Finanzdienstleister unter KRITIS und DORA: physische Sicherheit in einer Cyberwelt

DORA ist kein Cyberregelwerk. DORA ist ein operationelles Resilienzregelwerk, das den physischen Standort des Finanzdienstleisters in den Geltungsbereich einer Aufsicht zieht, die bislang nur die Logik der Server kannte.

Diese Verschiebung ist die eigentliche Nachricht. Solange operationelle Resilienz als Synonym für Informationssicherheit gelesen wurde, blieb die Tür zum Rechenzentrum, der Zugang zur Filiale, die Lieferkette der Hardware und die Frage, wer um drei Uhr morgens den Außenzaun einer Backup-Site betritt, eine Frage des Hausmeisters. Mit dem Inkrafttreten des Digital Operational Resilience Act und seiner Verzahnung mit den bestehenden Vorgaben aus BAIT, MaRisk und dem deutschen IT-Sicherheitsgesetz ist diese Frage zur Aufsichtsfrage geworden. Wer als Bank, Versicherer, Zahlungsdienstleister oder Krypto-Asset-Anbieter unter die Verordnung fällt, muss seine physische Substanz im selben Atemzug nachweisen, in dem er seine digitale Substanz nachweist.

Boswau + Knauer beobachtet diese Verschiebung aus der Position des Herstellers, der Finanzdienstleister seit Jahren mit physischer Sicherheitstechnologie ausstattet. Was sich verändert hat, ist nicht der Bedarf an Schutz. Was sich verändert hat, ist die Pflicht, diesen Schutz zu dokumentieren, zu prüfen und gegenüber einer Aufsicht zu verteidigen, die nicht mehr akzeptiert, dass die physische Ebene als nachgelagert behandelt wird.

Was DORA tatsächlich verlangt

Der Digital Operational Resilience Act ist seit Januar 2025 anwendbar und gilt unmittelbar in allen Mitgliedstaaten der Europäischen Union. Er adressiert Finanzunternehmen jeder Größe und ihre kritischen Drittanbieter. Im Zentrum stehen fünf Säulen: das Management von Risiken im Bereich der Informations- und Kommunikationstechnologie, die Meldung schwerwiegender Vorfälle, die regelmäßige Prüfung der digitalen operationellen Resilienz, das Management von Drittparteienrisiken und der Austausch von Informationen über Bedrohungen.

Die physische Dimension steht in keinem dieser Kapitel als eigene Säule. Sie steht in jedem dieser Kapitel als Voraussetzung. Risikomanagement nach Artikel 6 verlangt die Identifikation aller Vermögenswerte, die die digitale Wertschöpfung tragen. Dazu gehören Rechenzentren, Verteilerräume, Glasfaserstrecken, Notstromanlagen, Kühlsysteme. Wer diese Vermögenswerte nicht physisch sichert, hat keinen Vermögenswert, sondern eine Wette. Die Meldepflicht nach Artikel 17 erfasst nicht nur Cyberangriffe, sondern jeden schwerwiegenden Vorfall, der die Verfügbarkeit kritischer Funktionen beeinträchtigt. Ein Wassereinbruch in einem Serverraum, ein Brand in einem Backup-Standort, ein unbefugter Zutritt zu einem Kabelraum sind nach dieser Definition meldepflichtig, sobald sie die Wesentlichkeitsschwellen überschreiten.

Diese Auslegung ist nicht spekulativ. Sie ergibt sich aus dem Wortlaut der Verordnung und aus den technischen Regulierungsstandards, die die europäischen Aufsichtsbehörden in den vergangenen Monaten konkretisiert haben. Wer die Verordnung liest und die physische Ebene ausblendet, liest die Verordnung nicht. Er liest, was er lesen möchte.

