Die Digitalisierung setzt sich auch in Deutschland weiter durch – langsam, manchmal stockend, aber unaufhaltsam. Mit ihr steigt nicht nur die Effizienz, sondern auch die Verwundbarkeit. Allein 2024 zählte das Bundeskriminalamt über 130.000 Fälle von Cybercrime. Für Banken und Versicherungen kann ein erfolgreicher Angriff binnen Stunden Schäden in Milliardenhöhe verursachen. Der Finanzsektor gilt deshalb als kritische Infrastruktur. Und genau hier greift die neue EU-Verordnung DORA – der Digital Operational Resilience Act. Vor allem die darin enthaltenen Regularien zu Exit-Strategien sind sehr anspruchsvoll. Dabei können diese ein Weg zu größerer Souveränität sein.
Seit dem 17. Januar 2025 müssen Finanzunternehmen die Vorgaben einhalten. Eine Übergangsfrist lief noch bis Ende Mai, aber inzwischen drohen empfindliche Sanktionen. Ziel der Verordnung ist es, die Cyberresilienz von Banken, Versicherern und Finanzdienstleistern EU-weit auf ein einheitliches Niveau zu heben. Künftig müssen Institute nachweisen, dass ihre Systeme Angriffe ebenso überstehen wie Systemausfälle oder den Wegfall externer Dienstleister. Die Anforderungen reichen von umfassendem IT-Risikomanagement über kontinuierliche Schutzmaßnahmen bis hin zu klaren Reaktionsplänen für den Ernstfall. Verstöße sind teuer: Die Aufsichtsbehörden können Bußgelder von bis zu zwei Prozent des weltweiten Jahresumsatzes verhängen oder sogar operative Einschränkungen anordnen.
Hinter allen Details steckt ein zentrales Thema: Datensouveränität. Gemeint ist die Fähigkeit eines Unternehmens, jederzeit über seine geschäftskritischen Daten zu verfügen – unabhängig von Standort, Speicherort oder externem Dienstleister. Für Finanzinstitute bedeutet das: volle Transparenz über eingesetzte Softwarekomponenten, revisionssichere Dokumentation sämtlicher Datenflüsse und vor allem die Vermeidung proprietärer Formate, die einen Anbieterwechsel erschweren oder unmöglich machen.
Datensouveränität ist mehr als eine technische Frage. Sie entscheidet über regulatorische Compliance, über die Unabhängigkeit von einzelnen Anbietern und über die Wettbewerbsfähigkeit in einem Markt, der immer stärker digital getrieben ist. Um diese Souveränität zu erreichen, beinhaltet DORA verschiedene Vorgaben. Wichtig sind dabei vor allem belastbare Exit-Strategien.
Neu ist: DORA bezieht nicht nur die Finanzhäuser selbst ein, sondern auch deren IT-Dienstleister. Damit stehen erstmals Drittanbieter direkt im Visier der Regulierung. Besonders anspruchsvoll sind die Richtlinien zu Exit-Strategien: Jedes Institut soll nachweisen, dass es kritische Dienste jederzeit auf einen anderen Anbieter übertragen kann. Und das nicht nur theoretisch – die Pläne müssen regelmäßig getestet und an aktuelle Gegebenheiten angepasst werden.
Was auf dem Papier nach einer Vorsichtsmaßnahme klingt, wird in der Praxis schnell zur Mammutaufgabe. Denn ein funktionierender Anbieterwechsel setzt voraus, dass Daten vollständig dokumentiert, in offenen Formaten vorliegen und Systeme interoperabel sind. Proprietäre Technologien, fehlende Migrationstests oder lückenhafte Dokumentationen blockieren dagegen jeden Ausstieg. Wer das Thema verschleppt, riskiert nicht nur Strafzahlungen, sondern im Ernstfall die Handlungsfähigkeit seines gesamten Instituts.
Eine weitere strategische Weichenstellung betrifft die Infrastruktur. DORA verdrängt Cloud-Dienste nicht zwangsläufig, aber der Act verschärft die Anforderungen. Viele Institute setzen daher verstärkt auf hybride und Multi-Cloud-Modelle, um Abhängigkeiten zu verringern und regulatorische Vorgaben zur Portabilität zu erfüllen. Gleichzeitig erleben On-Premises-Infrastrukturen eine Renaissance: Dort, wo besonders sensible Daten verarbeitet werden oder die physische Kontrolle unverzichtbar ist, bleibt das eigene Rechenzentrum die erste Wahl.
Die Folge ist eine zunehmend komplexe IT-Landschaft, in der Cloud und On-Premise parallel betrieben werden – und in der beide Welten reibungslos miteinander funktionieren müssen. Wer diese Flexibilität nicht von Beginn an einplant, baut neue Abhängigkeiten auf, die DORA eigentlich verhindern soll.
Um die Punkte Exit-Tests und Cloud zusammenzufassen: Die Stackable Data Platform des Anwenders läuft beispielsweise bei Cloudanbieter A. Der Exit-Test prüft, ob ein Schwenk auf Cloudanbieter B möglich ist. Dadurch, dass Stackable auf Kubernetes (ein von Google entwickeltes Open-Source-System zur Verwaltung von Container-Anwendungen) definiert und betrieben wird, wird ein Umzug leicht möglich. Es geht hier nicht um die einzelne Anwendung, sondern die Umgebung aller Anwendungen als Ganzes.
