Digitale Resilienz im Finanzsektor : Souverän im Ernstfall – woran es bei Dora noch hakt
Eine lückenlose Dokumentation von Notfall- und Wiederherstellungsplänen sagt wenig darüber aus, ob ein Finanzunternehmen im Störfall tatsächlich handlungsfähig bleibt. Aber Handlungsfähigkeit wird unter Dora zum Maßstab, warnt Peter Hertlein. Eine Studie von KPMG und Lünendonk zeigt, wo der Finanzsektor steht und warum operative Souveränität zur eigentlichen Prüfgröße wird.
Lernen Sie den Tagesspiegel Background kennen
Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.
Mit bestehendem Konto anmelden
Mit dem Digital Operational Resilience Act (Dora) prüfen die Aufsichtsbehörden seit 2025 nicht mehr nur, ob Notfallprozesse beschrieben sind, sondern ob sie im Ernstfall standhalten. Operative Souveränität beschreibt genau diese Fähigkeit: auch dann zu steuern und zu entscheiden, wenn ein zentrales System ausfällt oder ein Anbieter nicht liefert.
Wie groß der Abstand zwischen Anspruch und Praxis ist, zeigt die Studie „Digitale Resilienz im Finanzsektor“ von KPMG und Lünendonk, für die rund 100 Banken, Versicherer und IT-Dienstleister befragt wurden. Etwa 80 Prozent bewerten ihren Reifegrad bei der digitalen Resilienz als hoch. Doch sobald es um die operative Erprobung geht, kippt das Bild – nur 56 Prozent spielen einen Ausfall einmal von Anfang bis Ende durch. Zwischen dem Gefühl, gut aufgestellt zu sein, und dem Beweis, es im Ernstfall auch zu sein, klafft also eine Lücke. Drei Stellschrauben sind entscheidend, damit aus formaler Pflichterfüllung gelebte Umsetzung wird: belastbare technische Grundlagen, Transparenz über die eigenen Abhängigkeiten samt erprobter Alternativen und eine bereichsübergreifende Erprobung.
Cyberhygiene zuerst: Backup und Recovery
Den Ausgangspunkt für eine robuste Resilienz bilden die technischen Grundlagen. Hier sind die Institute bereits am weitesten. Präventive Schutzmaßnahmen sind nahezu flächendeckend etabliert, Cyber Security und Business Continuity bilden den größten Investitionsschwerpunkt. Entscheidend sind sichere Backups an einem geografisch getrennten, sicheren Ort und Recovery-Prozesse, die regelmäßig trainiert werden.
Der Fokus lag jedoch lange auf der Existenz der Backups, nicht aber darauf, ob sie sich im Notfall in akzeptabler Zeit wiederherstellen lassen. Diese Frage hat keine rein technische, sondern eine geschäftskritische Dimension. Ein Ausweichstandort bedeutet heute zudem, geografisch unabhängig zu sein von Sanktionen, Exportkontrollen oder regionalen Ausfällen.
Sicht auf die Kette: Abhängigkeiten kennen und steuern
Die größte Schwachstelle im Finanzsektor betrifft derzeit die Transparenz. 61 Prozent der Befragten sehen ein Risiko in ihrer Abhängigkeit von einzelnen Dienstleistern, doch ein ganzheitliches Bild der Wertschöpfungskette fehlt vielerorts. Das Auslagerungsmanagement ist nur bei acht Prozent in die Drittanbietersteuerung eingebunden, und die Daten liegen verteilt in unterschiedlichen Systemen und Abteilungen. Finanzunternehmen müssen wissen, welche externen IT-Dienste welche kritischen Prozesse tragen und welche Unterauftragnehmer dahinterstehen. Erst diese Transparenz macht erkennbar, wo Konzentrationsrisiken entstehen und sie ist die Voraussetzung für einen belastbaren Plan B.
Souverän ist nicht, wer keine Abhängigkeiten hat, sondern wer für den Fall der Fälle eine erprobte Alternative bereithält. Dass das machbar ist, zeigen die IT-Dienstleister selbst: 54 Prozent haben standardisierte Exit-Strategien für ihre Unterauftragnehmer vertraglich festgelegt, 85 Prozent führen ein vollständiges Verzeichnis samt Audit- und Kontrollrechten. Deshalb gehört die Frage nach Ausstiegsszenarien und Multi-Cloud-Ansätzen bereits in die Auswahl eines Dienstleisters.
Wenn die IT allein nicht reicht: Cross-funktionale Erprobung
Besonders deutlich fallen Anspruch und Praxis bei der gemeinsamen Erprobung über Bereichsgrenzen hinweg auseinander. Bereits 82 Prozent der Häuser binden ihre Dienstleister in Tests ein. Bereichsübergreifend vernetzt ist diese Arbeit jedoch erst bei rund zwei Dritteln.
Wird ein kritischer Dienstleister allein durch die technische Brille betrachtet, entstehen blinde Flecken bei den regulatorischen Risiken. Wirksamer ist es, wenn Einkauf, IT-Sicherheit, Auslagerungsmanagement und Kontrollfunktionen an einem Tisch sitzen. Denn ein Systemausfall trifft nie nur die IT, sondern ebenso die Fachbereiche und die Kommunikation. Entscheidend ist, dass die Abstimmung sich im Ernstfall bewährt, nicht nur auf dem Papier.
Das verbleibende Stück des Weges
Erst im Zusammenspiel entfalten diese Maßnahmen ihre volle Wirkung. Wer seine Grundlagen beherrscht und seine Abhängigkeiten kennt, kann einen Plan B aufbauen, und wer Alternativen hat, kann den Ernstfall bereichsübergreifend üben. Dass rund jeder vierte Befragte Dora bislang nicht vollständig in sein Risikomanagement integriert hat, markiert den verbleibenden Weg. Operative Souveränität ist deshalb kein Compliance-Nachweis, sondern die messbare Fähigkeit, im Störfall entscheidungsfähig zu bleiben.
Peter Hertlein arbeitet im Bereich Financial Services bei KPMG und ist Experte für IT-Compliance, Digital Resilience und die Umsetzung des EU AI Acts.
Lernen Sie den Tagesspiegel Background kennen
Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.
Mit bestehendem Konto anmelden