In der Praxis bedeutet das, dass jeder Finanzdienstleister eine Bestandsaufnahme seiner physischen Vermögenswerte führen muss, die mit der Bestandsaufnahme seiner digitalen Vermögenswerte verknüpft ist. Welcher Server steht in welchem Rack, in welchem Raum, in welchem Gebäude, mit welcher Zutrittsregelung, mit welcher Videodokumentation, mit welchem Brandschutz, mit welcher Notstromversorgung. Diese Kette ist es, die unter Prüfung steht. Ein Glied genügt, um die Kette zu brechen.

BAIT, MaRisk und die deutsche Auslegung

Vor DORA gab es in Deutschland bereits ein engmaschiges Regelwerk. Die Bankaufsichtlichen Anforderungen an die IT der BaFin, kurz BAIT, sowie die analogen Anforderungen an Versicherer und Kapitalverwaltungsgesellschaften haben die physische Sicherheit der IT-Infrastruktur seit Jahren als integralen Bestandteil der IT-Sicherheit gefordert. Die Mindestanforderungen an das Risikomanagement, MaRisk, ergänzen diese Vorgaben um die Frage nach der Geschäftsfortführung im Krisenfall, einschließlich der baulichen und technischen Voraussetzungen für ausweichende Betriebsstandorte.

Die Frage, die in der deutschen Praxis bislang offen geblieben ist, lautet: Wie wird die physische Komponente konkret nachgewiesen. BAIT verlangt die Umsetzung anerkannter Standards. MaRisk verlangt angemessene Vorkehrungen. Beide Begriffe sind interpretationsoffen. In der Aufsichtspraxis hat sich eine Auslegung etabliert, die sich an den Grundschutzkatalogen des Bundesamts für Sicherheit in der Informationstechnik orientiert, ergänzt um die Anforderungen der VdS-Richtlinien für die Sicherheit von Banken und Versicherungen und um die Maßgaben des Gesamtverbands der Deutschen Versicherungswirtschaft für die Versicherbarkeit von Geld- und Wertdienstleistern.

Mit DORA wird diese Auslegung europäisch harmonisiert und gleichzeitig schärfer. Die technischen Regulierungsstandards der europäischen Aufsichtsbehörden verlangen eine Granularität in der Dokumentation, die in der bisherigen deutschen Aufsichtspraxis selten erreicht wurde. Wer einen Serverraum als sicher bezeichnet, muss erklären, was sicher bedeutet, gegen welche Bedrohung, mit welcher Reaktionszeit, mit welcher unabhängigen Bestätigung. Allgemeine Aussagen werden in einem Prüfungsbericht nicht mehr akzeptiert.

Die Verzahnung der drei Regelwerke ergibt für deutsche Finanzdienstleister eine Situation, in der DORA als europäische Verordnung den Rahmen setzt, BAIT und MaRisk als deutsche aufsichtliche Anforderungen die Auslegung schärfen und das IT-Sicherheitsgesetz, soweit die Institution als KRITIS-Betreiber eingestuft ist, zusätzliche Pflichten gegenüber dem BSI auslöst. Eine systemrelevante Bank ist in der Regel von allen drei Regelwerken erfasst. Die physische Sicherheit muss in allen drei Regelwerken funktionieren.

Die kritischen physischen Standorte einer Bank

Die naheliegende Antwort auf die Frage nach den kritischen physischen Standorten einer Bank lautet: das Rechenzentrum. Diese Antwort ist nicht falsch. Sie ist unvollständig. Eine Bank hat in der Regel mindestens fünf Klassen physischer Standorte, deren Sicherheitsanforderungen unter DORA und BAIT zu betrachten sind.

