DORA (Digital Operational Resilience Act) ist seit Januar 2025 verbindlich – und die BaFin hat angekündigt, ab 2026 systematisch zu prüfen. Entscheidend ist dabei nicht die Dokumentation von Konzepten, sondern deren technische Umsetzung.
Für Banken, Versicherungen und Asset Manager bedeutet das: Es zählt, was im Ernstfall nachweisbar funktioniert.
Dieser Artikel beschreibt fünf zentrale Architekturanforderungen im Bereich Backup und IKT-Resilienz, die sich aus DORA ableiten lassen – inklusive technischer Einordnung und typischer Fehler in der Praxis.
Anforderung 1: Nachweisbare Backup-Isolation
(Bezug: u. a. Art. 6–13, Art. 11 DORA)
Was DORA verlangt:
IKT-Systeme müssen so gestaltet sein, dass sie gegen Ausfälle und Angriffe resilient sind. Dazu gehört auch, dass Backup-Systeme nicht durch denselben Angriff kompromittiert werden können wie die Produktionsumgebung.
Technische Umsetzung in der Praxis:
- Eine reine Trennung per VLAN innerhalb derselben Hypervisor-Umgebung ist nicht ausreichend
- Bei einer Hypervisor-Kompromittierung wären Produktion und Backup gleichermaßen betroffen
- Erforderlich ist eine nachweisbar kompromissresistente Trennung, z. B.:
- physischer Air Gap
- logisch und administrativ unabhängige Backup-Infrastruktur
- getrennte Management-Plane
- Softwarebasierte Isolation ist möglich, muss aber belastbar nachweisbar sein
Typischer Fehler:
Backup-Systeme laufen im selben VMware- oder Hyper-V-Cluster wie die Produktion – getrennt nur durch Netzwerksegmentierung.
Anforderung 2: Unveränderlichkeit (Immutability) der Backup-Daten
(Bezug: Art. 9, Art. 12 DORA)
Was DORA verlangt:
Daten müssen vor unbefugter Veränderung oder Löschung geschützt sein – auch bei kompromittierten Accounts.
Technische Umsetzung in der Praxis:
- Einsatz von WORM-Mechanismen (z. B. Object Lock)
- Immutability muss so umgesetzt sein, dass sie nicht durch privilegierte Einzelaccounts aufgehoben werden kann
- Best Practice:
- Compliance Mode statt Governance Mode
- zusätzliche Absicherung durch Multi-Person Authorization (MPA)
- Schutz gilt auch gegenüber Administratoren
Typischer Fehler:
Object Lock ist aktiviert, aber im Governance Mode – ein kompromittierter Admin kann Backups dennoch löschen.
Anforderung 3: Starke Authentifizierung für Backup-Systeme
(Bezug: Art. 9 DORA)
Was DORA verlangt:
Starke Authentifizierungsverfahren für kritische IKT-Systeme.
Technische Umsetzung in der Praxis:
- MFA für alle Backup-Management-Konsolen und Storage-Systeme
- Kein Passwort-only-Zugang für kritische Systeme
- Absicherung von Service-Accounts durch gleichwertige Maßnahmen, z. B.:
- Credential Vaulting
- regelmäßige Rotation
- minimale Rechtevergabe (Least Privilege)
Typischer Fehler:
MFA ist in der Produktionsumgebung aktiv, aber nicht auf Backup-Systemen – diese werden zum bevorzugten Angriffsziel.
Anforderung 4: Definierte RTOs/RPOs und getestete Recovery-Prozesse
(Bezug: Art. 11 DORA)
Was DORA verlangt:
Unternehmen müssen ihre Wiederanlauffähigkeit nachweisen können – inklusive definierter Zielwerte und regelmäßiger Tests.
Technische und organisatorische Umsetzung:
- Definition von RTO (Recovery Time Objective) und RPO (Recovery Point Objective) für kritische Systeme
- Regelmäßige Recovery-Tests (mindestens jährlich für kritische Systeme)
- Tests müssen messbar sein:
- tatsächliche Wiederherstellungsdauer
- Abweichung vom Zielwert
- Vollständige Dokumentation erforderlich:
- Datum, Umfang, Systeme
- Ergebnisse und Abweichungen
- Verantwortlichkeiten
Typischer Fehler:
Recovery wurde „irgendwann mal getestet“, aber nicht dokumentiert oder nicht unter realistischen Bedingungen.
Anforderung 5: IKT-Drittparteienmanagement im Backup-Kontext
(Bezug: Art. 28–30 DORA)
Was DORA verlangt:
Kritische IKT-Drittanbieter müssen identifiziert, bewertet und vertraglich abgesichert sein. Bestehende Verträge müssen bis 31.12.2026 angepasst werden.
Was das für Backup und Storage bedeutet:
- Prüfung, ob Backup- oder Cloud-Anbieter als kritischer IKT-Drittanbieter gelten
- Verträge müssen u. a. enthalten:
- Audit-Rechte
- klare SLAs
- Exit-Strategien
- Bewertung der Datensouveränität:
- Speicherort der Daten
- Zugriffsmöglichkeiten
Typischer Fehler:
Cloud-Backup wird genutzt, aber Verträge enthalten keine DORA-konformen Regelungen – Anpassungsbedarf bis Ende 2026.
Zusammenfassung: DORA-Backup-Checkliste für Finanzunternehmen
| Anforderung | DORA-Artikel | Status prüfen |
|---|---|---|
| Backup-Isolation (hypervisor-unabhängig oder Air Gap) | Art. 11 | ☐ |
| Object Lock im Compliance Mode + MPA | Art. 12 | ☐ |
| MFA auf allen Backup-Management-Zugängen | Art. 9 | ☐ |
| RTOs/RPOs definiert und getestet (dokumentiert) | Art. 11 | ☐ |
| IKT-Drittanbieter inventarisiert + DORA-konforme Verträge | Art. 28–30 | ☐ |
FAZIT
DORA ist komplex. Aber die konkreten Backup-Anforderungen sind klar definiert. Wer die fünf beschriebenen Architekturanforderungen erfüllt, ist für BaFin-Prüfungen gut vorbereitet und hat gleichzeitig eine Architektur, die im Ernstfall tatsächlich schützt.
