Roman - stock.adobe.com
DORA: Finanzkommunikation sicher gestalten
Phishing, Datenlecks und unsichere E-Mails sind ein großes Risiko für Finanzinstitute. Mit DORA verschärft die EU die Anforderungen an die Sicherheit und fordert Schutzmaßnahmen.
Cyberangriffe auf Finanzinstitute werden häufiger und raffinierter. Mit DORA (Digital Operational Resilience Act) setzt die Europäische Union klare Regeln, um die digitale Widerstandsfähigkeit des Finanzsektors zu stärken. Die Verordnung schafft ein einheitliches Regelwerk für IT-Sicherheit und Risikomanagement, das alle Finanzdienstleister in der EU einhalten müssen.
Die Umsetzung von DORA erfolgt schrittweise und hat einen klaren Zeitplan: Am 17. Januar 2025 ist die EU-Verordnung offiziell in Kraft getreten. Daher sind die Unternehmen im Finanzsektor jetzt verpflichtet, die neuen Anforderungen zu berücksichtigen und mit der Anpassung ihrer IT-Sicherheitsmaßnahmen zu beginnen. Bis zum 17. Juli 2026 müssen sie die technischen Regulierungsstandards (RTS) umgesetzt haben. Diese Standards enthalten detaillierte Vorgaben, um digitale Prozesse abzusichern, vor Cyberangriffen zu schützen und zum Risikomanagement. Ab dem 17. Oktober 2026 treten die delegierten Rechtsakte in Kraft. Diese EU-Vorschriften konkretisieren und ergänzen die DORA-Maßnahmen. Wer die Verordnung ignoriert oder zu spät handelt, riskiert nicht nur Sanktionen, sondern öffnet auch gravierende Sicherheitslücken.
DORA und ihre Bedeutung für die E-Mail-Sicherheit
Die Verordnung legt fünf zentrale Bereiche fest, um die Resilienz der Finanzinstitute zu stärken. Diese arbeiten heute meist mit einer historisch gewachsenen IT-Mischung aus On-Premises- und Cloud-Systemen – ein komplexes Geflecht, das Sicherheitslücken begünstigt. Cyberangriffe wie Phishing, Spoofing oder Malware-Verbreitung zum Beispiel erfolgen oft per E-Mail – daher müssen ihre Schutzmaßnahmen auch die E-Mail-Kommunikation ins Auge fassen. Unklare Routing-Prozesse zwischen lokalen und in der Cloud gehosteten E-Mail-Servern führen zu schwer kontrollierbaren Angriffsflächen. Fehlkonfigurierte MX-Records, nicht standardisierte DNSSEC-Implementierungen oder veraltete Authentifizierungsverfahren wie schwache SMTP-Auth-Methoden – sie alle öffnen Angreifern Tür und Tor.
Romana Staringer,
Retarus
Da E-Mails einer der häufigsten Angriffsvektoren sind, fallen sie automatisch unter die allgemeinen DORA-Anforderungen für Risikomanagement, Meldepflichten und Sicherheitsprüfungen. Finanzinstitute müssen auch E-Mail-basierte Bedrohungen identifizieren, dokumentieren und durch regelmäßige Tests wie Phishing-Simulationen, Sicherheitsaudits und Stresstests minimieren. Zudem fordert DORA, dass sich die Finanzinstitute über Bedrohungen austauschen, denn die Cyberangriffe entwickeln sich ständig weiter. Hierbei sorgen Plattformen wie MISP (Malware Information Sharing Platform) und Protokolle wie STIX/TAXII dafür, dass Bedrohungsdaten strukturiert und automatisiert hin- und her fließen. Auf diese Weise lassen sich Angriffsindikatoren (IOCs, Indicator of Compromise) schnell erfassen, gezielt auswerten und direkt weiterleiten.
Worauf Finanzunternehmen achten müssen
DORA fordert robuste IT-Sicherheitsmaßnahmen – doch worauf kommt es konkret an? Diese Aspekte sind zentral:
1. EU-Hosting und DSGVO-Konformität
Ein E-Mail-Provider mit Rechenzentren in Europa ist Pflicht, um Datenschutz- und Regulierungsanforderungen zu erfüllen. Denn Lösungen, die auf internationale Hyperscaler wie AWS, Google oder Microsoft setzen, bergen Compliance-Risiken. Idealerweise betreibt er seine Infrastruktur mit eigenem Personal und verzichtet auf Outsourcing sensibler Bereiche. Zertifizierungen wie ISO 27001 oder SOC 2 belegen eine durchgängige Sicherheitsstrategie.
Eberhard Rohe,
Retarus
2. Ausfallsicherheit durch redundante Infrastruktur
Eine Multi-Datacenter-Architektur sorgt für einen stabilen Betrieb. Dies gewährleisten georedundante Rechenzentren mit garantierter Hochverfügbarkeit. Ein zusätzlicher Fokus liegt auf der Absicherung der internen Kommunikation. E-Mails sollten nicht über öffentliche Internetknotenpunkte laufen, sondern über extra abgesicherte dezidierte Netzwerksegmente.
3. E-Mail-Sicherheit über Standardfilter hinaus
Klassische Spam- und Phishing-Filter reichen nicht aus. Schutz vor modernen Cyberangriffen erfordert Advanced Threat Protection (ATP), die Bedrohungen in Echtzeit erkennt und stoppt. Wichtige Bestandteile sind:
- KI-basiertes Sandboxing, um verdächtige Anhänge zu analysieren
- Post-Delivery Protection, die neuartige Malware in bereits zugestellten E-Mails nachträglich erkennt und Empfänger warnt, sobald entsprechenden Signaturen vorliegen
- Schutz vor Social Engineering und Ransomware
4. Ende-zu-Ende-Verschlüsselung und E-Mail-Management
Die eingesetzten Lösungen sollten S/MIME, PGP und OpenPGP unterstützen, um Authentizität, Integrität und Vertraulichkeit der Kommunikation zu sichern. Ein durchgängiges E-Mail-Management stellt zudem sicher, dass sich Nachrichten jederzeit nachvollziehen und kontrollieren lassen. Gibt es eine konsequente Zertifikatsverwaltung, verhindert diese effektiv E-Mail-Spoofing und Identitätsdiebstahl.
Fazit: E-Mail-Sicherheit unter DORA: Pflicht, nicht Kür
Cyberangriffe, Ransomware und IT-Ausfälle setzen den Finanzsektor unter Druck. Durch DORA können seit dem 17. Januar 2025 erhebliche Bußgelder die Folge sein. Kommunikationskanäle sollten stärker in den Fokus rücken: Ohne Verschlüsselung, Authentifizierung und manipulationssichere Prozesse bleibt jede Sicherheitsstrategie lückenhaft. Wer E-Mails nicht schützt, setzt nicht nur sensible Daten aufs Spiel, sondern auch die eigene Compliance.
Über die Autoren:
Romana Staringer ist Senior Account Manager E-Mail Security bei Retarus.
Eberhard Rohe ist Account Director und Finanzexperte bei Retarus.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
