Wer sich ernsthaft mit Informationssicherheit beschäftigt, stößt früher oder später auf eine Flut an Abkürzungen und Normenbezeichnungen: ISO 27001, ISO 27002, BSI IT-Grundschutz, NIST, COBIT, TISAX, DORA, DSGVO – und das ist nur der Anfang. Für Außenstehende wirkt dieses Regelwerk wie ein unüberschaubarer Dschungel aus Vorschriften, Empfehlungen und Zertifizierungen. Doch wer die wichtigsten Normen kennt und versteht, erkennt schnell, dass sie mehr sind als bloße Bürokratie: Sie sind Werkzeuge, die Struktur schaffen, Risiken reduzieren, Compliance sichern und Vertrauen aufbauen. Das Ziel ist immer dasselbe – Informationen schützen –, aber die Wege dorthin unterscheiden sich. Manche Normen sind international, andere national. Manche sind gesetzlich vorgeschrieben, andere freiwillig, aber in vielen Branchen de facto unverzichtbar.

Beginnen wir mit dem Klassiker: ISO/IEC 27001. Diese Norm ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Sie definiert nicht primär technische Details, sondern beschreibt, wie Organisationen ein strukturiertes, kontinuierliches Sicherheitsmanagement aufbauen. Der Clou ist ihre Flexibilität: Ob Bank, Produktionsbetrieb, Krankenhaus oder Start-up – ISO 27001 lässt sich auf jede Branche anwenden. Der Fokus liegt auf der systematischen Risikobewertung und der Auswahl angemessener Schutzmaßnahmen, dokumentiert im sogenannten Statement of Applicability. Das Zertifikat nach ISO 27001 ist in vielen Branchen ein Wettbewerbsvorteil und oft Voraussetzung, um überhaupt als Lieferant in Frage zu kommen.

In der Welt der Cybersicherheit ist es ein offenes Geheimnis: Kein Unternehmen kann sich allein verteidigen. Die Angreifer arbeiten längst nicht mehr isoliert – sie tauschen sich aus, handeln im Darknet mit Schwachstellen und Angriffswerkzeugen und nutzen koordinierte Kampagnen, um möglichst viele Ziele gleichzeitig zu treffen. Wer darauf nur mit einer isolierten Verteidigungsstrategie reagiert, läuft Gefahr, in der Informationslücke zwischen den Organisationen unterzugehen. Genau hier setzt eine der Kernideen von DORA an: den strukturierten und sicheren Informationsaustausch im Finanzsektor zu fördern. Die Botschaft dahinter ist klar – Sicherheit wird zur Gemeinschaftsaufgabe.

Der Gedanke ist so einfach wie kraftvoll: Wenn ein Unternehmen eine Bedrohung erkennt oder einen Angriff erlebt, können andere davon profitieren, diese Informationen schnell zu kennen. Ob es sich um neue Phishing-Muster, Zero-Day-Schwachstellen oder komplexe Supply-Chain-Angriffe handelt – je früher andere potenzielle Opfer gewarnt sind, desto besser können sie reagieren. DORA will diesen Austausch nicht nur ermöglichen, sondern systematisieren. Das Ziel: Angriffszeiten verkürzen, Verteidigungsmaßnahmen beschleunigen und die kollektive Widerstandsfähigkeit des gesamten Sektors steigern.

Viele Unternehmen betrachten regulatorische Vorgaben zunächst als zusätzliche Belastung. Neue Gesetze bringen neue Pflichten, mehr Dokumentation, strengere Kontrollen – und das alles kostet Zeit, Geld und Nerven. Auch beim Digital Operational Resilience Act (DORA) war die erste Reaktion in manchen Vorständen und IT-Abteilungen verhalten. „Schon wieder eine EU-Verordnung, die uns Arbeit macht“, lautete der Tenor. Doch wer DORA nur als Pflichtübung versteht, übersieht das Potenzial, das in dieser Verordnung steckt. Richtig umgesetzt, kann DORA nicht nur helfen, Risiken zu reduzieren und Compliance sicherzustellen, sondern auch zu einem echten Wettbewerbsvorteil werden. Resilienz ist in einer digitalisierten Wirtschaft nicht nur eine Frage der Sicherheit – sie ist ein entscheidender Faktor für Vertrauen, Reputation und langfristigen Erfolg.

Das beginnt mit einem Blick auf die Grundidee hinter DORA. Die Verordnung will nicht einfach nur Mindeststandards für die IT-Sicherheit festlegen, sondern die gesamte digitale Widerstandsfähigkeit von Finanzunternehmen und ihren Dienstleistern stärken. Das umfasst Risikomanagement, Vorfallsmeldung, Resilienztests, den Umgang mit Drittparteien und den Informationsaustausch im Sektor. Wer diese fünf Säulen konsequent umsetzt, ist nicht nur gesetzeskonform, sondern auch deutlich robuster gegenüber Cyberangriffen, Systemausfällen oder Lieferkettenstörungen. Diese Robustheit ist kein Selbstzweck – sie sorgt dafür, dass das Unternehmen in Krisensituationen handlungsfähig bleibt, Kundenbeziehungen stabil hält und Schäden minimiert.

Für viele Unternehmen ist das Wort „Audit“ immer noch ein Synonym für Stress, lange To-do-Listen und schlaflose Nächte. Das gilt umso mehr, wenn es um neue regulatorische Anforderungen wie DORA geht. Schließlich verlangt die EU-Verordnung nicht nur, dass Unternehmen ihre digitale Resilienz aufbauen und pflegen – sie müssen auch jederzeit nachweisen können, dass sie dies tatsächlich tun. Audits sind das zentrale Instrument, mit dem Aufsichtsbehörden überprüfen, ob Prozesse, Systeme und organisatorische Strukturen den Vorgaben entsprechen. Wer hier unvorbereitet auftritt, riskiert nicht nur negative Feststellungen, sondern auch Bußgelder, Reputationsschäden und im schlimmsten Fall Einschränkungen im Geschäftsbetrieb. Dabei kann ein DORA-Audit deutlich entspannter verlaufen, wenn Unternehmen frühzeitig die richtigen Strukturen schaffen und Auditfähigkeit als Dauerzustand begreifen, nicht als kurzfristige Projektaufgabe.

Der wichtigste Schritt zu einem souveränen Audit ist das Verständnis, was DORA überhaupt nachprüft. Die Verordnung deckt ein breites Spektrum ab: vom IKT-Risikomanagement über das Incident Reporting und Resilienztests bis hin zum Management von Drittparteien und dem Informationsaustausch im Sektor. Das bedeutet, dass Audits nicht nur technische Nachweise erfordern, sondern auch organisatorische, vertragliche und strategische Elemente betreffen. Ein Penetrationstest-Bericht mag zeigen, dass ein System sicher ist, doch wenn der dazugehörige Prozess für Schwachstellenmanagement nicht dokumentiert ist, wird der Auditor eine Lücke feststellen.

Die Digitalisierung der Finanzwelt hat in den letzten Jahren einen klaren Trend hervorgebracht: Immer mehr Leistungen werden an externe Partner ausgelagert. Cloud-Computing, spezialisierte IT-Dienstleister, externe Rechenzentren, Software-as-a-Service-Lösungen oder Managed Security Services – kaum ein Finanzunternehmen betreibt heute noch seine gesamte IT selbst. Diese Entwicklung hat enorme Vorteile: schnellere Innovation, flexiblere Skalierung, Zugang zu Spezialwissen und oft auch Kostenvorteile. Doch sie hat eine Schattenseite, die spätestens mit dem Inkrafttreten von DORA in den Mittelpunkt rückt: Die Abhängigkeit von Drittanbietern kann zur Achillesferse werden, wenn Risiken nicht konsequent gemanagt werden. DORA macht deshalb das Management von IKT-Drittparteien zu einer eigenen Säule der digitalen Resilienz – mit klaren Vorgaben, die deutlich über das hinausgehen, was bisher viele Unternehmen praktiziert haben.

Der Kern der DORA-Vorgaben ist einfach: Unternehmen bleiben auch dann vollständig verantwortlich, wenn sie kritische Funktionen an externe Partner auslagern. Es gibt kein „Das macht unser Dienstleister, darum kümmern wir uns nicht“ mehr. Vielmehr muss jedes Unternehmen sicherstellen, dass auch ausgelagerte Services den gleichen Resilienz- und Sicherheitsstandards entsprechen wie interne Leistungen. Das bedeutet, dass die Auswahl, Überwachung und vertragliche Absicherung von Drittanbietern einen zentralen Platz im Risikomanagement bekommt. Schon vor Vertragsabschluss muss geprüft werden, ob ein Anbieter die technischen, organisatorischen und finanziellen Voraussetzungen erfüllt, um die ausgelagerten Leistungen sicher und stabil zu erbringen. Diese Prüfung ist keine reine Formalität, sondern muss dokumentiert, nachvollziehbar und auf die kritischen Funktionen des Unternehmens zugeschnitten sein.