Erstens das primäre Rechenzentrum. Es trägt die produktiven Systeme und ist in den meisten Häusern bereits hoch gesichert. Zweitens das sekundäre Rechenzentrum, das im Ausweichfall die Funktion des primären übernimmt. Es ist nach DORA mit derselben Tiefe zu sichern wie das primäre, weil die operationelle Resilienz andernfalls nicht gewährleistet ist. Drittens die Verteilerräume in den Filialnetzen, in denen lokale Netzwerktechnik, Stromversorgung und Anbindung an die zentralen Rechenzentren physisch zusammenlaufen. Viertens die Geldautomaten und Selbstbedienungszonen, die als Schnittstelle zwischen Kunde und Infrastruktur einen Angriffsvektor darstellen, der in der Schadenstatistik der Branche regelmäßig nach oben rutscht. Fünftens die Standorte der kritischen Drittanbieter, deren physische Sicherheit nach Artikel 28 DORA in die Verantwortung des auslagernden Finanzdienstleisters fällt.

Boswau + Knauer hat in den vergangenen Jahren in mehreren dieser Standortklassen Sicherheitstechnologie implementiert. Die Erfahrung ist konsistent: Die Lücke liegt selten beim primären Rechenzentrum. Sie liegt fast immer bei den nachgelagerten Standorten, die im organisatorischen Bewusstsein des Hauses als weniger kritisch eingestuft sind, in der technischen Realität aber denselben Hebel auf die Verfügbarkeit haben. Ein Verteilerraum in einer Regionalfiliale ohne dokumentierten Zutritt, ohne Videoaufzeichnung, ohne Einbruchmeldeanlage ist unter DORA ein Befund. Ob er als wesentlicher Befund eingestuft wird, hängt vom Prüfer ab. Dass er als Befund auftauchen wird, ist nicht mehr eine Frage des Glücks.

In der Sicherheitsdiagnose, die im Buch von Boswau + Knauer mit dem Titel Vom Bau zur Sicherheitstechnologie beschrieben ist, taucht die Frage nach dem vollständigen Inventar der physischen Sicherheitsstandorte als eine der zwölf Kernfragen auf. Wer sie nicht aus dem Stand beantworten kann, hat im Sinne von DORA eine offene Flanke.

Welche Maßnahmen die Aufsicht erwartet

Die Aufsicht nennt keine Produktlisten. Sie nennt Schutzziele. Aus den Schutzzielen leiten sich die Maßnahmen ab. Vier Schutzziele sind in der Schnittmenge von DORA, BAIT und MaRisk dauerhaft präsent: Zutrittskontrolle, Überwachung, Detektion und Reaktion.

Zutrittskontrolle bedeutet, dass jede Person, die einen sicherheitsrelevanten Raum betritt, identifiziert, autorisiert und dokumentiert wird. Die technischen Mittel reichen vom mechanischen Schlüssel über Transponder, biometrische Verfahren und Vereinzelungsschleusen bis hin zu mehrstufigen Verfahren mit getrennten Vertrauenswurzeln. Die Aufsicht akzeptiert keine generische Beschreibung. Sie fragt nach dem konkreten Verfahren, nach dem Berechtigungsmanagement, nach der Revisionierung der Berechtigungen, nach der Reaktion auf Verlust eines Identifikationsmittels.

Überwachung bedeutet, dass jeder sicherheitsrelevante Raum video- und sensorisch erfasst wird, dass die Aufzeichnungen über einen festgelegten Zeitraum gespeichert werden und dass der Zugriff auf die Aufzeichnungen seinerseits dokumentiert ist. Die Anforderungen an die Bildqualität, die Speicherdauer, die Aufbewahrung und den Datenschutz sind in Deutschland durch die VdS-Richtlinien und die Vorgaben der Datenschutzaufsicht definiert. Eine Kamera, die nicht aufzeichnet, ist im Sinne der Aufsicht keine Überwachung.

Detektion bedeutet, dass Anomalien in Echtzeit erkannt werden. Einbruchmeldeanlagen, Brandmeldeanlagen, Wassermeldeanlagen, Temperaturüberwachung, Stromüberwachung. Jede dieser Anlagen muss an eine Stelle melden, die rund um die Uhr besetzt ist und die in der Lage ist, eine definierte Reaktion auszulösen. Die Aufsicht prüft nicht nur, ob die Anlagen existieren. Sie prüft, ob sie funktionieren. Wartungsnachweise, Funktionsprüfungen, Übungen sind Bestandteil der Dokumentation.

