Die EU-Verordnung DORA (Digital Operational Resilience Act) markiert einen Meilenstein in der Regulierung digitaler Resilienz für Finanzunternehmen. Sie fordert nicht nur robuste IT-Systeme, sondern rückt erstmals den Umgang mit Risiken in der digitalen Infrastruktur in den Fokus – insbesondere kryptografische Assets wie digitale Zertifikate und Schlüssel. Für Banken und Finanzdienstleister bedeutet das: Prozesse, die bislang eher im technischen Hintergrund angesiedelt waren, geraten nun ins Zentrum regulatorischer Anforderungen.

Inhalt

Kryptografische Assets – ein unterschätzter Risikofaktor Konkrete Anforderungen: Was DORA verlangt Zertifikatsregister als Governance-Instrument Umsetzung in der Praxis: Vorgehen in Projekten Praxisbeispiel: Unterstützung durch essendi crypto solutions Ausblick: Von Compliance zur Resilienz

Kryptografische Assets – ein unterschätzter Risikofaktor

Unsere Beratungspraxis zeigt: Viele Institute verfügen über etablierte Systeme zur Absicherung von Netzwerken und Anwendungen. Beim Thema Kryptografie hingegen herrscht häufig ein uneinheitliches Bild: Zertifikate werden in unterschiedlichen Bereichen verwaltet, zentrale Übersichten fehlen, Prozesse zur Erneuerung oder zum Widerruf sind nicht durchgängig etabliert. Als Folge können abgelaufene oder vergessene Zertifikate Betriebsstörungen auslösen oder Prüfanforderungen gefährden. DORA adressiert genau dieses Risiko.

Konkrete Anforderungen: Was DORA verlangt

Gemäß Artikel 9 sowie den zugehörigen technischen Standards fordert DORA unter anderem:

  • ein vollständiges, aktuelles Verzeichnis kryptografischer Assets,
  • deren Kategorisierung und Bewertung hinsichtlich Kritikalität,
  • eine nachvollziehbare Dokumentation von Nutzung, Speicherort und Verantwortlichkeit,
  • sowie Prozesse für das Lifecycle-Management, einschließlich Ablaufüberwachung, Eskalation und Auditfähigkeit.

Diese Anforderungen betreffen nicht nur technische Systeme, sondern auch Organisation, Prozesse und Governance-Strukturen.

Zertifikatsregister als Governance-Instrument

Ein zentrales Zertifikatsregister ist daher mehr als nur ein technisches Inventar. Es dient als verbindendes Element zwischen IT, Compliance, Risikomanagement und Revision. Entscheidend ist, dass es aktiv betrieben wird: Wer ist verantwortlich? Welche Prozesse greifen wann? Wie werden Änderungen dokumentiert? Ohne klare Zuständigkeiten und etablierte Abläufe bleibt ein Register wirkungslos.

Umsetzung in der Praxis: Vorgehen in Projekten

In DORA-Projekten bewährt sich ein schrittweises Vorgehen:

  1. Reifegradanalyse: Welche kryptografischen Assets sind im Einsatz? Wie werden sie aktuell verwaltet und welcher Plan zur Reifegradsteigerung ergibt sich daraus?
  2. Governance-Definition: Festlegung von Rollen, Zuständigkeiten und Eskalationswegen. Dazu gehört häufig auch die Einführung einer unternehmensweiten Krypto-Richtlinie, wie sie von Prüfern zunehmend erwartet wird.
  3. Werkzeugauswahl: Auswahl geeigneter Technologien zur Erfassung und Verwaltung.
  4. Integration: Einbindung in bestehende Prozesse und Anbindung an Systeme wie Active Directory, CMDB oder ITSM-Tools.

Besonders herausfordernd ist dies in komplexen, heterogenen IT-Landschaften mit dezentralen Strukturen – eine Konstellation, die im Finanzsektor häufig anzutreffen ist.

Praxisbeispiel: Unterstützung durch essendi crypto solutions

In Projekten zur Umsetzung von DORA-Anforderungen hat sich der Einsatz der essendi crypto solutions als praxistauglicher und anschlussfähiger Ansatz bewährt. Die Produktfamilie umfasst zwei aufeinander abgestimmte Software-Suites:

  • essendi cd für die automatisierte Erkennung und Erfassung kryptografischer Assets,
  • essendi xc für deren strukturierte Verwaltung über den gesamten Lebenszyklus.

Beide Lösungen lassen sich in bestehende Systemlandschaften integrieren, beispielsweise über Schnittstellen zu Active Directory, CMDBs oder gängigen ITSM-Tools. Sie unterstützen Unternehmen dabei, kryptografische Assets nicht nur technisch zu managen, sondern auch organisatorisch abzusichern.

Was in der Praxis besonders geschätzt wird: Die Software ist auf die Bedürfnisse regulierter Organisationen zugeschnitten, und dennoch flexibel anpassbar an unternehmensspezifische Prozesse, Rollenmodelle oder bestehende Governance-Strukturen.

Durch die enge Zusammenarbeit mit den erfahrenen Professional-Services-Teams kann die Einführung strukturiert und effizient begleitet werden: von der Reifegradanalyse über die Konfiguration bis hin zur Integration in übergreifende Compliance-Prozesse. Das reduziert den internen Aufwand und sorgt für eine nachhaltige Verankerung im Regelbetrieb.

In Kombination bilden essendi cd und essendi xc einen tragfähigen Baustein zur Umsetzung der DORA-Anforderungen und bieten gleichzeitig die Möglichkeit, das Thema Kryptografie langfristig strategisch zu positionieren.

Ausblick: Von Compliance zur Resilienz

DORA sollte nicht nur als regulatorische Vorgabe verstanden werden, sondern auch als Chance, Kryptografie strategisch im Unternehmen zu verankern. Wer jetzt in strukturierte Prozesse und transparente Verwaltungsmodelle investiert, stärkt nicht nur seine Auditfähigkeit, sondern legt auch den Grundstein für nachhaltige digitale Resilienz.

Kryptografische Assets verdienen denselben Stellenwert wie andere sicherheitsrelevante Ressourcen. Ein zentrales Zertifikatsregister ist dabei nicht das Endziel, sondern der notwendige erste Schritt.

Porträt von Pablo Schmücker, Senior Associate im Bereich Financial Services bei KPMG, lächelnd in dunkelblauem Sakko und hellblauem Hemd, Experte für KI-Sicherheit und Cybersecurity in der Finanz- und Versicherungsbranche.

Pablo Schmücker

Mehr über den Autor

Unser Gastautor Pablo Schmücker ist IT-Sicherheitsexperte bei KPMG und berät führende Unternehmen der Finanz- und Versicherungsbranche in den Bereichen Künstliche Intelligenz, Cyber Security sowie Kryptografie.

Mehr über den Autor

Daniel Schulz-Sembten

Mehr über den Autor
Proträt von Daniel Schulz-Sembten , Assistant Manager im Bereich Financial Services bei KPMG, in dunklem Sakko vor neutralem Hintergrund – Spezialist für Informations-sicherheit, Verschlüsselung und Public-Key-Infrastruktur (PKI) im Finanzdienstleistungsumfeld.

Unser Gastautor Daniel Schulz-Sembten ist Assistant Manager bei KPMG und berät seit 2021 Kunden – insbesondere aus dem Bereich Financial Services – bei der Umsetzung von Projekten zur operativen Informationssicherheit mit Fokus auf SOC, SIEM und Incident Management.

Mehr über den Autor

Abonnieren Sie den kostenfreien
essendi it Newsletter

JETZT ANMELDEN UND INFORMIERT BLEIBEN.