Regulierung, Resilienz, Verantwortung: Warum IT-Sicherheit im Finanzsektor zur Managementaufgabe wird.
DORA, MaRisk, BAIT, BSI-Gesetz – die IT-Regulierung im Finanzsektor ist längst Realität für Unternehmen. Die Anforderungen steigen, aber nicht nur auf technischer Ebene: IT-Sicherheit wird zur strategischen Führungsaufgabe. Denn digitale Angriffe sind keine Ausnahme mehr – sie sind Teil des operativen Alltags.
Was Sie in diesem Artikel erfahren:
Resilienz ist kein IT-Ziel – sie ist ein Managementziel. Und sie beginnt mit Klarheit.
Dieser Artikel liefert Ihnen den Überblick, den Sie brauchen, um fundierte Entscheidungen zu treffen – und nicht nur dem nächste Audit, sondern auch einem echten Angriff standzuhalten.
Viele Unternehmen unterschätzen, wie stark sie bereits von regulatorischen IT-Vorgaben betroffen sind – oder bald sein werden. Prüfen Sie kurz selbst:
Dann gelten möglicherweise BAIT, MaRisk oder DORA – unabhängig davon, ob Sie direkt reguliert sind oder „nur“ ausgelagerte Aufgaben übernehmen.
Auch interne IT-Einheiten, Auslagerungspartner oder spezialisierte Anbieter rücken in den Fokus der Aufsicht.
Solche Entwicklungen können Ihre regulatorische Einstufung verändern – und neue Prüfpflichten auslösen.
Wenn Sie mindestens eine Frage mit „Ja“ beantworten, lohnt sich ein Blick in unsere kompakte Executive Summary: Welche IT-Vorgaben gelten – und warum.
Inklusive Orientierungsmatrix für typische Unternehmensprofile.
Die zunehmende Regulierungsdichte im Finanzsektor ist keine bürokratische Überreaktion – sie ist eine Antwort auf reale Bedrohungen. Wer mit IT-Sicherheit in der Finanzwelt zu tun hat, weiß: Angriffsversuche sind längst keine Ausnahmen mehr, sondern Teil des Alltags.
Laut dem Report Threat Landscape: Finance Sector (2025) der ENISA (European Union Agency for Cybersecurity) wurden zwischen Januar 2023 und Juni 2024 488 öffentlich gemeldete Cybervorfälle im europäischen Finanzsektor registriert. Besonders alarmierend: Ransomware-Angriffe und gezielte Angriffe auf Drittanbieter gehören zu den am stärksten wachsenden Bedrohungskategorien.
Der BSI-Lagebericht 2024 beschreibt die IT-Sicherheitslage in Deutschland als weiterhin angespannt. Besonders besorgniserregend ist die zunehmende Professionalisierung und Spezialisierung der Cyberkriminellen. Die cyberkriminelle Schattenwirtschaft hat sich weiter ausdifferenziert, mit einer klaren Arbeitsteilung zwischen Ransomware-Betreibern, deren Partnern (Affiliates) und sogenannten Access Brokern. Letztere sind darauf spezialisiert, Zugang zu kompromittierten Unternehmenssystemen zu beschaffen und diese Zugänge auf Untergrundplattformen gewinnbringend weiterzuverkaufen.
Durch diese Entwicklung führen Kriminelle ihre Angriffe immer effizienter und zielgerichteter durch – und senken gleichzeitig die Einstiegshürden. Ransomware-as-a-Service macht es heute möglich, komplette Erpressungskampagnen als fertiges Produkt zu buchen – inklusive Schadsoftware, Anleitungen, Support und Erfolgsbeteiligung. Wer angreifen will, muss längst kein Hacker mehr sein, sondern nur noch ein „Anwender“ mit krimineller Absicht.
Die Europäische Zentralbank hebt in ihrer Financial Stability Review (05/2025) erneut die Risiken für die Finanzstabilität hervor – darunter Informations- und Kommunikationstechnologie-(IKT-)Risiken, die anhaltende geopolitische Unsicherheit sowie die zunehmende Abhängigkeit von digitalen Infrastrukturen. Besonders betont werden systemische Auswirkungen von Cyberangriffen auf kritische Dienstleister, potenzielle Spillover-Effekte auf Drittdienstleister und die wachsende Bedeutung von Resilienz gegenüber operationellen Schocks.
