und Prozesse. Nur wenn bekannt ist, welche Systeme, Daten, Anwendungen und Kommunikationswege für den Geschäftsbetrieb unverzichtbar sind, lassen sich sinnvolle Übungsszenarien entwickeln. DORA verlangt, dass Unternehmen ihre kritischen Assets genau kennen und für diese gezielt Testpläne entwickeln. Dabei muss nicht jede Übung gleich die gesamte Organisation betreffen – manchmal sind fokussierte Tests auf einzelne Prozesse effektiver. Entscheidend ist, dass die Auswahl der Tests risikobasiert erfolgt: Je kritischer eine Funktion, desto intensiver und häufiger muss sie geprüft werden.
DORA unterscheidet verschiedene Testarten, die jeweils unterschiedliche Ziele verfolgen. Am unteren Ende der Komplexität stehen regelmäßige technische Prüfungen wie Schwachstellenscans, Konfigurationschecks oder Patch-Tests. Sie liefern wertvolle Informationen über den aktuellen Sicherheitszustand und helfen, potenzielle Probleme früh zu erkennen. Solche Tests sind oft automatisiert und können in kurzen Intervallen durchgeführt werden, was ihre Effektivität erhöht.
Darüber hinaus fordert DORA funktionale Tests, bei denen konkrete Wiederherstellungs- oder Umschaltprozesse geprobt werden. Dazu zählen etwa Failover-Übungen in redundanten Systemen, das Rückspielen von Backups oder der kontrollierte Test eines Notfallplans. Hier geht es nicht nur darum zu sehen, ob ein Plan existiert, sondern ob er in der Praxis funktioniert, wie lange die Umsetzung dauert und ob alle Beteiligten ihre Rollen kennen. Unternehmen, die solche Tests regelmäßig durchführen, entdecken oft Lücken, die im Alltag unbemerkt bleiben – zum Beispiel fehlende Zugriffsrechte im Notfall, nicht getestete Kommunikationswege oder unzureichend dokumentierte Abläufe.
Ein weiterer Baustein sind szenariobasierte Übungen, bei denen ganze Teams oder Abteilungen gemeinsam einen simulierten Vorfall bearbeiten. Diese sogenannten Tabletop-Exercises oder Planspiele setzen weniger auf technische Eingriffe, sondern auf Entscheidungsfindung, Kommunikation und Koordination. Die Teilnehmer sitzen an einem Tisch, erhalten ein realistisches Störungsszenario und müssen Schritt für Schritt entscheiden, wie sie reagieren. Der Vorteil solcher Übungen: Sie decken organisatorische Schwächen auf, die rein technische Tests nicht erfassen. So kann sichtbar werden, dass Eskalationswege unklar sind, Genehmigungen zu lange dauern oder kritische Informationen nicht rechtzeitig an die richtigen Stellen gelangen.
Besonders anspruchsvoll wird es bei den von DORA vorgesehenen Threat-Led Penetration Tests (TLPT). Hierbei versuchen erfahrene Sicherheitsexperten – oft externe, spezialisierte Dienstleister – gezielt, in die Systeme einzudringen, und zwar auf Basis realer Bedrohungsinformationen. Diese Tests sind aufwendig, weil sie detaillierte Vorbereitungen, enge Abstimmung mit Aufsichtsbehörden und die Beteiligung mehrerer Unternehmensbereiche erfordern. Dafür liefern sie die realistischsten Ergebnisse, weil sie zeigen, wie gut die Verteidigungsmechanismen einem tatsächlichen Angriff standhalten. Für bestimmte Unternehmen mit hohem Risikoprofil schreibt DORA vor, solche TLPT regelmäßig durchzuführen. Für alle anderen ist es zumindest eine empfehlenswerte Methode, um die Wirksamkeit der eigenen Schutzmaßnahmen unter realem Druck zu prüfen.
Wichtig ist, dass DORA das Testen nicht als einmalige Aktion versteht. Resilienzübungen sind Teil eines kontinuierlichen Verbesserungsprozesses. Nach jedem Test müssen die Ergebnisse systematisch ausgewertet werden. Welche Maßnahmen haben funktioniert? Wo gab es Verzögerungen? Welche Ressourcen waren nicht verfügbar? Gab es Kommunikationsprobleme? Aus diesen Erkenntnissen leitet das Unternehmen konkrete Verbesserungen ab, die in Prozesse, technische Maßnahmen und Schulungen einfließen. Anschließend werden die angepassten Prozesse erneut getestet, sodass ein geschlossener Kreislauf aus Testen, Lernen und Verbessern entsteht.
Ein oft unterschätzter Aspekt ist die Dokumentation der Tests. DORA verlangt, dass Umfang, Ablauf, Ergebnisse und Schlussfolgerungen jeder Übung nachvollziehbar festgehalten werden. Diese Dokumentation dient nicht nur als Nachweis für die Aufsichtsbehörden, sondern ist auch intern wertvoll, um Entwicklungen im Zeitverlauf zu messen. Unternehmen, die ihre Testergebnisse systematisch auswerten, erkennen frühzeitig Trends – zum Beispiel, dass bestimmte Fehler immer wieder auftreten oder dass bestimmte Teams besonders schnell reagieren.
Resilienztests sind kein reines IT-Thema. Sie betreffen das gesamte Unternehmen, vom Top-Management über die Fachabteilungen bis hin zu externen Partnern. Deshalb ist es entscheidend, die richtigen Stakeholder einzubinden. Das Top-Management muss nicht jeden Test technisch begleiten, aber es muss die strategische Bedeutung verstehen, Ressourcen bereitstellen und sicherstellen, dass Maßnahmen tatsächlich umgesetzt werden. Fachabteilungen müssen ihre Rolle im Notfall kennen und einüben, auch wenn sie nicht primär für IT zuständig sind. Und externe Dienstleister, die kritische Services erbringen, müssen vertraglich verpflichtet werden, an Tests teilzunehmen oder eigene Testnachweise zu liefern.
DORA verfolgt mit der Testpflicht ein klares Ziel: Sicherheit und Resilienz sollen keine theoretischen Versprechen bleiben, sondern im Ernstfall belastbar sein. Wer seine Organisation regelmäßig auf die Probe stellt, erhöht nicht nur die Chance, eine Krise zu überstehen, sondern baut auch Vertrauen auf – bei Kunden, Partnern und Regulierern. Am Ende sind Resilienztests keine lästige Pflicht, sondern eine Investition in Stabilität, Handlungsfähigkeit und Wettbewerbsvorteile in einer Welt, in der digitale Störungen jederzeit Realität werden können.