Reaktion bedeutet, dass auf einen Alarm eine Handlung folgt, die in einer dokumentierten Zeit beginnt und in einer dokumentierten Tiefe ausgeführt wird. Die Anbindung an einen geprüften Sicherheitsdienstleister, die Anbindung an die Polizei, die Anbindung an die eigene Krisenorganisation. Wer Alarm meldet, ohne zu reagieren, hat keinen Schutz, sondern eine Akte.

Diese vier Schutzziele sind nicht neu. Neu ist, dass sie unter DORA in einer dokumentarischen Tiefe nachzuweisen sind, die für viele Häuser eine Nachrüstung der Dokumentation, der Technik oder beider Ebenen bedeutet.

Wer prüft und welche Konsequenzen drohen

Die Aufsicht über die Einhaltung von DORA liegt bei den nationalen Aufsichtsbehörden, in Deutschland bei der BaFin und der Deutschen Bundesbank, ergänzt um die Zuständigkeit des Bundesamts für Sicherheit in der Informationstechnik für die KRITIS-relevanten Aspekte. Für besonders bedeutende Institute kommt die direkte Aufsicht der Europäischen Zentralbank im Rahmen des einheitlichen Aufsichtsmechanismus hinzu. Für kritische IKT-Drittanbieter haben die europäischen Aufsichtsbehörden, namentlich die Europäische Bankenaufsicht, die Europäische Wertpapier- und Marktaufsichtsbehörde und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung, ein eigenes Aufsichtsregime.

Die Prüfungstiefe ist in den vergangenen Monaten erkennbar gestiegen. Vor-Ort-Prüfungen der BaFin und der Bundesbank decken inzwischen regelmäßig die physische Sicherheit der IT-Infrastruktur ab. Die Prüfer kommen mit Checklisten, die sich aus den technischen Regulierungsstandards der europäischen Behörden ableiten. Sie betreten Rechenzentren, prüfen Zutrittsprotokolle, sichten Videoaufzeichnungen, lassen sich Wartungsverträge der Sicherheitsanlagen vorlegen und fragen nach der Anbindung an Notfall- und Krisenprozesse.

Die Konsequenzen reichen von Beanstandungen über aufsichtliche Maßnahmen bis zu Bußgeldern. DORA selbst sieht in Artikel 50 Sanktionen vor, die von den Mitgliedstaaten in ihrem nationalen Recht zu konkretisieren sind. In Deutschland wurde dies durch das DORA-Begleitgesetz umgesetzt, das Bußgelder in einer Größenordnung vorsieht, die einer ernsthaften aufsichtlichen Maßnahme angemessen ist. Für kritische IKT-Drittanbieter sind die europäischen Sanktionen unmittelbar anwendbar und können in eine Größenordnung gehen, die das Geschäftsmodell des Anbieters in Frage stellt.

Jenseits der Bußgelder steht die Konsequenz, die in der Aufsichtspraxis oft schwerer wiegt: die Anordnung zur Behebung von Mängeln, verbunden mit verkürzten Berichtspflichten und einer engmaschigen Begleitung durch die Aufsicht. Wer einmal in diese Begleitung geraten ist, verlässt sie nicht durch eine einzelne Maßnahme. Er verlässt sie durch eine über Quartale hinweg dokumentierte Verbesserung. Diese Quartale sind teuer, nicht in Bußgeldern, sondern in Managementaufmerksamkeit, die andernorts fehlt.

