DORA – wie gelingt der souveräne Exit?

Kaum ein Bereich ist von Cyberattacken so sehr betroffen wie der Finanzsektor. Hier geht es nicht nur schnell um Milliardenschäden, er ist auch Teil der kritischen Infrastruktur. Mit der DORA-Verordnung möchte die EU hier nun für mehr Sicherheit sorgen. Mit teils herausfordernden Regularien, die aber gleichzeitig zu höherer Datensouveränität führen können.

Berichte über Cyberangriffe auf Banken oder Versicherungen sind leider längst zur Normalität geworden. Deshalb hat die EU die DORA-Verordnung auf den Weg gebracht, den Digital Operational Resilience Act. Damit möchte sie die Resilienz von Finanzhäusern auf dem ganzen Kontinent angleichen. Seit Januar 2025 sollen die Unternehmen etwa nachweisen, wie sie ihre Datenplattformen und andere Lösungen vor Angriffen, Systemausfällen oder den Wegfall externer Dienstleister schützen. Dazu zählen permanente Sicherheitsvorkehrungen genauso wie Reaktionspläne für den Ernstfall.

Die Datensouveränität als Kernprinzip

Im Zentrum aller DORA-Vorgaben steht die Datensouveränität. Also die Möglichkeit, jederzeit die Kontrolle über geschäftskritische Daten zu haben, ohne abhängig vom Standort, Speicherort oder von Dritten zu sein. Finanzinstitute brauchen dabei nicht nur eine Transparenz über alle genutzten Komponenten. Sie sollten bei allen Datenflüssen auch auf eine revisionssichere Dokumentation achten und vorzugsweise auf Lösungen setzen, die einen Anbieterwechsel ermöglichen. Bei der Datensouveränität geht es aber um mehr als technische Aspekte. Themen wie Compliance, Wettbewerbsfähigkeit und die Unabhängigkeit von Anbietern gehören ebenso dazu. Und um diese Souveränität zu erreichen, beinhaltet DORA verschiedene Vorgaben. Besonders anspruchsvoll sind dabei belastbare Exit-Strategien.

Die Rolle der Drittanbieter

DORA bezieht nicht nur die Finanzunternehmen selbst ein, sondern auch externe IT-Partner. Um den Wegfall oder Wechsel eines Dienstleisters zu kompensieren, legt DORA einen besonderen Fokus auf Exit-Strategien. Jedes Finanzunternehmen soll nachweisen, dass kritische Dienste stets zu einem anderen Anbieter übergehen können. Und das nicht nur als Gedankenspiel, die Pläne sollen regelmäßig getestet und angepasst werden. In der Praxis wird dies oft zu einer Herausforderung. Ein reibungsloser Anbieterwechsel setzt schließlich voraus, dass die Daten vollständig dokumentiert sind, in offenen Formaten vorliegen und die Systeme interoperabel sind. Unvollständige Dokumentationen, ausbleibende Migrationstests oder proprietäre Software werden dagegen schnell zum Stolperstein. Und wer das Thema vernachlässigt, setzt im Extremfall die Handlungsfähigkeit des Unternehmens aufs Spiel.

Cloud, on-prem und der richtige Mix

Auch die Infrastruktur muss bei DORA mitgedacht werden. Zwar verdrängt die Verordnung Cloud-Dienste nicht, strafft aber die Anforderungen. Viele Unternehmen entschieden sich zuletzt deshalb für Multi-Cloud-Modelle. So lassen sich Abhängigkeiten verringern und die Vorgaben zur Portabilität erfüllen. Aber auch On-Prem-Infrastrukturen sind noch längst kein alter Hut: Wo besonders sensible Daten zum Einsatz kommen und kein Weg an der Kontrolle vor Ort vorbeiführt, bleibt das lokale Rechenzentrum die erste Wahl. Das Ergebnis ist eine immer komplexere IT-Landschaft, in der Cloud und On-Premise parallel im Einsatz sind und miteinander harmonieren müssen. Wer diese Flexibilität nicht von Beginn an berücksichtigt, baut womöglich neue Abhängigkeiten auf, die mit DORA eigentlich beendet werden sollten.

Mit Open Source zur Souveränität

Ein zentraler Hebel auf dem Weg zur regulatorischen Resilienz ist der Einsatz von Open Source-Technologien. Sie ermöglichen Transparenz, Anpassbarkeit und Interoperabilität – allesamt Voraussetzungen, die DORA ausdrücklich verlangt. Entscheidend ist jedoch, dass Open Source nicht als unkontrollierte Ansammlung von Software verstanden wird, sondern als professionell gepflegtes System mit klarer Governance. Vernachlässigte Komponenten können ebenso riskant sein wie veraltete proprietäre Lösungen. Wer auf modulare, offene Datenplattformen setzt, gewinnt nicht nur an Flexibilität, sondern die Kontrolle über die Software-Lieferkette. Wir von Stackable setzen bei unserer Data Platform etwa auf eine quelloffene Architektur, die sowohl in der Cloud als auch On-Premise ohne Codeänderungen funktioniert und deren gesamte Supply Chain aus etablierten Komponenten nachvollziehbar ist.

Mit solchen Lösungen lassen sich Exit-Szenarien auch im laufenden Betrieb realistisch nachstellen. Durch die Kombination aus Vernetzbarkeit, Datenübertragung und dokumentierter Infrastruktur können Finanzunternehmen Exit-Tests durchführen, die nicht nur den DORA-Vorgaben genügen, sondern im Ernstfall auch handlungsfähig halten. Technologien wie GitOps unterstützen zusätzlich, indem sie Infrastruktur als Code abbilden und Migrationsprozesse reproduzierbar machen – ein entscheidender Punkt gegenüber Aufsichtsbehörden. Wer diese Themen beachtet, zieht den größten Nutzen aus DORA. Dann werden die Vorgaben nicht zur Last, sondern zum Vorteil: Mit modularen, offenen Datenplattformen erreichen Unternehmen nicht nur Compliance, sondern gewinnen auch an Flexibilität – sie können identische Workloads je nach Bedarf im eigenen Rechenzentrum oder bei einem Hyperscaler betreiben.

Zeit für kritische Fragen

Für die Verantwortlichen in den Häusern ist jetzt die Zeit für eine schonungslose Bestandsaufnahme. Wie portabel sind die Daten tatsächlich, wie stabil laufen Migrationen ab und sind die Systeme offen genug gestaltet, um im Ernstfall schnell umschalten zu können? Wie steht es um die Dokumentation, hat sie regulatorischen Bestand? Wer diese Fragen frühzeitig beantwortet, verschafft sich mehr als nur Rechtssicherheit. DORA wird dann nicht zur bürokratischen Last, sondern zum Impuls, die eigene Infrastruktur robuster, unabhängiger und zukunftsfähiger aufzustellen. Denn wer souverän über seine Daten verfügt, kontrolliert nicht nur Risiken, sondern auch seine Zukunft.

Ein Gastbeitrag von Sönke Liebau, Mitgründer und CPO von Stackable