DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen

Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden veröffentlicht – Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ werden mit teils weitreichenden Auswirkungen konfrontiert

[datensicherheit.de, 21.07.2025] Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden mit teils weitreichenden Auswirkungen für Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ veröffentlicht. Demnach können unter anderem spezielle Teams Kontrollen auch hinsichtlich der Verschlüsselungstechnologie durchführen – wenn also z.B. ein Finanzunternehmen „Cloud“-Dienste von Microsoft, AWS oder Google nutzt, muss es in der Lage sein, jederzeit die Hoheit über die verwendeten Schlüssel nachzuweisen, auch bei redundanten oder ausgelagerten Systemen. Was Unternehmen jetzt im Bereich der Verschlüsselungstechnologie beachten sollten, erörtert Andreas Steffen, CEO von eperi, in seiner aktuellen Stellungnahme:

Foto: eperi

Andreas Steffen legt Finanzunternehmen im DORA-Kontext dringend nahe, die volle Kontrolle – sowohl technisch als auch rechtlich und organisatorisch – zu übernehmen

Das DORA-Inkrafttreten zwingt betroffene Organisationen sich auf ein neues Kontrollniveau vorzubereiten

Steffen berichtet: „Am 15. Juli 2025 veröffentlichten die europäischen Aufsichtsbehörden (ESA) den ersten ,DORA Oversight Guide’, ein entscheidendes Dokument, das die künftige Überwachung kritischer IKT-Drittdienstleister konkretisiert.“ Im Zentrum stehe der Aufbau sogenannter Joint Examination Teams (JETs) zur europaweiten Kontrolle von „Cloud“-Anbietern, Softwarelieferanten und anderen wichtigen Drittparteien.

• Doch diese Anleitung enthalte weit mehr als nur organisatorische Hinweise: „Insbesondere Artikel 5.4.1 des Leitfadens stellt klar, dass Aufsichtsbehörden künftig Empfehlungen zu Subcontracting und Verschlüsselungstechnologien aussprechen dürfen – mit gravierenden Folgen für alle Finanzunternehmen, die ,Hyperscaler’ wie Microsoft, Amazon oder Google nutzen.“

Er kommentiert: „Warum das jetzt relevant ist? Weil sich mit Inkrafttreten von DORA im Januar 2025 alle betroffenen Organisationen auf ein neues Kontrollniveau vorbereiten mussten und die Zeit drängt, falls es noch nicht bereits geschehen ist.“

„DORA Oversight Guide“ im Kurzüberblick

Der 32-seitige Leitfaden beschreibe detailliert, wie die ESA (EBA, ESMA und EIOPA) ihre Aufsichtsbefugnisse gegenüber kritischen IKT-Dienstleistern künftig ausübten. Ein zentraler Mechanismus seien die „Joint Examination Teams“ (JETs), welche grenzüberschreitend Audits, technische Inspektionen und Vor-Ort-Besuche durchführten.

• Ziel sei es, einheitliche Standards durchzusetzen und sicherzustellen, dass Anbieter Kritischer Infrastrukturen (KRITIS) das Risiko- und Resilienzprofil des Finanzsektors nicht gefährdeten.

Besonders relevant, so Steffen: „Die ESA kann Empfehlungen zu kritischen Sicherheitsmaßnahmen aussprechen, darunter:

1. Sicherheitsvorgaben für Subunternehmer (Subcontracting),
2. Verwendung starker Verschlüsselung,
3. Nachweis der Schlüsselhoheit durch das Finanzunternehmen selbst.

Artikel 5.4.1 im „DORA Oversight Guide“ von weitreichender Bedeutung

Artikel 5.4.1 im „Oversight Guide“ sei besonders bedeutsam: „Dort heißt es sinngemäß, dass Aufsichtsbehörden Empfehlungen abgeben dürfen, die auch kryptographische Schutzmaßnahmen betreffen, insbesondere im Hinblick auf Subdienstleister und ausgelagerte IT-Umgebungen.“

• Das bedeutet konkret: „Wenn ein Finanzunternehmen ,Cloud’-Dienste von Microsoft, AWS oder Google nutzt, muss es in der Lage sein, jederzeit die Hoheit über die verwendeten Verschlüsselungsschlüssel nachzuweisen – auch bei redundanten oder ausgelagerten Systemen.“

Damit rücke ein bislang oft vernachlässigter Punkt in den Fokus. „Wer kontrolliert die Daten und wer hält die Schlüssel in der Hand?“

Klassische „Cloud“-Verschlüsselung reicht nicht mehr aus

Viele Finanzunternehmen setzten bereits auf Verschlüsselung. Doch oft würden Schlüssel in der „Cloud“ selbst gespeichert oder durch den Anbieter verwaltet. Das Problem dabei laut Steffen:

• „Die Datenhoheit ist nicht vollständig gewährleistet.
• Im Fall von Subcontracting (z.B. bei global verteilten Rechenzentren) fehlt der Überblick.
• Die Aufsichtsbehörden könnten dies als Mangel werten, inkl. ,Compliance’-Risiken.“

Die Anforderungen aus dem „DORA Oversight Guide“ verlangten somit ein „neues Niveau an Transparenz und Kontrolle“.

DORA-Anforderungen einhalten – Schlüsselhoheit behalten

Steffen führt aus: „Eine Verschlüsselungslösung, die perfekt auf die Anforderungen aus DORA zugeschnitten ist, verschlüsselt Daten, bevor sie die ,Cloud’ erreichen – client-seitig und format-erhaltend, damit sie im Hintergrund weiterverarbeitet werden können.“

Eine Verschlüsselungsarchitektur sollte vier wichtige Aspekte sicherstellen:

1. Die Schlüsselkontrolle bleibt vollständig beim Unternehmen. Weder „Cloud“-Anbieter noch Dritte haben Zugriff.
2. Sie ist kompatibel mit „Microsoft 365“, „Salesforce“ und anderen Web-Applikationen.
3. Sie erfüllt strengste regulatorische Vorgaben – inklusive DORA, NIS-2, DSGVO.
4. Es ergeben sich keine Funktionseinbußen – Suchfunktionen, Sortierung und Kollaboration.

Mit dieser Architektur könnten Unternehmen gegenüber Aufsichtsbehörden nachweisen, dass die kryptographischen Schutzmaßnahmen vollständig unter ihrer Kontrolle stehen – eben genau das, was Artikel 5.4.1 fordert.

Schlüssel in der Hand – Kontrolle anerkannt

Der neue „DORA Oversight Guide“ zeige unmissverständlich, dass Aufsichtsbehörden die ITK-Drittdienstleister künftig genau unter die Lupe nähmen.

• „Für Finanzunternehmen bedeutet das, dass nur wer Datenhoheit und Schlüsselkontrolle nachweisen kann, die Anforderungen erfüllt.“

Als Lösung benennt Steffen beispielhaft „eperi sEcure“: Damit behielten Finanzunternehmen die volle Kontrolle – sowohl technisch, rechtlich und organisatorisch, um die Voraussetzungen für eine zukunftssichere, resiliente IT-Strategie im Finanzumfeld zu schaffen.

Weitere Informationen zum Thema:

eba European Banking Authority & eiopa European Insurance and Occupational Pensions Authority & ESMA European Securities and Markets Authority, 15.07.2025
Digital Operational Resilience Act (DORA): Oversight of critical third-party providers / Guide on oversight activities

EPERI
eperi® – Und Ihre Daten sind sicher. Punkt.

EPERI, 20.07.2023
eperi ernennt Andreas Steffen zum neuen CEO / Sein Ziel: Mit der eperi Verschlüsselungstechnologie zum führenden Anbieter für den Datenschutz in der Cloud zu werden

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen