Seit Januar 2025 gilt DORA – der Digital Operational Resilience Act – für Finanzunternehmen in der EU. Seit Januar 2026 führt die BaFin systematische Prüfungen durch. Die Schonfrist ist vorbei.
Und doch: Zwischen 28 und 44 Prozent der Finanzunternehmen haben wesentliche DORA-Anforderungen noch nicht vollständig umgesetzt – je nach Studie und Unternehmensgröße. Insbesondere das IKT-Drittparteienmanagement und das Meldewesen werden von der BaFin als kritische Nachholbereiche identifiziert.
Dieser Artikel erklärt, was die BaFin bei Prüfungen konkret erwartet – mit Fokus auf Backup-Architektur und IKT-Resilienz.
1. Was DORA von Backup-Systemen verlangt
DORA adressiert Backup und Recovery in zwei zentralen Artikeln:
Art. 11 DORA – Backup-Policies und Recovery-Tests
Art. 11 verpflichtet Finanzunternehmen, Backup-Policies zu erstellen und diese regelmäßig zu testen. Die Kernanforderungen:
- Backup-Systeme müssen von Produktionssystemen isoliert sein
- Die Wiederherstellbarkeit muss regelmäßig getestet und dokumentiert werden
- Für kritische Systeme müssen Recovery Time Objectives (RTOs) und Recovery Point Objectives (RPOs) definiert werden
Was das in der Praxis bedeutet: Ein Backup-Job, der täglich läuft und grüne Logs zeigt, erfüllt Art. 11 nicht. Es fehlt der Nachweis: Wie lange dauert die vollständige Wiederherstellung? Wurde das getestet? Ist das dokumentiert?
Art. 12 DORA – Sicherheitsanforderungen an Backup-Storage
Art. 12 stellt konkrete Anforderungen an die technische Ausgestaltung:
- Backup-Daten müssen vor unbefugter Veränderung oder Löschung geschützt sein
- Dies schließt Angriffe durch kompromittierte Admin-Konten ein
- Die Isolation muss auch für Administratoren mit erweiterten Rechten wirksam sein
Was das in der Praxis bedeutet: Object Lock im Governance Mode (durch Admins aufhebbar) erfüllt Art. 12 nicht vollständig. Compliance Mode mit Multi-Person-Authorization oder gleichwertige technische Maßnahmen sind erforderlich.
2. Was die BaFin bei Prüfungen konkret sieht
Seit der BaFin-Rede zum 1‑Jahres-Jubiläum von DORA (Dezember 2025) sind die Prüfungsschwerpunkte bekannt:
Schwerpunkt 1: IKT-Drittparteienrisikomanagement Finanzunternehmen müssen ihre kritischen IKT-Drittanbieter inventarisiert, bewertet und vertraglich abgesichert haben. Laut BaFin ist das der Bereich mit dem größten Nachholbedarf.
Schwerpunkt 2: IKT-Vorfalls-Meldewesen Seit Januar 2025 wurden über 600 schwerwiegende IKT-Vorfälle bei der BaFin gemeldet. Die Qualität der Meldungen variiert stark – und die BaFin prüft, ob Meldeprozesse strukturiert und ausgeführt werden können.
Schwerpunkt 3: Backup und Recovery Art. 11 und Art. 12 werden explizit geprüft. Dabei interessiert die BaFin vor allem: Existieren definierte RTOs? Wurden sie getestet? Ist die Backup-Isolation technisch nachweisbar?
3. Die häufigsten DORA-Lücken in der Backup-Architektur
| Lücke | Warum sie kritisch ist | Lösung |
|---|---|---|
| Object Lock im Governance Mode | Admins können Retention aufheben – bei kompromittiertem Account: Backups löschbar | Wechsel auf Compliance Mode + MPA |
| Backup-VLAN am gleichen Hypervisor | Hypervisor-Kompromittierung betrifft Backup und Produktion gleichermaßen | Hypervisor-unabhängige Backup-Infrastruktur |
| Keine MFA auf Backup-Konsole | Häufigster Einstiegspunkt für Angreifer auf Backup-Systeme | MFA auf allen Admin-Zugängen verpflichtend |
| Recovery nicht dokumentiert | Art. 11 fordert ausdrücklich Dokumentation der Tests | Regelmäßige Tests mit Protokoll und Zeitstempel |
| RTOs nicht definiert | Ohne definierte RTOs kein Nachweis gegenüber BaFin | RTOs definieren, testen, dokumentieren |
4. Übergangsfristen – was bis Ende 2026 noch gilt
Für IKT-Drittparteienverträge gelten Übergangsfristen bis zum 31. Dezember 2026. Das bedeutet: Bestehende Verträge mit IKT-Drittanbietern müssen bis Jahresende auf DORA-Konformität gebracht werden.
Das ist kein Grund zur Entspannung – sondern ein konkreter Meilenstein mit Deadline.
5. Checkliste: DORA-Backup-Readiness
- [ ] Backup-System physisch oder hypervisor-unabhängig isoliert?
- [ ] Object Lock im Compliance Mode (nicht Governance)?
- [ ] MFA auf Backup-Management-Konsolen aktiviert?
- [ ] RTOs für kritische Systeme definiert?
- [ ] Letzter Recovery-Test dokumentiert (Datum, Systeme, Ergebnis)?
- [ ] IKT-Drittanbieter im Backup-Bereich inventarisiert und bewertet?
- [ ] Incident-Response-Prozess für Backup-Vorfälle definiert?
FAZIT
DORA ist kein Papierprojekt. Es ist eine technische Anforderung, die die BaFin prüft. Wer Backup-Architektur und Recovery-Prozesse nicht auf DORA ausgerichtet hat, riskiert bei Prüfungen und im Ernstfall doppelt.
Die gute Nachricht: Die häufigsten Lücken sind bekannt – und lassen sich strukturiert schließen.
