DORA – Digital Operational Resilience Act
DORA ist eine EU-weite, einheitliche Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale, operationale Resilienz im Finanzsektor.
Sie trat am 17. Januar 2025 vollumfänglich in Kraft und verpflichtet Finanzinstitute, weitere Finanzunternehmen sowie beteiligte Dienstleister, ihre Fähigkeiten zur Reaktion auf Cyberangriffe bzw. Vorfälle im Bereich der Informations- und Kommunikationstechnologie (IKT) durch nachvollziehbare Transparenz, flexible Strategien und strenge Tests (DDoS, Layer 7) in sechs wesentlichen Bereichen nachzuweisen:
- IKT-Risikomanagement
(Kapitel II, Artikel 5 bis 16 DORA) - Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
(Kapitel III, Artikel 17 bis 23 DORA) - Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT)
(Kapitel IV, Artikel 24 bis 27 DORA) - Management des IKT-Drittparteienrisikos, einschließlich Informationsregister und Anzeigepflichten
(Kapitel V, Abschnitt I, Artikel 28 bis 30 DORA) - Überwachungsrahmen für kritische IKT-Drittdienstleister
(Kapitel V, Abschnitt II, Artikel 31 bis 44 DORA) - Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen
(Kapitel VI, Artikel 44 und Artikel Kapitel VII, Artikel 49 DORA)
DORA – Herausforderungen in der Einhaltung
Nahezu jedes technische Team hält für den laufenden Betrieb und den Schutz seiner Infrastruktur einen Notfallplan bereit: Prozesse, die bei einem Cyberangriff oder einer Betriebsstörung strikt zu durchlaufen sind.
Allerdings hat der Finanzsektor aufgrund der komplexen Aufgabenstellung laut DORA, insbesondere in Bezug auf Cyber-Resilienz (Layer 7) und IKT, ein deutlich gewaltigeres Brett zu stemmen: Neben der Konformität für die eigenen Technologien bzw. Systeme muss jedes DORA-fällige Unternehmen diese ebenso für sämtliche Systeme und/oder Dienstleistungen, die sie von Drittanbietern beziehen, berücksichtigen!
Auf diesem Weg werden sich Risiken bei existenten Plänen oder Verfahren schnell offenbaren sowie vorhandene Lücken zwangsläufig aufgedeckt, was Fluch und Segen zugleich darstellt: Der Aufwand ist weit höher, das Vorgehen jedoch in der Summe effizienter.
DORA – Nichteinhaltung
Bei Nichteinhaltung der Vorschriften kann die zuständige Aufsichtsbehörde „verhältnismäßige“ Maßnahmen verhängen. Diese reichen von einer Geldbuße bis hin zu Unterlassungsanordnungen oder öffentlichen Bekanntmachungen.
Letzteres führt zu einem Reputationsverlust in der Branche: ein geschädigter Ruf ist nicht nur teurer … der Schaden kann irreparabel sein.
zeroBS \ DORA: DAS können wir für Sie tun!
DORA-Readiness: Layer-7-DDoS-Resilienz im Finanzsektor
Mit dem Digital Operational Resilience Act (DORA) sind Finanzinstitute verpflichtet, die Widerstandsfähigkeit kritischer IKT-Dienste gegenüber Cyberbedrohungen nachzuweisen.
Eine der größten – und oft unterschätzten – Herausforderungen dabei sind Layer-7-DDoS-Angriffe auf Anwendungsebene. Diese Angriffe zielen direkt auf geschäftskritische Anwendungen, APIs sowie Authentifizierungsprozesse ab und umgehen dabei häufig klassische, netzwerkbasierte Schutzmechanismen.
Ab 2026 werden Aufsichtsbehörden die Resilienz gegenüber solchen Szenarien explizit bewerten.
Layer-7-DDoS-Angriffe nutzen Anwendungslogik, APIs und Authentifizierungsprozesse aus, sodass sie anhand von Volumenschwellenwerten nur schwer zu erkennen sind. Hier müssen sektoral betroffene Unternehmen ein klares Verständnis dafür entwickeln, welche Geschäftsprozesse a) besonders exponiert sind und b) wie diese unter bösartigem Traffic reagieren: Machen Sie Engpässe und Fehlerquellen durch kontrollierte Layer-7-Stress- und DDoS-Tests sichtbar!
DORA legt großen Wert auf Resilienztests, die realistische Bedrohungsszenarien widerspiegeln. Die Integration von Layer-7-DDoS-Angriffen in derartige Tests für kritische Dienste simuliert u.a. Low-and-Slow-Angriffe, botgesteuerte Anfragefluten sowie den Missbrauch legitimer Anwendungsfunktionen. Solche Tests validieren nicht nur technische Kontrollen, sondern auch Erkennungsfähigkeiten, Eskalationspfade und Wiederherstellungsziele unter Angriffsbedingungen auf Anwendungsebene.
Viele Finanzinstitute verlassen sich beim Schutz der Anwendungsebene auf Cloud-Plattformen, CDNs und Managed Security Provider. Gemäß DORA liegt die Verantwortung jedoch direkt beim Finanzunternehmen. Eine unabhängige Validierung der Layer-7-DDoS-Schutzmaßnahmen – über interne Systeme und Abhängigkeiten von Drittanbietern hinweg – hilft dabei, nachzuweisen, dass die Abwehrstrategien in der Praxis funktionieren und den regulatorischen Anforderungen entsprechen.
Fazit
Die Widerstandsfähigkeit gegenüber Layer-7-DDoS-Angriffen ist für Finanzinstitute zu einer entscheidenden Compliance- und Betriebspriorität geworden. Angesichts der ab 2026 verschärften behördlichen Kontrollen müssen Unternehmen über Annahmen und Dokumentationen hinausgehen und messbare, getestete Widerstandsfähigkeit sowohl nachweisen als auch erreichen. Durch die Integration realistischer Layer-7-DDoS-Tests in ihre DORA-Programme können Finanzinstitute einen wichtigen Schwachpunkt beheben und gleichzeitig ihre Compliance und operative Robustheit souverän unter Beweis stellen.
Operative Resilienz wird damit nicht nur eine Compliance-Frage, sondern ein strategischer Stabilitäts- und Vertrauensfaktor.
German 
English