Dass Regulierungen wie DORA, NIS2 oder aktualisierte nationale Vorgaben wie MaRisk notwendig sind, ist also keine bloße Erzählung von Aufsichtsbehörden – es ist eine faktische Konsequenz.
Und: Viele Entscheider im Finanzsektor begrüßen diese Entwicklung sogar. Denn einheitliche Vorgaben wie DORA sorgen für klare Anforderungen, vergleichbare Sicherheitsniveaus und faire Wettbewerbsbedingungen – besonders in einem zunehmend vernetzten, europäischen Finanzmarkt. Statt regulatorischer Flickenteppiche entsteht ein gemeinsamer Rahmen, der Planungssicherheit bietet und Investitionen in Resilienz besser absichert.
Was wir aus zahlreichen Kundenprojekten im regulierten Sektor wissen:
Viele Unternehmen stehen nicht vor der Frage, ob sie handeln müssen – sondern wie konkret.
Denn die Herausforderung liegt nicht in der Einsicht, sondern in der Umsetzung:
Als Partner, der sowohl mit der technischen Tiefe als auch mit den regulatorischen Erwartungen vertraut ist, helfen wir unseren Kunden dabei, Verpflichtungen greifbar zu machen und daraus realistische Maßnahmen abzuleiten – verständlich, praxisnah und compliance-sicher.
Unsere Rolle endet nicht mit einem Bericht – sie beginnt oft genau dort. Als Trusted Hacking Advisor begleiten wir unsere Kunden durch komplexe regulatorische Anforderungen und übersetzen sie in konkrete, realistische Maßnahmen.
Besonders in der Zusammenarbeit mit IT-Leitungen und technischen Teams setzen wir bewusst auf Wissenstransfer, direkte Kommunikation und echte Partnerschaft. Statt anonymer PDF-Reports liefern wir nachvollziehbare Ergebnisse, geben technisches Feedback auf Augenhöhe und zeigen transparent, wie Risiken entstehen – und wie sie sich beheben lassen.
Das Ziel: Unsere Kunden sollen nicht nur bestehen – sondern gestärkt aus dem Projekt hervorgehen.
Im nächsten Abschnitt zeigen wir, welche Regelwerke aktuell greifen – und warum ähnliche Unternehmen manchmal sehr unterschiedliche Anforderungen erfüllen müssen.
Mit der Einführung der EU-Verordnung DORA und der fortlaufenden Aktualisierung nationaler Regelwerke wie MaRisk, BAIT oder dem BSI-Gesetz stehen viele Unternehmen im Finanzsektor vor einer komplexen Frage: Welche regulatorischen Vorgaben sind für mein Unternehmen verbindlich – und warum gelten sie nicht für alle gleichermaßen?
Tatsächlich ist der Geltungsbereich vieler Regularien nicht allein von der Branche abhängig, sondern von der konkreten Unternehmensstruktur, der Geschäftstätigkeit und der Relevanz für die Finanzmarktstabilität. Zwei Unternehmen mit ähnlichem Angebot können daher völlig unterschiedlichen Pflichten unterliegen.
Ein Beispiel: Ein großer Zahlungsdienstleister mit europaweiter Infrastruktur unterliegt direkt der DORA-Verordnung und muss ab 2025 unter anderem ein umfassendes IKT-Risikomanagement nachweisen sowie regelmäßige Resilienztests durchführen. Ein kleiner regionaler Anbieter ohne kritische Schnittstellen hingegen fällt eventuell (zunächst) nur unter nationale Vorgaben wie BAIT oder das BSI-Gesetz.
Noch ein Beispiel: Zwei Kreditinstitute können durch unterschiedliche IT-Auslagerungen und Kundensegmente verschiedenen Anforderungen im Kontext von MaRisk und BAIT gegenüberstehen – zum Beispiel im Hinblick auf das Notfallmanagement, die Meldepflichten oder die Risikoaggregation.
Diese Unterschiede machen deutlich: Eine pauschale Einordnung ist kaum möglich.
