SECURITY18. Juli 2025

DORA Oversight Guide: Was Finanzunternehmen jetzt über Verschlüsselung und Schlüsselhoheit wissen müssen

eperi

Am 15. Juli 2025 veröffentlichten die europäischen Aufsichtsbehörden (ESA) den ersten DORA Oversight Guide (Website), ein entscheidendes Dokument, das die künftige Überwachung kritischer IKT-Drittdienstleister konkretisiert. Im Zentrum steht der Aufbau sogenannter Joint Examination Teams (JETs) zur europaweiten Kontrolle von Cloud-Anbietern, Softwarelieferanten und anderen wichtigen Drittparteien. Doch der Guide enthält weit mehr als nur organisatorische Hinweise. Ein Kommentar

von Andreas Steffen, CEO von eperi

Insbesondere Artikel 5.4.1 des Leitfadens stellt klar, dass Aufsichtsbehörden künftig Empfehlungen zu Subcontracting und Verschlüsselungstechnologien aussprechen dürfen – mit gravierenden Folgen für alle Finanzunternehmen, die Hyperscaler wie Microsoft, Amazon oder Google nutzen.

Warum das jetzt relevant ist? Weil sich mit Inkrafttreten von DORA im Januar 2025 alle betroffenen Organisationen auf ein neues Kontrollniveau vorbereiten mussten und die Zeit drängt, falls es noch nicht bereits geschehen ist.

Was steht im DORA Oversight Guide?

Der 74-seitige Leitfaden beschreibt detailliert, wie die ESA (EBA, ESMA und EIOPA) ihre Aufsichtsbefugnisse gegenüber kritischen IKT-Dienstleistern künftig ausüben. Ein zentraler Mechanismus sind die Joint Examination Teams (JETs), die grenzüberschreitend Audits, technische Inspektionen und Vor-Ort-Besuche durchführen.

Ziel ist es, einheitliche Standards durchzusetzen und sicherzustellen, dass Anbieter kritischer Infrastrukturen das Risiko- und Resilienzprofil des Finanzsektors nicht gefährden.

Besonders relevant: Die ESA kann Empfehlungen zu kritischen Sicherheitsmaßnahmen aussprechen, darunter:

  • Sicherheitsvorgaben für Subunternehmer (Subcontracting),
  • Verwendung starker Verschlüsselung,
  • Nachweis der Schlüsselhoheit durch das Finanzunternehmen selbst.

Der Schlüssel zur Schlüsselkontrolle

Artikel 5.4.1 des Oversight Guides ist besonders bedeutsam. Dort heißt es sinngemäß, dass Aufsichtsbehörden Empfehlungen abgeben dürfen, die auch kryptografische Schutzmaßnahmen betreffen, insbesondere im Hinblick auf Subdienstleister und ausgelagerte IT-Umgebungen.

Das bedeutet konkret: Wenn ein Finanzunternehmen Cloud-Dienste von Microsoft, AWS oder Google nutzt, muss es in der Lage sein, jederzeit die Hoheit über die verwendeten Verschlüsselungsschlüssel nachzuweisen – auch bei redundanten oder ausgelagerten Systemen. Damit rückt ein bislang oft vernachlässigter Punkt in den Fokus. Wer kontrolliert die Daten und wer hält die Schlüssel in der Hand?

Warum klassische Cloud-Verschlüsselung nicht mehr ausreicht

Viele Finanzunternehmen setzen bereits auf Verschlüsselung. Doch oft werden Schlüssel in der Cloud selbst gespeichert oder durch den Anbieter verwaltet. Das Problem:

  • Die Datenhoheit ist nicht vollständig gewährleistet.
  • Im Fall von Subcontracting (z. B. bei global verteilten Rechenzentren) fehlt der Überblick.
  • Die Aufsichtsbehörden könnten dies als Mangel werten, inkl. Compliance-Risiken.

Die Anforderungen aus dem DORA Oversight Guide verlangen ein neues Niveau an Transparenz und Kontrolle.

Autor Andreas Steffen, CEO eperi

Andreas Steffen ist CEO bei eperi (Website). Der diplomierte Betriebswirt verfügt über langjährige Erfahrung in den Bereichen Management, Unternehmensstrategie, Marketing und Sales. Zuvor war er Chief Operating Officer (COO) beim Archivspezialisten Scope Solutions. Weitere Managementpositionen hatte er unter anderem bei Interflex Datensysteme, bei der Eselektro BV and Co. KG, bei der Lexware Vertriebs GmbH sowie der Lexware GmbH & Co. KG.

Schlüsselhoheit behalten

Eine Verschlüsselungslösung, die perfekt auf die Anforderungen aus DORA zugeschnitten ist, verschlüsselt Daten, bevor sie die Cloud erreichen – client-seitig und formaterhaltend, damit sie im Hintergrund weiterverarbeitet werden können. Eine Verschlüsselungsarchitektur sollte vier wichtige Aspekte sicherstellen:

  • Die Schlüsselkontrolle bleibt vollständig beim Unternehmen. Weder Cloud-Anbieter noch Dritte haben Zugriff.
  • Sie ist kompatibel mit Microsoft 365, Salesforce und anderen Web-Applikationen.
  • Sie erfüllt strengste regulatorische Vorgaben – inklusive DORA, NIS2, DSGVO.
  • Es ergeben sich keine Funktionseinbußen – Suchfunktionen, Sortierung und Kollaboration

Mit dieser Architektur können Unternehmen gegenüber Aufsichtsbehörden nachweisen, dass die kryptografischen Schutzmaßnahmen vollständig unter Ihrer Kontrolle stehen – genau das, was Artikel 5.4.1 fordert.

Fazit: Wer seine Schlüssel aus der Hand gibt, gibt auch die Kontrolle ab

Der neue DORA Oversight Guide zeigt unmissverständlich, dass Aufsichtsbehörden die ITK-Drittdienstleister künftig genau unter die Lupe nehmen. Für Finanzunternehmen bedeutet das, dass nur wer Datenhoheit und Schlüsselkontrolle nachweisen kann, die Anforderungen erfüllt. Mit eperi sEcure behalten Finanzunternehmen die volle Kontrolle, sowohl technisch, rechtlich und organisatorisch. Damit sind die Voraussetzungen für eine zukunftssichere, resiliente IT-Strategie im Finanzumfeld geschaffen.Andreas Steffen, CEO eperi

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert