Cyberangriffe auf Finanzinstitute werden häufiger und raffinierter. Mit DORA setzt die Europäische Union klare Regeln, um die digitale Widerstandsfähigkeit des Finanzsektors zu stärken. Die Verordnung schafft ein einheitliches Regelwerk für IT-Sicherheit und Risikomanagement, das alle Finanzdienstleister in der EU einhalten müssen.
Am 17. Januar 2025 ist die EU-Verordnung offiziell in Kraft getreten. Daher sind die Unternehmen im Finanzsektor jetzt verpflichtet, die neuen Anforderungen zu berücksichtigen und mit der Anpassung ihrer IT-Sicherheitsmaßnahmen zu beginnen. Bis zum 17. Juli 2026 müssen sie die technischen Regulierungsstandards (RTS) umgesetzt haben. Diese enthalten detaillierte Vorgaben zur Absicherung digitaler Prozesse, zum Schutz vor Cyberangriffen sowie zum Risikomanagement. Ab dem 17. Oktober 2026 treten die delegierten Rechtsakte in Kraft. Diese EU-Vorschriften konkretisieren und ergänzen die DORA-Maßnahmen. Wer die Verordnung ignoriert oder zu spät handelt, riskiert nicht nur Sanktionen, sondern öffnet auch gravierende Sicherheitslücken.
DORA und ihre Bedeutung für die E-Mail-Sicherheit
Die Verordnung legt fünf zentrale Bereiche fest, um die Resilienz der Finanzinstitute zu stärken. Diese arbeiten heute meist mit einer historisch gewachsenen IT-Mischung aus On-Premises- und Cloud-Systemen – ein komplexes Geflecht, das Sicherheitslücken begünstigt. Cyberangriffe wie Phishing, Spoofing oder Malware-Verbreitung erfolgen oft per E-Mail – daher müssen Schutzmaßnahmen auch die E-Mail-Kommunikation ins Auge fassen.
Als einer der häufigsten Angriffsvektoren fällt E-Mail automatisch unter die allgemeinen DORA-Anforderungen für Risikomanagement, Meldepflichten und Sicherheitsprüfungen. Finanzinstitute müssen E-Mail-basierte Bedrohungen identifizieren, dokumentieren und durch regelmäßige Tests wie Phishing-Simulationen, Sicherheitsaudits und Stresstests minimieren. Zudem fordert DORA, dass sich die Finanzinstitute über Bedrohungen austauschen, denn die Cyberangriffe entwickeln sich ständig weiter.
Worauf Finanzunternehmen achten müssen
Die Compliance-Anforderungen von DORA erfordern in erster Linie die Überprüfung der Kommunikationsprozesse und deren Absicherung. Dabei kann ein Spezialist für Kommunikationslösungen unterstützen. Bei der Auswahl der Lösung und des Partners sind folgende Punkte besonders wichtig:
1. EU-Hosting und DSGVO-Konformität: Ein E-Mail-Provider mit Rechenzentren in Europa ist Pflicht, um Datenschutz- und Regulierungsanforderungen zu erfüllen. Denn Lösungen, die auf internationale Hyperscaler wie AWS, Google oder Microsoft setzen, bergen Compliance-Risiken. Idealerweise betreibt der Dienstleister seine Infrastruktur mit eigenem Personal und verzichtet auf Outsourcing sensibler Bereiche. Zertifizierungen wie ISO 27001 oder SOC 2 belegen eine durchgängige Sicherheitsstrategie.
2. Ausfallsicherheit durch redundante Infrastruktur: Eine Multi-Datacenter-Architektur sorgt für einen stabilen Betrieb. Dies gewährleisten georedundante Rechenzentren mit garantierter Hochverfügbarkeit. Ein zusätzlicher Fokus liegt auf der Absicherung der internen Kommunikation. E-Mails sollten nicht über öffentliche Internetknotenpunkte laufen, sondern über extra abgesicherte dezidierte Netzwerksegmente. Für den Fall, dass die IT-Infrastruktur dennoch einmal ausfällt, sollte der Anbieter zudem eine Lösung für E-Mail Continuity bereitstellen. Ein sicherer externer Webmail-Service, der unabhängig vom primären E-Mail-System ist, ermöglicht den Mitarbeitenden jederzeit eine unterbrechungsfreie E-Mail-Kommunikation.
3. E-Mail-Sicherheit über Standardfilter hinaus: Klassische Spam- und Phishing-Filter reichen längst nicht mehr aus. Schutz vor modernen Cyberangriffen erfordert Advanced Threat Protection (ATP), die Bedrohungen in Echtzeit erkennt und stoppt. Wichtige Bestandteile sind KI-basiertes Sandboxing, Post-Delivery Protection sowie Schutz vor Social Engineering und Ransomware.
4. Ende-zu-Ende-Verschlüsselung und E-Mail-Management: Die eingesetzten Lösungen sollten etablierte Verschlüsselungsverfahren wie S/MIME, PGP und Open PGP unterstützen, um Authentizität, Integrität und Vertraulichkeit der Kommunikation zu sichern. Ein durchgängiges E-Mail-Management stellt zudem sicher, dass sich Nachrichten jederzeit nachvollziehen und kontrollieren lassen. Eine konsequente Zertifikatsverwaltung verhindert effektiv E-Mail-Spoofing und Identitätsdiebstahl.