Eine Übersicht der wichtigsten Regelwerke, typische Unternehmensformen und konkrete Umsetzungsschwerpunkte finden Sie in unserem Executive Summary zu regulatorischen Vorgaben im Finanzsektor.
Viele Regularien in der Finanzaufsicht folgen einem schrittweisen Entwicklungsprozess: von nationalen Einzelvorgaben hin zu einheitlichen europäischen Rahmenwerken. Besonders deutlich wird dieser Wandel am Beispiel der IT-bezogenen Anforderungen für Banken und Finanzunternehmen. Während die BAIT (Bankaufsichtliche Anforderungen an die IT) basierend auf den MaRisk (Mindestanforderungen an das Risikomanagement) in Deutschland lange als zentrale Orientierung diente, etabliert sich mit DORA (Digital Operational Resilience Act) nun ein europaweit einheitlicher Standard – verbindlich für alle.
Auch verwandte Regelwerke wie VAIT, KAIT und ZAIT folgen demselben Prinzip: Sie sind nationale Ableitungen der BAIT für spezifische Unternehmensformen und verlieren mit der vollständigen Umsetzung von DORA zunehmend an Relevanz. Dennoch bestehen sie derzeit formal fort – mehrheitlich bis Ende 2026 – und prägen weiterhin die Ausgestaltung vieler IKT-Sicherheitsmaßnahmen.
Wichtig ist dabei: DORA ersetzt diese Vorgaben nicht radikal, sondern baut inhaltlich auf ihnen auf. Bestehende Strukturen und Umsetzungen waren nicht umsonst – im Gegenteil: Sie bilden oft das Fundament für eine effiziente Umsetzung der neuen Anforderungen. DORA ist kein theoretisches Regelwerk vom Reißbrett, sondern eine praxisnahe Weiterentwicklung bestehender Standards. Wer sich bereits mit BAIT & Co beschäftigt hat, muss nicht bei null anfangen – sondern kann auf vorhandenen Maßnahmen aufbauen.
Die folgende Übersicht zeigt die wichtigsten Meilensteine in der Entwicklung der regulatorischen IT-Sicherheitsanforderungen:
Die Entwicklung der letzten 20 Jahre macht eines klar: Die Erwartungen an digitale Resilienz steigen – und mit DORA werden sie verbindlich.
Mit DORA beginnt eine neue Ära der Nachweisbarkeit – gefragt ist nicht mehr nur, ob Maßnahmen existieren, sondern ob sie im Ernstfall wirken.
Was das konkret bedeutet, zeigt der aktuelle Blick auf die Praxis – und auf den Reifegrad der Umsetzung.
Cybervorfälle sind längst keine hypothetischen Bedrohungen mehr – sie gehören zum Alltag in der Finanzbranche. Die Reaktion der Aufsicht: Prüfungen sollen nicht nur dokumentieren, sondern beweisen, dass Schutzmechanismen auch unter realem Druck funktionieren. Deshalb rücken praxisnahe Resilienztests in den Fokus – mit realistischen Angriffssimulationen statt theoretischer Planspiele und einem Fokus auf das Zusammenspiel von Technik, Prozessen und Menschen.
Ein Blick in den aktuellen BSI-Lagebericht 2024 zeigt: Zwar haben viele KRITIS-Unternehmen im Finanz- und Versicherungswesen bereits Informationssicherheitssysteme (ISMS) dokumentiert – doch die Reifegrade verdeutlichen, dass es häufig an regelmäßiger Wirksamkeitsprüfung und gezielter Weiterentwicklung mangelt.
Weniger als die Hälfte der bewerteten Finanzunternehmen erreichen im ISMS-Bereich Reifegrad 4 oder 5 – also den Bereich, in dem nicht nur dokumentiert, sondern auch real getestet und verbessert wird. Der Weg von Reifegrad 3 zu 4 ist kein formaler Schritt, sondern ein strategischer Wandel: Von der Theorie zur erlebten Sicherheitskultur.
Die gute Nachricht: Der Übergang von Reifegrad 3 auf 4 ist herausfordernd – aber mit gezielten Resilienztests erreichbar. Viele Unternehmen verharren im Mittelmaß – doch wer echte Resilienz will, braucht realitätsnahe Tests. Sie schließen die entscheidende Lücke zwischen Theorie und Praxis – und setzen genau dort an, wo viele heute noch stehen bleiben.