Die Kette zwischen Cyber und physisch

Die Trennung zwischen Cybersicherheit und physischer Sicherheit ist eine organisatorische Konvention. Sie ist keine technische Realität. Ein Angreifer, der ein Rechenzentrum physisch betritt, umgeht jede logische Zugriffskontrolle. Ein Angreifer, der die Stromversorgung einer Backup-Site sabotiert, erzeugt einen Ausfall, der in der Verfügbarkeitsstatistik nicht von einem Distributed-Denial-of-Service-Angriff zu unterscheiden ist. Ein Angreifer, der ein Wartungstechnikerausweis-Verfahren kompromittiert, kombiniert Social Engineering, physischen Zutritt und logischen Zugriff zu einer Kette, die ein rein digital orientiertes Sicherheitssystem nicht erfasst.

DORA folgt dieser Realität. Die Verordnung spricht von Informations- und Kommunikationstechnologie als einem System, das physische und logische Komponenten umfasst. Die Prüfungsanforderungen, insbesondere die Anforderungen an Bedrohungslagentests und die Tests der digitalen operationellen Resilienz, schließen physische Angriffsszenarien ausdrücklich ein. Wer einen Penetrationstest beauftragt und dabei nur die logische Ebene prüfen lässt, prüft die halbe Realität.

Boswau + Knauer arbeitet in dieser Schnittstelle mit Sicherheitstechnologie, die die Verbindung herstellt. Videoanalyse, die Anomalien in Zugangsbereichen erkennt und an die Sicherheitsleitstelle ausspielt. Sensorik, die in Verteilerräumen Temperatur-, Feuchte- und Bewegungsdaten erfasst und in dieselben Auswertungssysteme einspeist, in denen auch logische Sicherheitsdaten zusammenlaufen. Mobile Patrouillen, die nach festgelegten und nach randomisierten Mustern Außenanlagen abdecken und ihre Befunde in eine Plattform schreiben, die für die Aufsicht reproduzierbar ist. Die Verbindung der Ebenen ist kein Marketingversprechen. Sie ist die Voraussetzung dafür, dass die Dokumentation, die DORA verlangt, in einer einheitlichen Logik geführt werden kann.

Diese Verbindung ist auch der Punkt, an dem die Diskussion um den Mehrwert physischer Sicherheitstechnologie nicht mehr in Sicherheitsbegriffen geführt werden kann, sondern in Resilienzbegriffen. Der Mehrwert besteht darin, dass die Bank im Schadensfall handlungsfähig bleibt, dass sie ihre Berichtspflichten erfüllen kann, dass sie gegenüber Bauherren, Versicherern und Aufsehern dokumentationsfähig ist. Diese Größen sind in der Bilanz nicht direkt sichtbar. Sie sind in der Aufsichtsbeziehung sehr sichtbar.

Was bleibt

Die physische Sicherheit ist mit DORA aus der Nische der Hausordnung in die Disziplin der operationellen Resilienz gerückt. Wer als Finanzdienstleister, als kritischer Drittanbieter oder als verantwortlicher Vorstand mit dieser Verschiebung umgeht, hat zwei Möglichkeiten. Die erste Möglichkeit besteht darin, abzuwarten, bis eine Prüfung die offenen Stellen sichtbar macht, und dann unter Zeitdruck nachzurüsten. Die zweite Möglichkeit besteht darin, vor der Prüfung eine Standortbestimmung vorzunehmen, die Befunde in eine Priorisierung zu bringen und die Maßnahmen in einer Reihenfolge umzusetzen, die wirtschaftlich tragfähig ist.

Boswau + Knauer empfiehlt die zweite Möglichkeit. Sie ist nicht aufwendiger. Sie ist nur früher. Der Unterschied zwischen einer freiwilligen und einer angeordneten Maßnahme liegt nicht in der Maßnahme selbst, sondern in der Position, aus der sie umgesetzt wird. Wer freiwillig handelt, wählt den Zeitpunkt, den Lieferanten und die Tiefe. Wer angeordnet handelt, hat alle drei Größen abgegeben.

Für Finanzdienstleister, die diese Standortbestimmung in einem strukturierten Format führen wollen, bietet Boswau + Knauer ein Audit über drei bis fünf Tage an. Der Bericht ist nach Abschluss verwertbar, ohne dass eine weitere Verpflichtung gegenüber dem Auditor besteht. Wer zunächst nur ein Gespräch sucht, findet einen Weg von sechzig Minuten, vertraulich, mit einem Mitglied der Geschäftsleitung, ohne Folgekosten. Beide Wege sind dokumentiert und führen zu einem Ergebnis, das auch ohne weiteres Engagement bestehen bleibt.

Häufige Fragen

Was unterscheidet DORA von KRITIS?

DORA ist eine europäische Verordnung, die für Finanzunternehmen und ihre IKT-Drittanbieter unmittelbar gilt und operationelle Resilienz in einem definierten Rahmen verlangt. KRITIS ist die deutsche Regelung für Betreiber kritischer Infrastrukturen aus dem IT-Sicherheitsgesetz und der BSI-Kritisverordnung, die sektorübergreifend Banken, Versicherer, aber auch Energieversorger und Wasserwerke erfasst. DORA setzt sektoral, KRITIS setzt querschnittlich. In der Praxis greifen beide Regelwerke ineinander. Eine systemrelevante Bank ist regelmäßig beides, DORA-pflichtig und KRITIS-Betreiber. Die Dokumentation muss in beiden Regelwerken konsistent sein.

Welche physischen Maßnahmen sind Pflicht?

DORA nennt keine Pflichtprodukte, sondern Schutzziele. Aus diesen Schutzzielen leiten sich vier Bereiche ab, die in jedem Prüfungsbericht erscheinen. Zutrittskontrolle mit dokumentierter Berechtigungsführung. Überwachung mit Videoaufzeichnung und definierten Speicherzeiten. Detektion über Einbruch-, Brand-, Wasser- und Umgebungsmeldeanlagen mit Anbindung an eine besetzte Leitstelle. Reaktion mit dokumentierter Interventionszeit. Die konkrete technische Ausgestaltung folgt den Vorgaben des BSI, der VdS und des GDV. Wer diese Standards einhält und dokumentiert, erfüllt die operationellen Mindestanforderungen.

Wer kontrolliert die Umsetzung?

Die Aufsicht liegt in Deutschland bei der BaFin und der Bundesbank, für besonders bedeutende Institute zusätzlich bei der Europäischen Zentralbank im einheitlichen Aufsichtsmechanismus. Das BSI ist zuständig, soweit eine Einstufung als KRITIS-Betreiber vorliegt. Für kritische IKT-Drittanbieter führen die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA ein direktes Aufsichtsregime. Vor-Ort-Prüfungen decken inzwischen regelmäßig die physische Ebene ab. Zertifizierungen durch TÜV, VdS oder akkreditierte Stellen ersetzen die aufsichtliche Prüfung nicht, sie erleichtern sie aber, indem sie unabhängige Bestätigungen liefern, die der Prüfer in seine Bewertung aufnimmt.

Welche Strafen drohen?

DORA sieht in Artikel 50 Sanktionen vor, die von den Mitgliedstaaten national ausgestaltet werden. Deutschland hat dies im DORA-Begleitgesetz umgesetzt, mit Bußgeldern, deren Höhe sich an der Schwere des Verstoßes und der Größe des Instituts orientiert. Für kritische IKT-Drittanbieter können die europäischen Behörden unmittelbar Sanktionen verhängen, deren Höhe in einer Größenordnung liegt, die das Geschäftsmodell betrifft. Schwerer als das Bußgeld wiegt in der Aufsichtspraxis regelmäßig die Anordnung zur Behebung von Mängeln, verbunden mit engmaschiger Begleitung über mehrere Quartale, die Managementkapazität in einem Umfang bindet, der die wirtschaftliche Wirkung des Bußgelds übersteigt.