In den letzten Jahren haben viele Ausfälle der Energie- und unmittelbar daran anschließend der Informations- und Kommunikationsinfrastruktur stattgefunden. In deren Folge wurde die Geschäftstätigkeit von Finanz- und sonstigen Unternehmen, aber auch der öffentlichen Verwaltung und von Privatpersonen teilweise erheblich beeinträchtigt.
Auch in Zukunft ist mit Ausfällen der Energie- und Telekommunikationsinfrastruktur sowie von IT-Diensten und Rechenzentrumsleistungen zu rechnen, die unmittelbar auch Finanzunternehmen betreffen werden. Ursachen sind insbesondere die immer weiter ansteigende Abhängigkeit von Drittparteien, potenziell stark eskalierende (geo)politische Bedrohungen (z.B. Sabotage von Stromleitungen in Berlin Anfang Januar 2026) sowie zunehmende Naturrisiken.
Aus diesen Gründen bedarf es zwingend eines besseren Krisenmanagements und wirksamerer Schutzmaßnahmen bei kritischen Abhängigkeiten, vor allem in Bezug auf Energie und Telekommunikation sowie Cloud-Diensten, die als Basis-Drittdienstleistungen für Finanzunternehmen anzusehen sind. Der Digital Operational Resilience Act (DORA) war bisher zu sehr auf die regelbasierte Erfüllung formeller Compliance- und Governance-Vorgaben durch die diesem Regelwerk unterliegenden Finanzunternehmen ausgerichtet, ohne oftmals einen substanziellen Mehrwert gegenüber den bisherigen einschlägigen aufsichtlichen Anforderungen zu erbringen.
Dennoch hat DORA in den Bereichen Notfall- und Drittparteienrisikomanagement auch einige Fortschritte gebracht, unter anderem beim Risikomanagement der Informations- und Telekommunikationstechnologie (IKT). Zu nennen ist die Einführung erweiterter Krisenszenarien sowie die Anforderung, dass die Finanzunternehmen Informationsregister zu führen haben, in denen die bezogenen IKT-Drittdienstleistungen vollständig erfasst werden sollen. In diesem Jahr werden die Finanzunternehmen mit der Aktualisierung ihrer Informationsregister und der Überprüfung der Einstufung von IKT-Dienstleistungen zur Unterstützung kritischer / wichtiger Funktionen sowie erweiterten Notfalltests und nicht zuletzt der weiteren Überarbeitung der vertraglichen Vereinbarungen mit Drittdienstleistern und der regelmäßigen Überprüfung der Dienstleister-Leistungsqualität weitere Verbesserungen der IT-Sicherheit als Teil der DORA-Umsetzung erzielen. Wirtschaftsprüfer und Aufsicht können hierzu mit ihren Prüfungsaktivitäten beitragen.
Ein wichtiger, ergänzender Schritt wäre eine bessere staatliche Koordinierung von Schwachstellenanalysen und Notfallübungen, ausgehend von den auf EU-Ebene im Zuge von DORA identifizierten kritischen IKT-Drittdienstleistern. Die Liste dieser Dienstleister ist zwar zunächst recht kurz, zeigt aber die Bedeutung der allgemeinen Telekommunikationsinfrastruktur, der großen Rechenzentrumsprovider sowie Cloud-Anbietern.
Im Rahmen der NIS-2-Umsetzungsmaßnahmen (auf Basis des im Dezember 2025 im Bundesgesetzblatt veröffentlichten NIS-2-Umsetzungsgesetz (NIS2UmsuCG)) und dem vom Bundestag am 29.01.2026beschlossenen KRITIS-Dachgesetz müssten nun einschlägige Unternehmen der Energie- und Wasserwirtschaft, Telekommunikation sowie IT-Branche ebenso identifiziert und in das europäische und nationale Risikomanagement und die Notfallübungsstätigkeit eingebunden werden.
