Die 10 häufigsten und schwerwiegendsten DORA-Feststellungen

Die 10 häufigsten und schwerwiegendsten DORA-Feststellungen der BaFin

Nach dem ersten Jahr DORA ist klar: Die europäische Regulierung verändert die IT- und Resilienzaufsicht fundamentaler als jede Vorgängerregel. Die BaFin hat in ihren ersten Auswertungen, On-site-Prüfungen und Vorfallanalysen gezeigt, wo die Institute am häufigsten scheitern – und welche Versäumnisse sie als aufsichtlich besonders schwerwiegend bewertet.

1. Governance, DOR-Strategie & Rolle des Leitungsorgans

Die größte Einzelbaustelle ist die Governance-Ebene.
Typische Defizite:

  • unklare oder widersprüchliche DOR-Strategien
  • Risikotoleranzen nicht messbar definiert
  • sfO zu generisch oder zu spät angepasst
  • Leitungsorgane informieren sich – statt zu steuern

Warum kritisch?

DORA ist ein Board-Accountability-Regime. Fehlende Governance wirkt sich auf alle anderen Bereiche unmittelbar aus: Drittparteien, kwF, BCM, SIEM, Incident-Response und Reporting.

2. Falsche oder unzureichende Definition kritischer oder wichtiger Funktionen (kwF)

Kaum ein Punkt hat so massive Auswirkungen wie eine unklare kwF-Methodik.

Typische Fehler:

  • Alles ist kritisch – oder nichts ist es.
  • kwF-Kriterien nicht dokumentiert oder nicht prozessbasiert.
  • Anwendungen, Daten und Abhängigkeiten sind nicht sauber zugeordnet.

Warum kritisch?

Die kwF-Definition bestimmt den Scope des gesamten DORA-Regimes:
Monitoring, Vertragsanforderungen, BCM, Tests, SIEM-Coverage und Meldewesen.

3. Lückenhafte Inventare & unklare Abhängigkeiten

BaFin ordnet dies als einen der schwerwiegendsten strukturellen Mängel ein.

Häufige Befunde:

  • Inventare unvollständig (Systeme, Daten, Schnittstellen, Prozesse).
  • Abhängigkeiten nicht dokumentiert (System → Dienstleister → Daten → kwF).
  • Datenqualität mangelhaft, Inkonsistenzen zwischen Registern.

Warum kritisch?

Inventare sind die Basis für Risikoanalysen, Resilienztests und Incident-Erkennung.
Ohne sie lässt sich keine Aufsichtskonformität herstellen.

4. Drittparteien-Lifecycle & unzureichende Risikoanalysen

Die meisten Institute haben zwar DORA-konforme Rahmenwerke erstellt, aber:

  • Ex-ante-Risikoanalysen sind oberflächlich oder rein formal.
  • Due-Diligence-Prüfungen beziehen Sicherheit, Recht, Geopolitik und Resilienz nicht vollständig ein.
  • Risikoanalysen der Provider werden unkritisch übernommen.
  • Vertragsmanagement ist nicht am tatsächlichen Risikoprofil ausgerichtet.

Warum kritisch?

DORA verlangt ein End-to-End-Third-Party-Risk-Management, das kontinuierlich funktioniert – nicht nur beim Vertragsabschluss.

5. Unterauftragnehmerketten: Intransparenz als strukturelles Risiko

Eines der explizit von der BaFin hervorgehobenen Probleme:

  • Unterauftragnehmerketten sind fast nie vollständig sichtbar.
  • Viele Institute kennen nur Level 1–2 der Ketten – DORA verlangt jedoch vollständige Transparenz.
  • Risiken, die aus Ebenen 3+ entstehen, bleiben unbewertet.

Warum kritisch?

Gerade bei Cloud- und Plattformbetreibern werden Unterauftragnehmerketten zu nicht erkennbaren systemischen Risiken, die Resilienz und Compliance untergraben.

6. CTPPs: Konzentrationsrisiken, Ersetzbarkeit & fehlende Exit-Pläne

Die BaFin spricht hier vom systemischen Kernrisiko:

  • Nur 10 von 19 CTPPs halten über 85 % aller relevanten Verträge.
  • 75 % dieser Leistungen unterstützen kwF.
  • Software & Cloud gelten als am schwersten ersetzbar – aber Exit-Pläne fehlen in >50 % der Fälle.
  • Wiedereingliederung ist hochkomplex (62 % der Services).

Warum kritisch?

Fehlende Exit-Strategien für kritische oder nicht substituierbare Anbieter sind aufsichtlich nicht akzeptabel. DORA schafft deshalb ein eigenes europäisches CTPP-Aufsichtsregime.

7. Schutz & Prävention: Schwachstellen, Patches und Basiskontrollen

Ein Bereich, in dem BaFin besonders viele Mängel fand:

  • Patch-Management nicht durchgängig, nicht automatisiert, Fristen werden verpasst.
  • Vulnerability-Prozesse ohne klare Priorisierung oder Tracking.
  • Netzwerksegmentierung, Verschlüsselung und Privileged-Access-Management unter Branchenstandard.
  • Drittparteien nicht ausreichend in Sicherheitsprozesse integriert.

Warum kritisch?

Dies führt zu dauerhaft offenen Angriffsflächen – gerade in hochkritischen Umgebungen (Zahlungsverkehr, Cloud, Kernbankensysteme).

8. Detection & SIEM: Erkennung, Reaktion und 24/7-Fähigkeit

Einer der schwersten operativen Mängel:

  • kwF-relevante Systeme sind oft nicht vollständig am SIEM.
  • Logdaten sind unzureichend geschützt.
  • Use-Cases sind nicht systematisch entwickelt oder getestet.
  • 24/7-Incident-Response ist lückenhaft.
  • BaFin zeigt: Cyber-Vorfälle werden Tage später erkannt (Median 14 Tage).

Warum kritisch?

Ein Institut ohne robuste Detection verliert die Fähigkeit,
Vorfallmeldungen einzuhalten, Schäden zu begrenzen und Resilienz nachzuweisen.

9. IKT-Geschäftsfortführung: BIA, RTO/RPO & Resilienztests

BaFin stellt fest:

  • BIA ist nicht mit BCM-Plänen verknüpft.
  • RTO/RPO werden in der Praxis nicht realisiert.
  • Tests sind unrealistisch, selten oder gar nicht dokumentiert.
  • Dienstleister fehlen in den Übungen.
  • Maßnahmenverfolgung ist mangelhaft.

Warum kritisch?

BCM-Defizite betreffen das Herz der DORA-Resilienzanforderungen – die Fähigkeit, auch bei Störungen weiterzuarbeiten.

10. Incident-Reporting-Qualität & Meldewesen

Auch nach dem ersten Jahr DORA bleibt das Meldewesen überlastet:

  • Von 2.250 Meldungen waren nur 805 echte Vorfälle.
  • Fehlklassifizierungen, unvollständige Daten, falsche Beträge sind häufig.
  • Aggregated-Reporting ist unverzichtbar, aber fehleranfällig.
  • Cyber-Vorfälle werden spät erkannt → verspätete Meldungen.

Warum kritisch?

DORA-Meldungen sind das Frühwarnsystem der Aufsicht.
Mangelhafte Datenqualität schwächt das gesamte europäische Resilienz-System.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert