Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

DORA Kapitel IV / Schutzbedarf

Schutzbedarfsbewertung fuer IKT-Assets.

Systematische Bewertung des Schutzbedarfs nach 10 Dimensionen mit Zuordnung zu 4 Schutzbedarfsklassen (kF 1-4) fuer risikobasierte Testfrequenzen.

Hinweis: Diese Inhalte stellen keine vollständige Wiedergabe der DORA-Verordnung dar. Die Darstellung bietet eigene, praxisnahe Interpretationen der Anforderungen zur Unterstützung der Umsetzung. Keine Rechtsberatung — verbindlich sind die aktuellen Fassungen der EU-Verordnungen.

Management-Zusammenfassung

  • Der Schutzbedarf aller IKT-Assets wird systematisch nach 10 Dimensionen mit maximal 100 Punkten bewertet.
  • 4 Schutzbedarfsklassen (kF 1-4) ermöglichen risikobasierte Testfrequenzen und Ressourcenallokation.
  • Die Bewertung fließt direkt in DORA-Resilienztests, Incident-Klassifizierung und Drittparteiensteuerung ein.
  • Methodik ist auf DORA Kapitel IV und TIBER-EU Referenzszenarien abgestimmt.

Schutzbedarfsmodell

Additives Punktesystem über 10 Dimensionen mit Gewichtung nach kritischer Geschäftsfunktionalität und regulatorischer Relevanz.

10 Dimensionen
100 Max. Punkte
4 Schutzklassen
1.0 Version

4 Schutzbedarfsklassen

Kategorisierung aller IKT-Assets entsprechend ihres Schutzbedarfs.

kF1

Normal

Normal

Standard-Schutzbedarf mit Basis-Testanforderungen

0-25 Punkte
Testfrequenz-Multiplikator 1x
Min. Testtiefe Standard
TLPT erforderlich Nein
kF2

Hoch

Hoch

Erhöhter Schutzbedarf mit intensivierten Testanforderungen

26-50 Punkte
Testfrequenz-Multiplikator 1.5x
Min. Testtiefe Erweitert
TLPT erforderlich Nein
kF3

Sehr Hoch

Sehr Hoch

Kritischer Schutzbedarf mit umfassenden Testanforderungen

51-75 Punkte
Testfrequenz-Multiplikator 2x
Min. Testtiefe Intensiv
TLPT erforderlich Nein
kF4

Kritisch

Kritisch

Höchster Schutzbedarf mit maximalen Testanforderungen und regulatorischer Intensivierung

76-100 Punkte
Testfrequenz-Multiplikator 3x
Min. Testtiefe TLPT/Penetration
TLPT erforderlich Ja

10 Bewertungsdimensionen

Systematische Bewertung nach objektiven Kriterien.

1

Kritikalität der Geschäftsfunktion

Bewertung der Bedeutung der unterstützten Geschäftsfunktion für die operativen Ziele und regulatorischen Pflichten des Finanzunternehmens.

Bewertungskriterien:
  • Nicht kritisch (0 Punkte): Unterstützt interne Verwaltungsfunktionen ohne direkten Kundeneinfluss; kurzfristige Ausfalltoleranz > 7 Tage.
  • Wichtig (5 Punkte): Unterstützt interne Prozesse mit begrenztem operativen Impact; Ausfalltoleranz 2-7 Tage.
  • Kritisch (10 Punkte): Unterstützt wesentliche Kundengeschäfte oder regulatorische Meldeprozesse; Ausfalltoleranz < 48 Stunden.
  • Hochkritisch (15 Punkte): Unterstützt systemisch wichtige Funktionen (CRF), Zahlungsverkehrskritikalität oder anzeigepflichtige Vorfälle; Ausfalltoleranz < 4 Stunden.
Max. 15 Punkte
2

Systemische Relevanz

Einordnung gemäß DORA-Kategorien: Significant Entity, nicht-significant Entity oder spezielle Ausprägung (O-SII, CTPP-Bezug).

Bewertungskriterien:
  • Nicht signifikant (0 Punkte): Nicht-Significant Entity nach DORA Art. 2(18); einfache operative Struktur, begrenzte grenzüberschreitende Aktivitäten.
  • Signifikant (Standard) (5 Punkte): Significant Entity nach DORA; Standardanforderungen für größere Institute mit komplexerer IT-Landschaft.
  • Verstärkt signifikant (8 Punkte): O-SII (Other Systemically Important Institution) oder besonders komplexe Struktur; erhöhte Aufsichtsanforderungen.
  • Hochsystemisch (10 Punkte): Kritischer ICT-Drittdienstleister (CTPP)-Bezug oder Brutto-Leistungsbilanz > 100 Mrd. €; höchste regulatorische Aufmerksamkeit.
Max. 10 Punkte
3

Datenkritikalität und Volumen

Bewertung der verarbeiteten Datenarten (personenbezogen, vertraulich, kritisch) und des Datenvolumens gemäß DSGVO und interner Klassifizierung.

Bewertungskriterien:
  • Public/Internal (0 Punkte): Nur öffentliche oder allgemein interne Informationen; keine personenbezogenen Daten oder Geschäftsgeheimnisse.
  • Eingeschränkt vertraulich (3 Punkte): Interne Geschäftsdaten mit begrenztem Schutzbedarf; personenbezogene Daten in geringem Umfang.
  • Vertraulich (7 Punkte): Großvolumige personenbezogene Daten (Kundenstamm), Geschäftsgeheimnisse oder strategische Informationen.
  • Hochsensibel (10 Punkte): Besondere Kategorien nach DSGVO (Art. 9), Biometrie, Transaktionsdaten mit Systemrelevanz oder nationale Sicherheitsaspekte.
Max. 10 Punkte
4

Verfügbarkeitsanforderungen

Recovery Time Objective (RTO) und Recovery Point Objective (RPO) als quantifizierte Verfügbarkeitsanforderungen aus dem BCP.

Bewertungskriterien:
  • Standardverfügbarkeit (0 Punkte): RTO > 72h, RPO > 24h; keine Echtzeitanforderungen, manuelle Workarounds möglich.
  • Erhöhte Verfügbarkeit (3 Punkte): RTO 24-72h, RPO 4-24h; tägliche Batch-Verarbeitung mit begrenztem Datenverlust akzeptabel.
  • Hohe Verfügbarkeit (7 Punkte): RTO 4-24h, RPO 1-4h; Online-Systeme mit begrenztem Ausfallfenster, Hot-Standby erforderlich.
  • Kritische Verfügbarkeit (10 Punkte): RTO < 4h, RPO < 1h (near-zero); Echtzeitsysteme (Zahlungsverkehr, Trading) mit sofortigem Failover.
Max. 10 Punkte
5

Nutzung kritischer Drittanbieter

Einsatz von ICT-Drittdienstleistern, insbesondere solchen mit Kritikalitätsstatus (CTPP-Bezug, konzentrierte Abhängigkeiten).

Bewertungskriterien:
  • Keine/signifikante Dritte (0 Punkte): Keine oder nur nicht-signifikante ICT-Dritte; einfache interne IT mit begrenztem externen Bezug.
  • Signifikante Dritte (non-critical) (3 Punkte): Mehrere signifikante ICT-Dritte, aber keine Einzelabhängigkeit; substituierbare Services.
  • Kritische Dritte (CTPP-Bezug) (7 Punkte): Nutzung von ICT-Drittanbietern, die als kritisch (CTPP) eingestuft werden könnten; regulatorisches Oversight-Risiko.
  • Hohe Konzentration (10 Punkte): Kritische Abhängigkeit von einzelnem CTPP oder hohe Konzentration bei kritischen Services (Cloud, Zahlungsinfrastruktur).
Max. 10 Punkte
6

Auswirkung auf Finanzstabilität

Potenzielle Auswirkungen eines Ausfalls oder Vorfalls auf die Finanzstabilität (mikro- und makroprudentiell).

Bewertungskriterien:
  • Keine externe Auswirkung (0 Punkte): Ausfall betrifft nur interne Prozesse ohne Kunden- oder Marktimpact; isolierbares Risiko.
  • Begrenzte Kundenimpact (3 Punkte): Ausfall beeinträchtigt begrenzte Kundengruppen ohne Systemrelevanz; kein regulatorischer Meldezwang.
  • Signifikanter Kundenimpact (7 Punkte): Ausfall beeinträchtigt wesentliche Kundengruppen; mögliche regulatorische Meldung (significant cyber threat).
  • Systemischer Impact (10 Punkte): Ausfall könnte Finanzstabilität beeinträchtigen, Marktvertrauen untergraben oder dominoartige Effekte auslösen (Systemrelevanz).
Max. 10 Punkte
7

Technologische Komplexität

Komplexität der eingesetzten Technologien (Legacy, Cloud, Microservices, KI, Blockchain) und ihrer Interdependenzen.

