{"id":28483,"date":"2025-02-08T06:41:00","date_gmt":"2025-02-08T05:41:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=28483"},"modified":"2025-02-05T10:18:04","modified_gmt":"2025-02-05T09:18:04","slug":"tipps-fuer-dora-nachzuegler","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=28483","title":{"rendered":"Tipps f\u00fcr DORA-Nachz\u00fcgler"},"content":{"rendered":"\n

Roman Zednik, Field CTO bei Tricentis, zeigt auf, warum Unternehmen in der Finanzbranche bei der Umsetzung der DORA-Vorgaben auf einen risikobasierten Ansatz setzen sollten. Er zeigt auf wie automatisierte Tests als Schl\u00fcsseltechnologie die Compliance-Beschleunigung vorantreiben k\u00f6nnen und stellt eine Aufholstrategie f\u00fcr Unternehmen vor, die die Anforderungen von DORA bislang noch nicht vollst\u00e4ndig umgesetzt haben. Der Beitrag beleuchtet praxisnahe Ans\u00e4tze und L\u00f6sungen, die Unternehmen helfen, ihre digitale Resilienz zu steigern und die Herausforderungen einer dynamischen regulatorischen Landschaft erfolgreich zu meistern.<\/p>\n\n\n\n

Software-Tests neu erfunden f\u00fcr Agile & DevOps | Tricentis<\/a><\/p>\n\n\n\n

\"\"
Roman Zednik, Field CTO bei Tricentis – Quelle: Tricentis<\/figcaption><\/figure>\n\n\n\n

DORA-Rettungsanker: Automatisierte Tests<\/strong><\/p>\n\n\n\n

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) in Kraft. Ohne nationale Umsetzungsgesetze gilt die Verordnung direkt und einheitlich in allen EU-Mitgliedstaaten. F\u00fcr die Finanzbranche beginnt damit eine neue \u00c4ra, in der die Messlatte f\u00fcr digitale Resilienz deutlich h\u00f6her liegt: DORA fordert mehr als punktuelle Ma\u00dfnahmen. Finanzinstitute m\u00fcssen Risiken im Bereich der Informations- und Kommunikationstechnologie systematisch identifizieren, bewerten und minimieren. Sie m\u00fcssen schwerwiegende Vorf\u00e4lle melden, regelm\u00e4\u00dfige Stresstests durchf\u00fchren und die Stabilit\u00e4t ihrer Systeme unter Belastung sicherstellen. Ebenso wichtig ist es, Risiken durch Drittanbieter wie IT-Dienstleister oder Cloud-Provider kontinuierlich zu \u00fcberwachen.<\/p>\n\n\n\n

DORA: Ein Marathon, kein Sprint<\/strong><\/p>\n\n\n\n

Das Ziel ist klar, doch der Weg ist anspruchsvoll. Denn Compliance mit DORA ist kein Zustand, den man erreicht und abhaken kann \u2013 es ist ein dynamischer Prozess, der st\u00e4ndige Wachsamkeit und Anpassungsf\u00e4higkeit verlangt. Besonders herausfordernd ist es, die Anforderungen in den Alltag der betroffenen Unternehmen zu integrieren.<\/p>\n\n\n\n

In Deutschland haben bisher nur wenige Finanzinstitute alle Vorgaben vollst\u00e4ndig umgesetzt<\/a>. Das ist wenig \u00fcberraschend, da sogar die Aufsichtsbeh\u00f6rden um die Komplexit\u00e4t wissen. Sie erwarten jedoch konkrete Umsetzungspl\u00e4ne, die zeigen, dass die Firmen handeln. Generell bedeutet das Zeitdruck: Sie m\u00fcssen die Grundanforderungen z\u00fcgig erf\u00fcllen und gleichzeitig Strategien entwickeln, um den steigenden Standards gerecht zu werden.<\/p>\n\n\n\n

Wie kann ein risikobasierter Ansatz dabei unterst\u00fctzen?<\/strong><\/p>\n\n\n\n

Zielf\u00fchrend ist hier ein risikobasierter Ansatz \u2013 Ressourcen dort einsetzen, wo man sie wirklich braucht: Statt Zeit und Geld gleichm\u00e4\u00dfig auf alle Systeme zu verteilen, liegt der Fokus darauf, die gr\u00f6\u00dften Risiken f\u00fcr Ausf\u00e4lle oder Angriffe zu identifizieren \u2013 und gezielt dort anzusetzen. Dieser Ansatz verleiht der DORA-Compliance Substanz, senkt Kosten und st\u00e4rkt die Resilienz. Ein oberfl\u00e4chliches Abarbeiten der Vorgaben reicht unserer Meinung nach nicht. Entscheidend ist, Schwachstellen konsequent zu analysieren und zu entsch\u00e4rfen. Egal, ob durch Penetrationstests bei kritischen Anwendungen oder durch regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der Sicherheitsprotokolle von Cloud-Dienstleistern \u2013 Priorisierung ist der Schl\u00fcssel zu einem effektiven Schutz.<\/p>\n\n\n\n

Automatisierte Tests als Compliance-Beschleuniger<\/strong><\/p>\n\n\n\n

Genau hier spielen automatisierte Software Tests ihre St\u00e4rke aus: Sie \u00fcberpr\u00fcfen \u00c4nderungen an gesch\u00e4ftskritischen Systemen sofort und zuverl\u00e4ssig, ohne dass ein Mensch jeden Schritt einzeln ansto\u00dfen oder \u00fcberwachen muss. End-to-End-Tests stellen sicher, dass Prozessketten reibungslos funktionieren \u2013 vom Kunden-Login bis zur Backend-Verarbeitung \u2013 und dokumentieren Schwachstellen in Echtzeit. Diese werden direkt in Incident-Management-Systeme eingespeist, was Zeit spart und Verantwortlichen einen klaren \u00dcberblick verschafft.<\/p>\n\n\n\n

Auch bei Belastungsspitzen zeigt sich ein weiterer Nutzen: Neben automatisierten Funktionaltests k\u00f6nnen automatische Lasttests durch simulierte Szenarien wie den Kundenansturm zu Wochenbeginn, wenn hunderte Nutzer gleichzeitig auf ihre Bankkonten zugreifen, das Gesch\u00e4ftsrisiko deutlich reduzieren. So lassen sich Engp\u00e4sse verhindern, und die Systeme bleiben stabil \u2013 selbst unter Druck. Automatisierung erleichtert zudem die Einhaltung strenger Anforderungen an das Incident Reporting. Fehler werden automatisch dokumentiert und priorisiert, sodass Unternehmen schnell reagieren k\u00f6nnen.<\/p>\n\n\n\n

Aufholstrategie f\u00fcr DORA-Nachz\u00fcgler<\/strong><\/p>\n\n\n\n

Wer eine nachhaltige Strategie verfolgen will, um die Compliance-L\u00fccke zu schlie\u00dfen, sollte auf folgende Ma\u00dfnahmen setzen:<\/p>\n\n\n\n