--- title: Finanzdienstleister date: 2026-04-23T16:04:00+02:00 author: Hannes Heckel canonical_url: "https://www.fast-lta.de//de/branchen/finanzdienstleister" section: Verticals Pages --- DORA, GwG, PSD3 und Solvency II # Datensicherung und Archivierung für Finanzdienstleister Banken, Versicherungen, Zahlungsdienstleister und Asset Manager teilen eine gemeinsame Compliance-Last: Daten müssen nicht nur sicher sein — sie müssen nachweisbar unveränderbar, vollständig und jederzeit prüfbar vorliegen. Gegenüber BaFin, Staatsanwaltschaft und Wirtschaftsprüfern. ![Fast lta illustration 1773671060117 | FAST LTA](https://fast-lta.transforms.svdcdn.com/production/images/fast-lta-illustration-1773671060117.png?w=960&q=80&auto=format%2Cavif&fit=crop&dm=1776957579&s=ce40b5a67712ede42557321d7bbc7ec6) ## DORA ist seit Januar 2025 verbindlich. Und Backup ist jetzt regulierter Kern. Der Digital Operational Resilience Act (EU 2022/2554) ist kein Rahmenwerk für Großbanken. Er gilt für nahezu alle regulierten Finanzmarktteilnehmer: Kreditinstitute, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Asset Manager — und, mit gestuften Anforderungen, auch für Sparkassen und Genossenschaftsbanken. Artikel 9 verpflichtet zur nachweisbaren Umsetzung von IKT-Risikomanagement. Artikel 12 macht Backup-Systeme explizit zum Gegenstand regulatorischer Prüfung. Das entscheidende Wort in DORA Art. 12 ist nicht "Backup" — es ist "nachweisbar". Backup-Systeme müssen dokumentiert, geprüft und in ihrer Integrität belegbar sein. Eine policyseitige Konfiguration, die ein Administrator deaktivieren könnte, reicht dafür nicht aus. Revisoren und Aufsichtsbehörden verlangen technische Evidenz — keine Prozessbeschreibungen. ## **Was DORA Art. 12 konkret bedeutet** DORA Artikel 12 fordert, dass Finanzunternehmen IKT-bezogene Backup-Systeme einrichten, die: - **isoliert** sind — logisch oder physisch getrennt vom primären Produktionsnetz, - **integer** sind — Backup-Daten dürfen nicht durch denselben Angriff kompromittiert werden, der die Primärsysteme trifft, - **nachweislich wiederherstellbar** sind — Wiederherstellungsprozesse müssen regelmäßig getestet und dokumentiert sein. Eine softwarebasierte Netzwerktrennung ("logical air gap") erfüllt diese Anforderung nur eingeschränkt: Sie besteht solange, wie die Konfiguration korrekt ist und kein Angreifer ausreichende Rechte erlangt. Die BaFin hat in ihren BAIT-Hinweisen (AT 7.3 Auslagerungen) explizit auf die Schwachstellen rein logischer Trennungen hingewiesen. Ein physischer Air Gap — Netzwerktrennung auf Hardware-Ebene, die nach jedem Backup-Job automatisch aktiviert wird — bietet das, was DORA Art. 12 meint, wenn es "Isolierung" fordert: eine Trennung, die keine Software, kein Angreifer und kein kompromittiertes Konto aufheben kann. ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### IT-Resilienz IT-Resilienz ist die Fähigkeit einer IT-Infrastruktur, unter widrigen Bedingungen — von Cyberangriffen über Hardwareausfälle bis zu Naturkatastrophen — funktionsfähig zu bleiben oder die Funktionsfähigkeit in definierter Zeit wiederherzustellen, sodass kritische Geschäftsprozesse aufrechterhalten werden. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/it-resilienz) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### Das Silent Brick System. Physischer Air Gap für DORA Art. 12. Das Silent Brick System realisiert Netzwerktrennung nicht durch Firewall-Regeln oder Softwarekonfiguration, sondern durch Hardware. **Silent Brick Pro** und **Silent Brick Max Air** trennen die Netzwerkverbindung nach Abschluss des Backup-Jobs auf Geräteebene — mechanisch, nicht logisch. Während der Trennungsphase ist das System für kein Gerät im Netzwerk erreichbar, unabhängig davon, welche Zugriffsrechte ein Nutzer oder ein Angreifer besitzt. **Für die DORA-Compliance bedeutet das:** - Die Isolierung ist eine physikalische Eigenschaft, kein Konfigurationsparameter - Backup-Daten können durch einen Ransomware-Angriff auf die Produktionsumgebung nicht erreicht werden - Die Trennung ist protokollierbar und damit auditierbar — ein lückenloser Nachweis für Art. 12-Prüfungen Das Silent Brick System ist kompatibel mit Veeam, Commvault und Acronis. Es fügt sich damit in bestehende Backup-Architekturen ein, ohne Prozesse oder Lizenzen zu ersetzen. Die Klassifizierung als KRITIS-geeignet und BSI-konform erleichtert den Nachweis gegenüber der BaFin und bei internen Revisionen. ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### KRITIS KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/kritis) ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) [Mehr erfahren ](https://www.fast-lta.de//de/produkte/silent-brick-system "Mehr erfahren") ![X60802x SBMA1x SBP frontal2x Air Gap | FAST LTA](https://fast-lta.transforms.svdcdn.com/production/images/fast/X60802xSBMA1xSBP-frontal2xAirGap.jpg?w=960&q=80&auto=format%2Cavif&fit=crop&dm=1772468089&s=648f39bb328f5d8c494ebe5e2dcba9bb) --- ### PSD3: Zah­lungs­ver­kehr unter ver­schärf­ter Auf­zeich­nungs­pflicht [\#](#psd3-zahlungsverkehr-unter-versch%C3%A4rfter-aufzeichnungspflicht "PSD3: Zahlungsverkehr unter verschärfter Aufzeichnungspflicht") Die über­ar­bei­te­te Zah­lungs­diens­te-Richt­li­nie (PSD3, der­zeit im EU-Gesetz­ge­bungs­ver­fah­ren) und die par­al­lel ver­ab­schie­de­te Pay­ment Ser­vices Regu­la­ti­on (PSR) ver­schär­fen die Anfor­de­run­gen an Zah­lungs­dienst­leis­ter in meh­re­ren Dimensionen: **Streit­fall­ma­nage­ment und Beweis­last.** PSD3 stärkt die Rech­te von Zah­lern bei nicht auto­ri­sier­ten Trans­ak­tio­nen und ver­schiebt in bestimm­ten Fäl­len die Beweis­last auf den Zah­lungs­dienst­leis­ter. Wer bei einer Kun­den­be­schwer­de nicht lücken­los nach­wei­sen kann, dass eine Trans­ak­ti­on auto­ri­siert wur­de — mit voll­stän­di­gen Logs, unver­än­der­tem Zeit­stem­pel und Authen­ti­fi­zie­rungs­nach­weis — steht in der Haf­tung. Die­se Nach­wei­se müs­sen über den gesam­ten gesetz­li­chen Auf­be­wah­rungs­zeit­raum unver­än­der­bar vorliegen. **Fraud-Daten und Mel­de­pflich­ten.** PSR Art. 83 ver­pflich­tet Zah­lungs­dienst­leis­ter zur Über­mitt­lung von Betrugs­da­ten an die zustän­di­gen Behör­den. Die dafür erfor­der­li­chen Trans­ak­ti­ons­da­ten und Authen­ti­fi­zie­rungs­pro­to­kol­le müs­sen nach­weis­lich inte­ger sein — eine soft­ware­ba­sier­te Archi­vie­rung, die im Nach­hin­ein modi­fi­zier­bar ist, genügt den Anfor­de­run­gen an Beweis­mit­tel­qua­li­tät nicht. **Star­ke Kun­den­au­then­ti­fi­zie­rung (SCA).** Authen­ti­fi­zie­rungs­pro­to­kol­le nach PSD3/PSR müs­sen so archi­viert wer­den, dass im Streit­fall der voll­stän­di­ge SCA-Nach­weis repro­du­zier­bar ist. Feh­len­de oder nach­träg­lich ver­än­der­te Authen­ti­fi­zie­rungs­logs sind in Auf­sichts- und Gerichts­ver­fah­ren nicht verwertbar. Silent Cubes archi­vie­ren Trans­ak­ti­ons­da­ten, Authen­ti­fi­zie­rungs­logs und Streit­fall­do­ku­men­ta­ti­on auf Hard­ware-WORM — ohne Mög­lich­keit nach­träg­li­cher Ver­än­de­rung durch inter­ne oder exter­ne Akteu­re. Jeder Daten­satz trägt einen unver­än­der­li­chen Zeit­stem­pel und ist voll­stän­dig auditierbar. > ⚠️ *Hin­weis: PSD3/PSR befin­den sich zum Zeit­punkt die­ser Ver­öf­fent­li­chung im fina­len Gesetz­ge­bungs­ver­fah­ren. Die genau­en Umset­zungs­fris­ten für natio­na­le Gesetz­ge­ber ste­hen noch nicht end­gül­tig fest. Die hier beschrie­be­nen Anfor­de­run­gen basie­ren auf dem aktu­el­len Ver­hand­lungs­stand. Eine Rechts­be­ra­tung ist für insti­tuts­spe­zi­fi­sche Fra­gen empfohlen.* --- ### GwG / AML: Geld­wä­sche-Com­pli­ance erfor­dert unver­än­der­ba­re Auf­zeich­nun­gen [\#](#gwg-aml-geldw%C3%A4sche-compliance-erfordert-unver%C3%A4nderbare-aufzeichnungen "GwG / AML: Geldwäsche-Compliance erfordert unveränderbare Aufzeichnungen") Das Geld­wä­sche­ge­setz (GwG) in sei­ner aktu­el­len Fas­sung sowie die EU Anti-Money-Laun­de­ring-Ver­ord­nung (AMLA-Ver­ord­nung, in Kraft seit 2024, schritt­wei­se Anwen­dung ab 2027) stel­len Finanz­dienst­leis­ter vor spe­zi­fi­sche Datenarchivierungs-Anforderungen: **Auf­be­wah­rungs­pflicht nach § 8 GwG.** Ver­pflich­te­te nach GwG — dar­un­ter Kre­dit­in­sti­tu­te, Ver­si­che­run­gen, Finanz­dienst­leis­ter, Fac­to­ring-Unter­neh­men und Lea­sing­ge­sell­schaf­ten — müs­sen Unter­la­gen über Sorg­falts­pflich­ten und Trans­ak­tio­nen **min­des­tens 5 Jah­re** auf­be­wah­ren. Die Frist beginnt mit dem Ende der Geschäfts­be­zie­hung oder dem Datum der Trans­ak­ti­on. Die Auf­zeich­nun­gen müs­sen voll­stän­dig, les­bar und gegen­über Straf­ver­fol­gungs­be­hör­den und der FIU (Finan­cial Intel­li­gence Unit) unver­züg­lich abruf­bar sein. **Unver­än­der­lich­keit als Beweis­mit­tel­vor­aus­set­zung.** GwG-Unter­la­gen die­nen im Ernst­fall als Beweis­mit­tel in Straf­ver­fah­ren. Unter­la­gen, bei denen eine nach­träg­li­che Mani­pu­la­ti­on tech­nisch mög­lich ist, wer­den von Staats­an­walt­schaf­ten und Gerich­ten in Fra­ge gestellt. Hard­ware-WORM ist der ein­zi­ge Spei­cher­me­cha­nis­mus, der eine tech­ni­sche Unma­ni­pu­lier­bar­keit auf phy­si­ka­li­scher Ebe­ne garan­tiert — unab­hän­gig von Zugriffs­rech­ten, Soft­ware­ver­sio­nen oder admi­nis­tra­ti­ven Eingriffen. **Know Your Cus­to­mer (KYC) und Cus­to­mer Due Dili­gence (CDD).** Iden­ti­fi­ka­ti­ons­da­ten, Legi­ti­ma­ti­ons­prü­fun­gen, wirt­schaft­lich Berech­tig­te — all die­se KYC-Unter­la­gen unter­lie­gen der GwG-Auf­be­wah­rungs­pflicht. Da die­se Daten in der Regel per­so­nen­be­zo­ge­ne Infor­ma­tio­nen ent­hal­ten, müs­sen sie gleich­zei­tig DSGVO-kon­form ver­ar­bei­tet und gesi­chert wer­den: On-Pre­mi­se-Betrieb ohne Cloud-Trans­fer schließt die regu­la­to­ri­sche Grau­zo­ne zwi­schen GwG-Auf­be­wah­rungs­pflicht und DSGVO-Datensparsamkeitsprinzip. **EU AMLA-Ver­ord­nung (ab 2027).** Die neue EU-Geld­wä­sche­be­hör­de (AMLA) erhält direk­te Auf­sichts­be­fug­nis­se über bestimm­te Hoch­ri­si­ko-Insti­tu­te und wird eige­ne Doku­men­ta­ti­ons­an­for­de­run­gen stel­len. Insti­tu­tio­nen, die heu­te auf unver­än­der­li­che, prüf­ba­re Archiv­struk­tu­ren set­zen, redu­zie­ren den Anpas­sungs­auf­wand bei AMLA-Prü­fun­gen erheblich. Silent Cubes erfül­len die GwG-Auf­be­wah­rungs­pflicht tech­nisch: 5‑Jah­res-Reten­ti­on beim Ein­schrei­ben kon­fi­gu­riert, Hard­ware-WORM ohne Admi­nis­tra­tor­zu­griff, voll­stän­di­ges Audit-Log über jeden Lese­zu­griff. Kein Cloud-Trans­fer — KYC-Daten ver­las­sen die eige­ne Infra­struk­tur nicht. --- ### Daten­re­ten­ti­on & Gover­nan­ce: Wenn Auf­be­wah­rung selbst zum Risi­ko wird [\#](#datenretention-governance-wenn-aufbewahrung-selbst-zum-risiko-wird "Datenretention & Governance: Wenn Aufbewahrung selbst zum Risiko wird") Finanz­dienst­leis­ter ste­hen vor einer regu­la­to­ri­schen Zwick­müh­le: Zu kur­ze Auf­be­wah­rung ver­letzt Com­pli­ance-Pflich­ten. Zu lan­ge Auf­be­wah­rung ver­stößt gegen DSGVO-Daten­spar­sam­keit. Feh­len­de Gover­nan­ce macht bei­de Risi­ken unkontrollierbar. **Das Reten­ti­on-Gover­nan­ce-Pro­blem in der Praxis:** Typi­sche Finanz­in­sti­tu­tio­nen ver­wal­ten Dut­zen­de ver­schie­de­ner Daten­ka­te­go­rien mit unter­schied­li­chen Auf­be­wah­rungs­fris­ten: GwG-Unter­la­gen (5 Jah­re), WpHG-Trans­ak­ti­ons­da­ten (5 Jah­re nach § 83 WpHG), GoBD-rele­van­te Buch­hal­tungs­un­ter­la­gen (10 Jah­re nach AO § 147), Han­dels­un­ter­la­gen (6 – 10 Jah­re nach HGB § 257), Kre­dit­ak­ten (varia­ble Fris­ten nach MaRisk), Ver­si­che­rungs­po­li­cen und Scha­dens­ak­ten (je nach Pro­dukt). Jede Kate­go­rie hat eige­ne Start­zeit­punk­te, Lösch­pflich­ten und Zugriffsbeschränkungen. **Tech­ni­sche Kon­se­quenz:** Ein Archi­vie­rungs­sys­tem, das die­se Anfor­de­run­gen erfüllt, muss Reten­ti­on-Fris­ten pro Daten­satz kon­fi­gu­rier­bar und erzwing­bar machen — nicht als Poli­cy-Ein­stel­lung, son­dern als phy­si­ka­li­sche Eigen­schaft. Silent Cubes erlau­ben es, für jeden ein­ge­schrie­be­nen Daten­satz eine indi­vi­du­el­le Reten­ti­on-Peri­ode zu set­zen, die weder durch Admi­nis­tra­to­ren noch durch Soft­ware­feh­ler über­schrie­ben wer­den kann. Nach Ablauf der Frist ist eine geord­ne­te Löschung mög­lich — ein wesent­li­ches Ele­ment der DSGVO-Compliance. **Audit Trail als Gover­nan­ce-Werk­zeug.** Jeder Zugriff auf archi­vier­te Daten wird lücken­los pro­to­kol­liert: wer hat wel­che Datei wann auf­ge­ru­fen, wel­che Expor­te wur­den durch­ge­führt, wel­che Sys­te­me haben auf wel­che Daten­sät­ze zuge­grif­fen. Die­ser Audit Trail ist für Daten­schutz­fol­ge­ab­schät­zun­gen (DPIA nach DSGVO Art. 35), für inter­ne Com­pli­ance-Reviews und für behörd­li­che Prü­fun­gen unverzichtbar. --- ### Betrug & Streit­fäl­le: Archi­vie­rung als recht­li­che Ver­tei­di­gungs­li­nie [\#](#betrug-streitf%C3%A4lle-archivierung-als-rechtliche-verteidigungslinie "Betrug & Streitfälle: Archivierung als rechtliche Verteidigungslinie") Im Streit­fall zwi­schen Finanz­in­sti­tut und Kun­de — oder zwi­schen Finanz­in­sti­tut und Regu­lie­rungs­be­hör­de — ent­schei­det die Qua­li­tät der Doku­men­ta­ti­on. Digi­ta­le Auf­zeich­nun­gen, bei denen eine Mani­pu­la­ti­on tech­nisch mög­lich ist, sind vor Gericht angreifbar. **Trans­ak­ti­ons­ar­chi­vie­rung für Fraud-Fäl­le.** Wenn ein Kun­de eine Trans­ak­ti­on bestrei­tet, muss das Insti­tut bewei­sen, dass die Trans­ak­ti­on auto­ri­siert wur­de. Dazu gehö­ren: Trans­ak­ti­ons­da­ten mit unver­än­der­li­chem Zeit­stem­pel, Authen­ti­fi­zie­rungs­pro­to­kol­le (SCA, OTP, Bio­me­trie-Logs), IP-Adres­sen und Ses­si­on-Daten, ggf. Call-Cen­ter-Recor­dings und Chat-Pro­to­kol­le. All die­se Daten müs­sen in beweis­mit­tel­taug­li­cher Qua­li­tät vor­lie­gen — mani­pu­la­ti­ons­si­cher und mit lücken­lo­sem Chain-of-Custody-Nachweis. **Char­ge­back- und Dis­pu­te-Ver­fah­ren.** Zah­lungs­netz­wer­ke (Visa, Mas­ter­card) und Acqui­rer ver­lan­gen im Dis­pu­te-Ver­fah­ren inner­halb enger Fris­ten voll­stän­di­ge Trans­ak­ti­ons­nach­wei­se. Sind die­se nicht sofort abruf­bar oder fehlt der Unver­än­der­lich­keits­nach­weis, ver­liert das Insti­tut auto­ma­tisch den Streit­fall — unab­hän­gig von der sach­li­chen Berechtigung. **Regu­la­to­ri­sche Sank­ti­ons­ver­fah­ren.** BaFin-Ver­fah­ren, EBA-Prü­fun­gen und natio­na­le Straf­ver­fol­gung set­zen vor­aus, dass vor­ge­leg­te Unter­la­gen nicht nach­träg­lich ver­än­dert wur­den. Ein Hard­ware-WORM-Archiv lie­fert die­sen Nach­weis auf phy­si­ka­li­scher Ebe­ne — nicht als Erklä­rung, son­dern als tech­ni­sche Eigen­schaft des Speichermediums. Silent Cubes und das Silent Brick Sys­tem spei­chern alle rele­van­ten Daten­sät­ze mit unver­än­der­li­chem Zeit­stem­pel, Hard­ware-WORM-Schutz und voll­stän­di­gem Audit-Log. Der Nach­weis der Unver­än­dert­heit ist für jeden Daten­satz ein­zeln abruf­bar — ein ent­schei­den­der Vor­teil gegen­über soft­ware­ba­sier­ten Archiv­lö­sun­gen, bei denen Unver­än­der­lich­keit ledig­lich kon­fi­gu­riert, nicht aber phy­si­ka­lisch garan­tiert ist. ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### GoBD Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ![SCDS HU Pro HWWORM | FAST LTA](https://fast-lta.transforms.svdcdn.com/production/images/fast/SCDS-HUProHWWORM.jpg?w=960&q=80&auto=format%2Cavif&fit=crop&dm=1772121892&s=9e9f51c50282d0054642755ea718461b) ## Silent Cubes. Revisionssicheres Archiv für GoBD, HGB, GwG und DSGVO. Neben den DORA-Anforderungen an Backup-Systeme bleibt die langfristige Pflichtarchivierung eine eigenständige Compliance-Dimension: - **HGB §§ 238, 257** und **GoBD**: Handelsbücher, Jahresabschlüsse, Buchungsbelege — 10 Jahre, unveränderbar - **AO § 147**: Steuerrelevante Unterlagen — 10 Jahre - **GwG § 8**: KYC-Unterlagen, Sorgfaltspflichten, Transaktionsdokumentation — 5 Jahre - **WpHG § 83**: Aufzeichnungen über Wertpapierdienstleistungen — 5 Jahre - **MaRisk**: Aufbewahrung von Risikoberichten, Kreditakten, Handelsunterlagen mit vollständigem Audit Trail - **DSGVO Art. 5 (1) e, Art. 32**: Integrität personenbezogener Daten während der gesamten Aufbewahrungsfrist Silent Cubes erzwingen Unveränderlichkeit auf der einzigen Ebene, die keine Software aushebeln kann: dem Hardware-Controller. Kein Administrator, kein Ransomware-Angriff und kein privilegiertes Dienstkonto kann einen einmal gespeicherten Datensatz verändern oder vorzeitig löschen. Die Retentionsfrist wird beim Einschreiben konfiguriert — für 10 Jahre bei GoBD-relevantem Material, für 5 Jahre bei GwG-Unterlagen, für jahrzehntelange Aufbewahrung bei Versicherungsschadensakten. Für Wirtschaftsprüfer, Aufsichtsbehörden und Staatsanwaltschaften ist der Unterschied zu softwarebasierter Archivierung kein theoretischer: Hardware-WORM ist eine physikalische Eigenschaft. Software-WORM ist eine Richtlinie, die jemand einhalten kann oder nicht. ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) ### GoBD Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### GoBD Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) --- ### Ver­si­che­run­gen: Eige­ne Regu­lie­rung, die­sel­be Infra­struk­tur [\#](#versicherungen-eigene-regulierung-dieselbe-infrastruktur "Versicherungen: Eigene Regulierung, dieselbe Infrastruktur") Ver­si­che­rungs­un­ter­neh­men unter­lie­gen einem eigen­stän­di­gen Regu­lie­rungs­rah­men — mit spe­zi­fi­schen Anfor­de­run­gen, die über DORA und GoBD hinausgehen. **Sol­ven­cy II (EU-Richt­li­nie 2009/138/EG, lau­fend aktua­li­siert).** Das Säu­len­mo­dell von Sol­ven­cy II schreibt in Säu­le II (Gover­nan­ce) und Säu­le III (Berichts­pflich­ten) umfang­rei­che Doku­men­ta­ti­ons- und Auf­be­wah­rungs­pflich­ten vor. ORSA-Berich­te (Own Risk and Sol­ven­cy Assess­ment), Risi­ko­ma­nage­ment­do­ku­men­te, Kapi­tal­mo­del­le und Gover­nan­ce-Pro­to­kol­le müs­sen revi­si­ons­si­cher archi­viert und für BaFin-Prü­fun­gen jeder­zeit ver­füg­bar sein. **VAG (Ver­si­che­rungs­auf­sichts­ge­setz).** § 23 ff. VAG ver­pflich­tet Ver­si­che­rungs­un­ter­neh­men zur ord­nungs­ge­mä­ßen Geschäfts­or­ga­ni­sa­ti­on, ein­schließ­lich des Risi­ko­ma­nage­ments und der inter­nen Kon­trol­le. Unter­la­gen, die die Ein­hal­tung die­ser Anfor­de­run­gen bele­gen — inter­ne Audits, Com­pli­ance-Berich­te, Vor­stands- und Auf­sichts­rats­pro­to­kol­le — müs­sen so archi­viert sein, dass ihre Authen­ti­zi­tät im Prü­fungs­fall belegt wer­den kann. **IDD (Insu­rance Dis­tri­bu­ti­on Direc­ti­ve, EU 2016⁄97 / VVG § 61 ff.).** Die Ver­si­che­rungs­ver­triebs­richt­li­nie schreibt vor, dass Bera­tungs­pro­to­kol­le, Geeig­ne­t­heits­do­ku­men­ta­tio­nen und Ver­trags­do­ku­men­te nach­weis­bar voll­stän­dig und unver­än­der­bar auf­be­wahrt wer­den. Im Streit­fall über eine Falsch­be­ra­tung ist das Insti­tut beweis­pflich­tig — mit nach­weis­bar unver­än­der­ten Ori­gi­nal­do­ku­men­ten aus dem Beratungsgespräch. **Scha­dens­ak­ten und Rück­ver­si­che­rung.