Generell wäre es sehr begrüßenswert, wenn nicht nur eine Liste der wichtigsten KRITIS-Betreiber in Deutschland erstellt würde, sondern diese KRITIS-Betreiber auch zur Durchführung von umfassenden Notfallübungen für die physische Infrastruktur verpflichtet werden. Zudem sollten besonders wichtige KRITIS-Betreiber auch ähnlich zum Threat-Led Penetration Testing gemäß DORA wesentliche Schwachstellen mit Hilfe eines extern beauftragten Dienstleisters ermitteln. Ein solcher besonders zertifizierter Penetration-Test-Dienstleister würde neben der Analyse von Schwachstellen der IKT-Infrastruktur im engeren Sinne dann zudem auch streng vertraulich an den KRITIS-Betreiber berichten, welche konkrete Möglichkeiten zur Sabotage der gesamten physischen Infrastruktur inkl. Stromleitungen bestehen und damit die Grundlage für konkrete Risikominderungsmaßnahmen schaffen.
Sinnvoll wäre auch der weitere Ausbau von Warn- und Notfallübungen in Kommunen und Landkreisen mit Beteiligung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) und lokalen Unternehmen. Auch der praxisorientierte Ausbau des Technischen Hilfswerkes zur Notfallbewältigung sollte angedacht werden. Hierzu hat die AG KRITIS bereits ein Konzept für ein „Cyber-Hilfswerk“ ausgearbeitet. Als schnelle Lösung wäre eine umfangreichere Zusammenarbeit von THW mit BSI-Krisenteams unter Einbeziehung der Bundeswehr in Bezug auf Notfallübungen zur Abwehr hybrider Angriffe wünschenswert. Notwendig erscheint die Durchführung von weiteren Übungen mit dem Szenario „Cyberangriff“ auf regionaler Ebene in Deutschland mit Simulation von erfolgreichen Angriffen auf die IKT der öffentlichen Verwaltung (siehe auch LÜKEX 2023 ) in Kombination mit physischen Sabotageattacken auf die Stromversorgung und Telekommunikationsübertragungsinfrastruktur. Solche Cyber- und Infrastrukturnotfallübungen sollten auch interessierte Unternehmen einbinden und könnten deren eigene Notfallübungen ergänzen.
Die finanziellen Mittel für eine solche staatliche Initiative zu Erhöhung der Resilienz kritischer Infrastrukturen, insbesondere auch in den Bereichen Energie und Telekommunikation stünden in Deutschland über die Sondervermögen nach der Reform zur Schuldenbremse zur Verfügung.
In der EU könnten im neuen mehrjährigen Finanzrahmen ebenfalls umfangreiche Finanzmittel bereitgestellt werden, so dass dann ab dem Jahr 2028 vielfältige Maßnahmen zur Erhöhung der Redundanz der technischen Infrastruktur und Reduktion der Abhängigkeit von nicht-europäischen IKT-Infrastrukturanbietern umgesetzt werden könnten. Dabei sollte frühzeitig auch über die Verknüpfung mit regulatorischen Vorgaben im Bereich KI sowie der Förderung von KI-Anbietern in der EU das Schaffen neuer Abhängigkeiten von einschlägigen außereuropäischen Drittdienstleistern vermieden werden.
Die Frankfurt School bietet zum Thema IT-Sicherheit im Finanzdienstleistungssektor Schulungen als Teil des Zertifikatsstudiengangs Risikomanager Non-Financial-Risks an. Dies erfolgt Zusammenarbeit mit der Deutschen Gesellschaft für Operational Risk Management. Außerdem bieten wir den Zertifikatsstudiengang IT Regulatory Assurance Manager in Zusammenarbeit mit der ISACA® sowie Tagesseminare zu DORA und NIS2 an.
Dr. Jens Gampe (Bundeswehr, Lehrbeauftragter an der Universität Leipzig, ehemals in der BaFin tätig im Aufgabengebiet IT-Aufsicht)
Frankfurt School gGmbH
Adickesallee 32-34
60322 Frankfurt am Main