Bewertungskriterien:
  • Standardisiert/Einfach (0 Punkte): Standard-IT mit etablierten Technologien (z.B. Standard-Datenbanken, Web-Apps); geringe Komplexität.
  • Moderate Komplexität (3 Punkte): Gemischte Landschaft mit einigen komplexen Komponenten; begrenzte Microservices-Architektur.
  • Hohe Komplexität (7 Punkte): Komplexe verteilte Architektur (Microservices, Multi-Cloud), Legacy-Integration, diverse Technologie-Stacks.
  • Extrem/Neuartig (10 Punkte): Hochkomplexe Architektur mit KI/ML, Blockchain, Edge-Computing; unklare Abhängigkeitsstrukturen; hohe Testanforderungen.
Max. 10 Punkte
8

Angriffsfläche und Bedrohungslage

Größe der Angriffsfläche (Internet-Exposition, APIs, Remote Access) und aktuelle Threat-Intelligence zur Bedrohungslage.

Bewertungskriterien:
  • Minimal/Intern (0 Punkte): Keine Internet-Exposition; interne Netze mit stark segmentiertem Zugriff; geringe Threat-Exposure.
  • Begrenzte Exposition (3 Punkte): Eingeschränkte Internet-Präsenz (z.B. Intranet, interne APIs); geringe APT-Relevanz.
  • Erweiterte Exposition (7 Punkte): Öffentliche Web-Services, Mobile-Apps, Cloud-APIs; aktive Bedrohung durch Cyberkriminalität; APT-Relevanz.
  • Hoch/State-Sponsored (10 Punkte): Große Angriffsfläche (Kunden-Portale, APIs, Remote Work); hohe APT-Aktivität; branchenspezifische Threat-Actors.
Max. 10 Punkte
9

Historische Vorfälle und Schwachstellen

Historische IKT-Vorfälle (intern oder bei Dritten), wiederkehrende Schwachstellen und Track-Record der Resilienz.

Bewertungskriterien:
  • Keine Vorfälle (0 Punkte): Keine signifikanten Vorfälle in den letzten 3 Jahren; geringe Schwachstellendichte in Scans.
  • Geringe Historie (3 Punkte): Wenige minor incidents; durchschnittliche Schwachstellendichte; keine wiederkehrenden Muster.
  • Mehrere Vorfälle (7 Punkte): Mehrere major incidents in den letzten 3 Jahren oder wiederkehrende Schwachstellenkategorien; erhöhtes Risikoprofil.
  • Kritische Historie (10 Punkte): Major-Extreme-Incidents, wiederholte Root-Cause-Failures oder systemische Schwachstellen; hohe Wahrscheinlichkeit erneuter Vorfälle.
Max. 10 Punkte
10

Regulatorische und rechtliche Anforderungen

Zusätzliche regulatorische Anforderungen durch Branchenaufsicht (BaFin, EBA), spezifische Gesetze (KWG, BSI-KritisV) oder internationale Standards.

Bewertungskriterien:
  • Basisebene (0 Punkte): Standard-DORA-Anforderungen; keine zusätzlichen spezifischen Regulierungen oder Gesetze.
  • Zusätzliche Aufsicht (3 Punkte): Zusätzliche Anforderungen durch Sektoraufsicht (z.B. VAIT für Versicherungen, ZAIT für Zahlungsdienste).
  • Kritische Infrastruktur (7 Punkte): BSI-KritisV-Betroffenheit oder zusätzliche nationale Meldeanforderungen; hohe Compliance-Anforderungen.
  • Multiregulatorisch (10 Punkte): Mehrfache regulatorische Rahmenbedingungen (DORA + Kritis + sektoral + international); höchste Compliance-Dichte.
Max. 10 Punkte

Bewertungsbeispiele

Typische Beispiele fuer die Zuordnung zu Schutzbedarfsklassen.

Internes Verwaltungssystem

kF1

Kein direkter Kundeneinfluss, Ausfalltoleranz > 7 Tage, keine regulatorische Meldepflicht.

Kundenportal (begrenzt)

kF2

Wichtige Kundenfunktion, aber begrenzter Umfang; Ausfalltoleranz 2-7 Tage.

Core-Banking-System

kF3

Kritische Kundengeschäfte, Ausfalltoleranz < 48 Stunden, regulatorische Meldepflicht.

Zahlungsverkehrssystem

kF4

Systemisch wichtige Funktion, Ausfalltoleranz < 4 Stunden, TLPT-Pflicht.