** Scha­dens­ak­ten bei Lebens- und Unfall­ver­si­che­run­gen kön­nen Auf­be­wah­rungs­fris­ten von 30 Jah­ren und mehr erfor­dern (ins­be­son­de­re bei Berufs­un­fä­hig­keit, Haft­pflicht und Unfall­pro­duk­ten). Rück­ver­si­che­rungs­ver­trä­ge und ‑abrech­nun­gen unter­lie­gen ihrer­seits han­dels- und steu­er­recht­li­chen Fris­ten. Silent Cubes sind für genau die­se Anfor­de­rung aus­ge­legt: Long-Term-Reten­ti­on mit kon­fi­gu­rier­ba­ren Fris­ten pro Daten­satz, ohne Degra­da­ti­on der Spei­cher­me­di­en über Jahrzehnte. **Kfz-Haft­pflicht und Scha­dens­prü­fung.** Gro­ße Ver­si­che­rer ver­wal­ten Mil­lio­nen von Scha­den­mel­dun­gen, Gut­ach­ten, Fotos und Kor­re­spon­denz. Die­se Daten müs­sen für Regress-Ver­fah­ren, gericht­li­che Aus­ein­an­der­set­zun­gen und inter­ne Prü­fun­gen über vie­le Jah­re ver­füg­bar und nach­weis­lich unver­än­dert blei­ben. Zugleich ent­hal­ten sie in der Regel sen­si­ti­ve per­so­nen­be­zo­ge­ne Daten — DSGVO-kon­for­me On-Pre­mi­se-Archi­vie­rung ohne Cloud-Trans­fer ist hier kei­ne Prä­fe­renz, son­dern Pflicht. ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### GoBD Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ## Silent AI. Regulatorisches Wissen ohne Cloud KI-nutzbar machen. Compliance-Teams in Banken und Versicherungen arbeiten mit einem kontinuierlich wachsenden Regelwerk: BaFin-Rundschreiben, EBA-Guidelines, AMLA-Regulierung, interne Arbeitsanweisungen, Vertragsunterlagen, SWIFT-Anforderungen. Das Durchsuchen dieser Dokumentation kostet Zeit — und fehlerhafte Auslegungen kosten mehr. **Silent AI** bringt KI-gestützte Dokumentenanalyse in die eigene Infrastruktur, ohne dass ein Byte die eigene Umgebung verlässt. Über 15 Konnektoren — darunter SharePoint, DMS-Systeme und strukturierte Dokumentenablagen — werden Quellen zusammengeführt und in einem On-Premise-Wissensassistenten verfügbar gemacht. Kein Cloud-Transfer. Keine Drittanbieter-Verarbeitung. Keine DSGVO-Grauzone bei der Verarbeitung vertraulicher Regulierungsdokumente, KYC-Daten oder personenbezogener Kundendaten. ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ![2026 SAI frontal | FAST LTA](https://fast-lta.transforms.svdcdn.com/production/images/fast/2026-SAI-frontal.jpeg?w=960&q=80&auto=format%2Cavif&fit=crop&dm=1772122968&s=9c06679cda8115826b582a2405de8be0) --- ### Com­pli­ance auf einen Blick [\#](#compliance-auf-einen-blick "Compliance auf einen Blick") Regu­lie­rungBetrof­fe­ne Insti­tu­teAnfor­de­rungFAST LTA Lösung**DORA Art. 12 (EU 2022⁄2554)**Alle regu­lier­ten FinanzmarktteilnehmerIso­lier­te, inte­gre, nach­weis­lich wie­der­her­stell­ba­re IKT-Back­up-Sys­te­me; ver­bind­lich seit 17.01.2025Silent Brick Max Air: phy­si­scher Hard­ware-Air-Gap, pro­to­kol­lier­bar, KRITIS-geeignet**BAIT AT 7.3 (BaFin)**Kre­dit­in­sti­tu­teAus­la­ge­rungs­un­ab­hän­gi­ge Daten­si­che­rung, Schutz vor Daten­ver­lust und ‑mani­pu­la­ti­onAir-Gap-Back­up ohne Cloud-Abhän­gig­keit; voll­stän­di­ge Kon­trol­le über Backup-Infrastruktur**PSD3 / PSR**Zah­lungs­dienst­leis­ter, E‑Geld-Insti­tu­teUnver­än­der­li­che Trans­ak­ti­ons- und Authen­ti­fi­zie­rungs­pro­to­kol­le für Streit­fall- und Fraud-NachweisSilent Cubes Hard­ware-WORM; unver­än­der­li­cher Zeit­stem­pel; sofort abrufbar**GwG § 8**Kre­dit­in­sti­tu­te, Ver­si­che­run­gen, Finanz­dienst­leis­ter, Fac­to­ring, LeasingKYC-Unter­la­gen, Trans­ak­ti­ons­do­ku­men­ta­ti­on: 5 Jah­re unver­än­der­bar, FIU-abrufbarHard­ware-WORM mit 5‑Jah­res-Reten­ti­on; On-Pre­mi­se ohne Cloud-Transfer**EU