Viele Häuser setzen inzwischen auf Open-Source-Technologien, fast Dreiviertel der deutschen Unternehmen setzen sie laut aktuellem Open Source-Monitor des Branchenverbands Bitkom ein. Sie bieten Transparenz, Anpassbarkeit und Interoperabilität – Eigenschaften, die DORA faktisch verlangt. Allerdings nur, wenn die Projekte professionell gepflegt und durch klare Governance-Prozesse abgesichert sind. Vernachlässigte Open Source-Komponenten können bezüglich Migrationen ebenso riskant sein wie veraltete proprietäre Systeme. Wichtig ist es deshalb, auf einen Anbieter zu setzen, bei dem nicht nur die einzelnen Komponenten der Lösung sicher sind, sondern der auch ein erprobtes Supply Chain Security-Konzept vorweisen kann.
Die Supply Chain Security sollte nicht nur die eigenen Komponenten einbeziehen, sondern etwa auch bei externen Open Source-Bibliotheken oder Container-Images dafür sorgen, dass sie transparent, geprüft und vor Manipulationen geschützt sind. Beispielsweise durch automatisierte Vulnerability-Scans, digitale Signaturen für Helm-Charts (für Kubernetes, vgl. helms.sh) oder Container und detaillierte Software Bill of Materials (SBOMs), die alle verwendeten Pakete und deren Herkunft offenlegen. Während noch viele Anbieter verschleiern, welche Drittkomponenten in ihrer Software stecken und woher diese stammen, sorgen Anbieter mit Supply Chain Security für eine proaktive Schwachstellenanalyse, um Abhängigkeiten sichtbar und kontrollierbar zu machen.
Modulare, interoperable Datenplattformen, vorzugsweise auf Basis von Open Source Software (OSS), können das entscheidende Puzzleteil bei der DORA-Umsetzung sein. Auch Stackable hat von Beginn auf eine OSS-Architektur gesetzt, die ohne Code-Anpassungen sowohl in der Cloud als auch On-Prem funktioniert, und bei der sich die gesamte Software-Lieferkette nachvollziehen lässt. Mit solchen Systemen lassen sich Szenarien für einen Anbieterwechsel realistisch nachstellen, ohne den laufenden Betrieb zu gefährden.
Durch die Kombination aus Vernetzbarkeit, Datenübertragung und dokumentierter Infrastruktur können Finanzunternehmen Exit-Tests durchführen, die nicht nur den DORA-Vorgaben genügen, sondern im Ernstfall auch handlungsfähig halten. OSS, wie wir sie einsetzen, ermöglicht zudem echte Anbieterneutralität durch offene Standards und freie Replizierbarkeit – im Gegensatz zu proprietären Lösungen, die sich an ein Ökosystem binden und Migrationen zu einem teuren Neuanfang machen. Auch Lizenzen bzw. Testlizenzen für proprietäre Systeme stehen dem womöglich im Weg.
Auch Technologien wie GitOps, bei denen Infrastruktur als Code verwaltet wird, helfen, Migrationsprozesse reproduzierbar und transparent zu gestalten. Bei der Stackable-Datenplattform sorgt GitOps etwa für die automatische und vereinfachte Bereitstellung und Verwaltung von Anwendungen auf Kubernetes, darunter Kafka, Trino oder Airflow. Das Framework wird dabei zum Single-Point-of-Truth, und Tools wie ArgoCD sorgen dafür, dass der Cluster-Zustand stets mit den darin definierten Konfigurationen übereinstimmt. Dieser Ansatz steigert Sicherheit, Nachvollziehbarkeit und Skalierbarkeit, reduziert manuelle Eingriffe und ermöglicht eine konsistente, wiederholbare Infrastruktur über alle Umgebungen hinweg. So können Institute realistische Exit-Tests fahren, Szenarien für einen Anbieterwechsel simulieren und dabei sicherstellen, dass der laufende Betrieb nicht gefährdet wird. Damit werden DORA-Vorgaben nicht zur Last, sondern zum Hebel: Wer auf modulare, offene Plattformen setzt, erreicht nicht nur Compliance, sondern gewinnt auch Flexibilität – die Fähigkeit, identische Workloads bei Bedarf im eigenen Rechenzentrum oder bei einem Hyperscaler zu betreiben.
Was jetzt zu tun ist
Für CIOs und CISOs bedeutet das: Die vorhandene IT-Landschaft muss auf den Prüfstand. Entscheidend sind Fragen wie:
- Wie portabel sind die Daten wirklich? Wie reproduzierbar laufen Migrationen ab?
- Sind die eingesetzten Komponenten offen genug, um einen Anbieterwechsel ohne Bruch zu ermöglichen?
- Gibt es eine vollständige Dokumentation, die auch regulatorisch Bestand hat?
Wichtig ist auch: Suchen Sie sich einen Anbieter, der nicht nur die Software bietet, sondern durch alle Prozesse begleitet. Denn die haben sich auch auf die Beratung spezialisiert und holen, falls gewünscht, weitere Partner hinzu. Stackable hat beispielsweise Partnerschaften mit IONOS und Ayedo, was die Möglichkeit zu Managed Services – also einem Fremdbetrieb – eröffnet.
Wer diese Punkte frühzeitig beachtet, verschafft sich nicht nur Rechtssicherheit, sondern auch einen nachhaltigen Wettbewerbsvorteil. Damit wird DORA ein wichtiger Schritt hin zur Datensouveränität und eine Gelegenheit, die IT-Strukturen des Finanzsektors widerstandsfähiger, unabhängiger und zukunftsfähiger zu machen.