Was genau zeichnet Resilienztests eigentlich aus?
Audits basieren auf Checklisten, Dokumenten und Regelwerken. Sie prüfen, ob Prozesse, Richtlinien und Konfigurationen formal korrekt umgesetzt wurden.
Resilienztests gehen einen Schritt weiter:
Sie simulieren reale Angriffe, Notfallszenarien oder kritische Störungen – und testen damit Systeme, Prozesse und Teams unter echten Bedingungen. Ziel ist es, nicht nur Regelkonformität, sondern Widerstandsfähigkeit in der Praxis nachzuweisen.
Typische Testformen:
Einen strukturierten Überblick über Unterschiede, Anforderungen und Einsatzmöglichkeiten von Penetrationstests und TLPT finden Sie in unserem Whitepaper Penetrationstest vs. TLPT.
Ob technischer Angriff, menschlicher Fehler oder Prozessversagen – Resilienztests decken auf, was klassische Audits oft nicht zeigen: Wie gut eine Organisation im Ernstfall wirklich funktioniert.
Und genau das ist der Grund, warum Regulierungsbehörden in Europa zunehmend auf diese Testformate setzen. Denn während Audits vor allem dokumentieren, fordern MaRisk, BAIT und DORA heute den Beweis der Wirksamkeit – unter realen Bedingungen.
In der Finanzaufsicht zeichnet sich ein klarer Trend ab: vom reaktiven Kontrollrahmen zur aktiven Resilienzstrategie. Der Grund:
Belege aus aktuellen Regularien:
Das gemeinsame Ziel: Widerstandsfähigkeit unter Realbedingungen nachweisen – nicht nur auf dem Papier.
Was viele Unternehmen unterschätzen: Cyberangriffe halten sich nicht an Compliance-Vorgaben.
Sie zielen auf menschliche Fehler, organisatorische Schwächen und technische Lücken im Tagesgeschäft – nicht auf perfekte Dokumentation.
Resilienztests bieten:
Die Fähigkeit, sich in die Perspektive eines Angreifers zu versetzen, wird zum strategischen Asset.
Wer Schwachstellen frühzeitig erkennt und testet, ist nicht nur compliant – sondern vorbereitet.
Die Einhaltung regulatorischer Vorgaben in der IT-Sicherheit ist für Unternehmen im Finanzsektor längst keine reine Compliance-Übung mehr. Wer die Anforderungen ignoriert oder nur formalistisch abarbeitet, riskiert deutlich mehr als ein Bußgeld. Regulatorische Versäumnisse können sich zu echten Gefahren für das gesamte Unternehmen entwickeln – mit Konsequenzen für Reputation, Geschäftsbeziehungen, operative Kontinuität und letztlich den Fortbestand des Geschäftsmodells.
Zwar unterscheiden sich die rechtlichen Rahmenbedingungen je nach Regularie – etwa DORA, MaRisk, BAIT, VAIT, KAIT, ZAIT, dem BSI-Gesetz oder der DSGVO – doch sie haben eines gemeinsam: Bei Nichteinhaltung drohen teils erhebliche Konsequenzen.
Reputations- und Marktfolgen: Mehr als nur eine regulatorische Debatte
Für Finanzunternehmen kann ein Sicherheitsvorfall, der auch auf regulatorische Versäumnisse zurückzuführen ist, den Marktzugang kosten:
Was all diese Risiken verbindet: Sie zeigen sich oft erst im Ernstfall. Wer nur das gesetzlich geforderte Minimum erfüllt, bleibt im Modus der Schadensbegrenzung.
Wer jedoch erkennt, dass regulatorische Vorgaben wie DORA, MaRisk, BAIT, VAIT, KAIT oder das BSI-Gesetz praktische Hebel für nachhaltige Resilienz sind, kann sie aktiv nutzen – als Impuls für stärkere Sicherheitsprozesse, bessere Entscheidungsgrundlagen und belastbare Krisenfähigkeit.