AMLA-VO**Hoch­ri­si­ko-Insti­tu­te (direk­te AMLA-Auf­sicht ab 2027)Doku­men­ta­ti­ons­an­for­de­run­gen der neu­en EU-GeldwäschebehördePrüf­ba­re, unver­än­der­li­che Archiv­struk­tur — AMLA-ready**GoBD (BMF)**Alle buch­füh­rungs­pflich­ti­gen InstituteUnver­än­der­bar­keit, Voll­stän­dig­keit, Nach­voll­zieh­bar­keit steu­er­re­le­van­ter Doku­men­te (10 Jahre)Silent Cubes Hard­ware-WORM; kon­fi­gu­rier­ba­re Reten­ti­ons­fris­ten; voll­stän­di­ger Audit Trail**HGB §§ 238, 257**Alle kauf­män­ni­schen InstituteAuf­be­wah­rung von Han­dels­bü­chern und Bele­gen 6 – 10 JahreHard­ware-WORM mit geset­zes­kon­for­men Fris­ten; unver­än­der­bar nachweisbar**DSGVO Art. 5, 32**Alle Insti­tu­te mit per­so­nen­be­zo­ge­nen DatenInte­gri­tät und Ver­trau­lich­keit per­so­nen­be­zo­ge­ner DatenHard­ware-Immu­ta­bi­li­tät; On-Pre­mi­se-Betrieb ohne Cloud-Transfer**MaRisk**Kre­dit­in­sti­tu­teAuf­be­wah­rung von Risi­ko­be­rich­ten, Kre­dit­ak­ten, voll­stän­di­ger Audit TrailSilent Cubes mit lücken­lo­sem Zugriffs- und Änderungsprotokoll**Sol­ven­cy II / VAG**Ver­si­che­rungs­un­ter­neh­menORSA-Berich­te, Gover­nan­ce-Doku­men­te, Risi­ko­ma­nage­ment­un­ter­la­gen — revisionssicherSilent Cubes: kon­fi­gu­rier­ba­re Lang­zeit-Reten­ti­on, Hard­ware-WORM, voll­stän­di­ger Audit Trail**IDD / VVG § 61 ff.**Ver­si­che­rungs­ver­triebBera­tungs­pro­to­kol­le, Geeig­ne­t­heits­do­ku­men­ta­ti­on — nach­weis­bar unveränderbarHard­ware-WORM; Chain-of-Cus­t­ody-Nach­weis pro Datensatz**WpHG § 83**Wert­pa­pier­dienst­leis­terAuf­zeich­nun­gen über Wert­pa­pier­dienst­leis­tun­gen: 5 JahreSilent Cubes mit kon­fi­gu­rier­ba­rer Reten­ti­on und voll­stän­di­gem Zugriffslog ## Fragen und Antworten #### Gilt DORA auch für Sparkassen und Genossenschaftsbanken? Ja — mit gestuften Anforderungen. DORA unterscheidet zwischen bedeutenden und weniger bedeutenden Instituten, legt aber keine vollständige Ausnahme für kleinere Institute fest. Sparkassen und Genossenschaftsbanken unterliegen dem DORA-Rahmen, wobei die Verhältnismäßigkeitsregelung (Art. 4) eine risikobasierte Umsetzung erlaubt. Die BaFin hat klargestellt, dass Backup-Anforderungen nach Art. 12 auch für kleinere Institute seit dem 17. Januar 2025 verbindlich sind. ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) #### Was bedeutet "nachweisbar" in DORA Art. 12 — und was reicht einem Prüfer nicht? DORA Art. 12 fordert, dass Backup-Systeme integer, isoliert und wiederherstellbar sind — und dass dies nachgewiesen werden kann. Ein Prüfer akzeptiert keine rein prozessualen Nachweise ("wir haben eine Richtlinie, dass Backups isoliert sind"). Erwartet werden: technische Konfigurationsdokumentation, regelmäßige Wiederherstellungstests mit protokollierten Ergebnissen, und — bei Backup-Isolierung — ein Mechanismus, der die Isolierung nicht durch Softwarekonfiguration, sondern durch technische Eigenschaft sicherstellt. ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) #### Was sind die GwG-Aufbewahrungsfristen — und welche Unterlagen sind betroffen? § 8 GwG schreibt eine Mindestaufbewahrungsdauer von 5 Jahren vor. Betroffen sind alle Unterlagen, die im Rahmen der Erfüllung von Sorgfaltspflichten entstehen: Identifikationsdokumente, Legitimationsnachweise, wirtschaftlich Berechtigte, Risikoeinschätzungen, Transaktionsdokumentation bei auffälligen Sachverhalten, Geschäftskorrespondenz zu Due-Diligence-Vorgängen. Die Frist beginnt mit dem Ende der Geschäftsbeziehung oder dem Datum der jeweiligen Transaktion. Die Unterlagen müssen für die FIU und Strafverfolgungsbehörden unverzüglich abrufbar sein. #### Gilt das GwG auch für Versicherungsunternehmen? Ja — Lebensversicherungsunternehmen und Versicherungsvermittler sind Verpflichtete nach § 2 Abs. 1 Nr. 7 GwG. Sie müssen Sorgfaltspflichten gegenüber Kunden erfüllen und die entsprechenden Unterlagen nach § 8 GwG fünf Jahre aufbewahren. Für Sachversicherungen mit niedrigem Geldwäsche-Risiko gelten vereinfachte Sorgfaltspflichten — die Aufbewahrungspflichten bleiben jedoch bestehen. #### Wie lange müssen Versicherungsschadensakten aufbewahrt werden? Das hängt von der Versicherungssparte ab. Als Richtwerte gelten: Kfz-Haftpflicht und allgemeine Haftpflicht: mindestens 10–30 Jahre (abhängig von Verjährungsfristen und Schadensart), Lebensversicherung: Dauer des Vertrags plus 10 Jahre, Berufsunfähigkeit und Unfallversicherung: bis zu 30 Jahre (Verjährung bei dauerhaften Schäden). Die jeweils anwendbare Verjährungsfrist bestimmt die Mindestaufbewahrungsdauer. Hardware-WORM mit konfigurierbarer Retention pro Datensatz ist die technisch sauberste Lösung für diese heterogenen Fristen. ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) #### Kann das Silent Brick System in unsere bestehende Veeam-/Commvault-Infrastruktur integriert werden? Ja. Das Silent Brick System ist nativ kompatibel mit Veeam, Commvault und Acronis. Es wird als Backup-Target eingebunden, ohne bestehende Lizenzen, Prozesse oder Backup-Jobs zu ändern. Die Air-Gap-Funktionalität des Silent Brick Max Air ist transparent für die Backup-Software — die Trennung erfolgt nach Abschluss des Jobs automatisch auf Hardware-Ebene. #### Können Silent Cubes SWIFT-konforme Archivierungsanforderungen erfüllen? SWIFT Customer Security Programme (CSP) und die zugehörigen Controls (insbesondere Control 2.2 und 6.1) fordern Schutz von gespeicherten SWIFT-relevanten Daten vor unbefugter Veränderung sowie nachweisbare Integrität. Die Hardware-WORM-Funktion der Silent Cubes erfüllt diese Anforderungen. SWIFT-spezifische Integrationsfragen besprechen unsere Compliance-Spezialisten gerne im Beratungsgespräch. ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) #### Was ändert sich mit der neuen EU-Geldwäschebehörde AMLA? Die AMLA (Anti-Money Laundering Authority) nimmt ab 2025 schrittweise ihre Arbeit auf und wird ab 2027 direkte Aufsicht über bestimmte Hochrisiko-Institute übernehmen. Die AMLA-Verordnung (EU 2024/1620) harmonisiert die AML-Anforderungen in der EU und wird eigene Dokumentationsstandards setzen. Institute, die heute auf physikalisch unveränderliche, vollständig auditierbare Archivstrukturen setzen, sind für AMLA-Prüfungen bereits strukturell vorbereitet. #### Wie lange dauert die Implementierung — und was ist mit dem laufenden Betrieb? Eine typische Erstinstallation ist innerhalb weniger Tage abgeschlossen. Silent Cubes und das Silent Brick System werden als fertig konfigurierte Appliances geliefert und in bestehende Netzwerk- und Backup-Architekturen eingebunden. Der laufende Betrieb erfordert keinen dedizierten Spezialisten. FAST LTA bietet auf Wunsch Managed-Service-Modelle an. Made in GermanyDORA Art. 12-konformISO 27001KRITIS-geeignet2.500+ Kunden seit 2008GoBD / HGB / GwG ✓ Made in Germany | ✓ DORA Art. 12-konform | ✓ GoBD / HGB / GwG | ✓ ISO 27001 | ✓ KRITIS-geeignet | ✓ 2.500+ Kunden seit 2008 ### KRITIS KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/kritis) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### GoBD Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd) ## Fragen? Wir sind für Sie da. Sprechen Sie mit einem Spezialisten für regulierte Finanzinfrastruktur. [Compliance-Gespräch vereinbaren ](# "Compliance-Gespräch vereinbaren") ![Jan Schoenfeld | Enterprise Account Executive | FAST LTA](https://fast-lta.transforms.svdcdn.com/production/images/fast/1FAV.jpeg?w=960&q=80&auto=format%2Cavif&fit=crop&dm=1780661634&s=5f9d098193f2138d53321e6887bee837)