Eine tiefgehende Analyse der DORA-Verordnung – inklusive konkreter Umsetzungsanforderungen, strategischer Chancen und dem Vergleich von klassischen Penetrationstests vs. TLPT – finden Sie in unserem Deep‑Dive zur DORA-Umsetzung 2025.
Resilienz ist nicht nur ein IT-Ziel – sie ist ein Managementziel.
Während MaRisk und BAIT primär auf IT-Risikomanagement und organisatorische Vorgaben abzielen, geht DORA deutlich weiter: Sie fordert erstmals einheitliche, europaweite Standards für Sicherheitsvorfälle, Third-Party-Risiken und simulationsbasierte Resilienztests (z. B. TLPT).
DORA gilt für nahezu alle regulierten Finanzunternehmen – Banken, Versicherer, FinTechs. Simulationsbasierte Tests wie TLPT sind aber nur für „kritische“ Institute verpflichtend. Die genaue Einstufung erfolgt durch die Aufsicht. Eine frühzeitige Gap-Analyse ist entscheidend.
Diese branchenspezifischen Anforderungen ergänzen MaRisk, sind aber national geregelt. Durch DORA sollen sie größtenteils ersetzt werden – spätestens Ende 2025. Die BaFin plant eine Aufhebung bzw. Angleichung in Etappen. Proaktive Unternehmen stellen sich schon jetzt um.
Die Zeit der Checklisten ist vorbei. Die Aufsicht bewertet Effektivität, nicht nur Dokumentation. Gefordert sind risikoorientierte Schutzmaßnahmen, aussagekräftige Tests und belastbare Nachweise – idealerweise durch unabhängige Penetrationstests oder Simulationen.
Die Bandbreite reicht von Bußgeldern bis hin zur Abberufung von Geschäftsleitern (§ 25 KWG). Besonders kritisch: Verstöße gegen DORA-Meldepflichten oder fehlende Angriffserkennung nach § 8a BSIG. Hinzu kommen Reputationsschäden, ESG-Abwertungen und Marktverluste.
Interne Assessments erfassen oft nur bekannte Risiken oder orientieren sich an formalistischen Vorgaben. Unsere externen Tests folgen realen Angriffsszenarien und liefern mehr als nur technische Findings: Sie zeigen, wo regulatorisch relevante Lücken bestehen – und wie sie konkret geschlossen werden können. Statt reiner Prüfberichte erhalten Unternehmen umsetzbare Action Plans, die technische Realität und Compliance-Anforderungen miteinander verbinden. Das schafft belastbare Nachweise für Aufsichten, schützt im Audit – und erhöht nachhaltig die Resilienz.
Digital Operational Resilience Act – EU-Verordnung zur digitalen Resilienz im Finanzsektor
Mindestanforderungen an das Risikomanagement für Banken (BaFin-Rundschreiben)
Branchenspezifische IT-Anforderungen für Banken, Versicherer, Kapitalverwaltungsgesellschaften, Zahlungsdienstleister
Verpflichtung zur Angriffserkennung für KRITIS-Unternehmen im BSI-Gesetz
Threat-Led Penetration Testing – simulationsbasierter Resilienztest mit Angreifer-Perspektive
Risiken aus Informations- und Kommunikationstechnik – im Fokus von DORA, MaRisk etc.
Analyse, ob interne Prozesse die regulatorischen Anforderungen bereits erfüllen
Eine kritische Sicherheitslücke im Windows-Installer von Docker Desktop wurde entdeckt, die es Angreifern ermöglicht, Schadcode auszuführen. Das article diskutiert die Bedeutung dieser Sicherheitslücke für Unternehmen und wie sie proaktiv auf solche Risiken reagieren können.
Der Betrügerring „Simcartel“ hat gezeigt, wie tech-veraffinerte Cyberkriminelle Schäden in Millionenhöhe verursachen können. Diese Gefahr stellt eine Herausforderung für Unternehmen dar, die ihr Risikomanagement und ihre IT-Sicherheit überdenken und verstärken müssen.
Chinesische Hackergruppe „Flax Typhoon“ infiltriert erfolgreich ArcGIS. Der Fall offenbart massive Defizite in der Sicherheitskultur und zeigt, wie gezielte Industriespionage durch professionelle Manipulation statt technischen Exploits erfolgt.
