DORA Oversight Guide verschärft Anforderungen: Wer die Schlüssel nicht kontrolliert, verliert die Datenhoheit
Der DORA Oversight Guide macht klar: Finanzunternehmen müssen vollständige Kontrolle über ihre Verschlüsselung und Schlüssel nachweisen – auch bei Cloud-Diensten wie Microsoft oder Amazon. Wer Daten und Schlüssel aus der Hand gibt, riskiert Compliance-Verstöße. Nur echte Schlüsselhoheit schützt vor regulatorischen Folgen.
Der erste DORA Oversight Guide bringt Bewegung in die europäische Finanzwelt: Mit dem am 15. Juli 2025 veröffentlichten Leitfaden konkretisieren die Aufsichtsbehörden EBA, ESMA und EIOPA, wie die Kontrolle über kritische IKT-Drittdienstleister künftig aussehen wird. Im Fokus stehen nicht nur neue Prüfstrukturen, sondern auch technische Vorgaben – allen voran zur Verschlüsselung und zur Schlüsselhoheit. Für Unternehmen, die auf Cloud-Dienste wie Microsoft 365, AWS oder Google setzen, hat das weitreichende Folgen: Wer die Kontrolle über seine Schlüssel nicht lückenlos nachweisen kann, läuft Gefahr, gegen DORA zu verstoßen. Die Zeit für technische Anpassungen läuft.
Was der Oversight Guide regelt
Der 74-seitige DORA Oversight Guide beschreibt, wie die europäischen Aufsichtsbehörden ihre neuen Befugnisse umsetzen wollen. Herzstück sind sogenannte Joint Examination Teams (JETs), die künftig grenzüberschreitende Prüfungen durchführen: Remote-Audits, Vor-Ort-Inspektionen und technische Kontrollen bei kritischen Drittanbietern, etwa Cloud-Plattformen, Softwarehäusern oder Outsourcing-Dienstleistern.
Ziel ist ein europaweit einheitlicher Standard für digitale Resilienz. Dabei behalten die Behörden nicht nur das Gesamtbild im Blick – etwa Risiko- und Sicherheitsarchitekturen –, sondern greifen auch tief in technische Details ein. So enthält der Leitfaden erstmals klare Hinweise auf konkrete Sicherheitsempfehlungen, die Drittanbieter betreffen. Dazu zählen:
- Vorgaben für Subunternehmerstrukturen (Subcontracting),
- Anforderungen an kryptografische Schutzmaßnahmen,
- und der Nachweis, dass Finanzunternehmen die vollständige Kontrolle über ihre Verschlüsselungsschlüssel behalten.
Artikel 5.4.1 macht Schlüsselhoheit zur Pflicht
Besonders brisant ist Artikel 5.4.1 des Dokuments. Er erlaubt es den Behörden, Empfehlungen zu kryptografischen Verfahren auszusprechen, insbesondere bei ausgelagerten IT-Infrastrukturen und Subdienstleistern. Damit wird erstmals klar geregelt, dass Organisationen jederzeit belegen müssen, wer die Kontrolle über gespeicherte Daten hat – und wer den Zugriff auf die Schlüssel technisch und organisatorisch absichern kann.
Für Finanzunternehmen, die Hyperscaler wie Microsoft, Amazon oder Google nutzen, bedeutet das: Es reicht nicht mehr aus, auf Verschlüsselung zu setzen – sie muss auch korrekt umgesetzt und nachvollziehbar dokumentiert sein. Entscheidend ist die vollständige Schlüsselhoheit. Nur wenn klar ist, dass weder der Cloud-Anbieter noch Dritte Zugriff auf die Schlüssel haben, ist die Compliance mit Artikel 5.4.1 gegeben.
Warum herkömmliche Cloud-Verschlüsselung nicht genügt
Viele Finanzinstitute verschlüsseln bereits ihre Daten – oft aber innerhalb der Cloud, mit Schlüsseln, die dort ebenfalls gespeichert oder vom Anbieter verwaltet werden. Dieses Vorgehen hat gleich mehrere Schwächen:
- Die tatsächliche Datenhoheit bleibt beim Cloud-Anbieter.
- Im Fall von Subcontracting droht der Verlust der Übersicht über Speicherorte und Zugriffsketten.
- Behörden könnten dies als gravierendes Compliance-Defizit werten.
Die Konsequenz: Selbst wer formal verschlüsselt, erfüllt unter Umständen nicht die neuen aufsichtsrechtlichen Anforderungen. Was jetzt gebraucht wird, ist ein neues Sicherheitsniveau – technisch durchdacht, regulatorisch belastbar und jederzeit nachweisbar.
Wie Unternehmen ihre Schlüsselhoheit sichern können
Eine zukunftssichere Verschlüsselungslösung beginnt nicht in der Cloud, sondern davor: mit einer client-seitigen, formaterhaltenden Verschlüsselung. Dabei bleiben alle Schlüssel vollständig unter der Kontrolle des Unternehmens. Die Daten werden vor der Übertragung in die Cloud verschlüsselt, sodass kein Drittanbieter Zugriff auf Klartextinformationen erhält – auch nicht im Falle eines Subdienstleisters.
Eine geeignete Lösung sollte vier Anforderungen erfüllen:
- Vollständige Schlüsselkontrolle liegt beim Unternehmen – kein Zugriff durch Anbieter oder Dritte.
- Nahtlose Integration in Microsoft 365, Salesforce und andere Anwendungen.
- Erfüllung aller relevanten Vorschriften: DORA, NIS2, Datenschutz-Grundverordnung.
- Keine Einschränkungen bei Funktionen wie Suche, Sortierung oder Zusammenarbeit.
Diese Architektur erlaubt es Finanzunternehmen, gegenüber Aufsichtsbehörden einen lückenlosen Nachweis zu erbringen: Die Schlüssel liegen intern, der Zugriff ist kontrolliert, die Verschlüsselung ist technisch und organisatorisch abgesichert – so, wie es Artikel 5.4.1 des DORA Oversight Guide verlangt.
Wer Kontrolle will, muss Schlüsselhoheit behalten
Der DORA Oversight Guide ist mehr als ein technischer Leitfaden – er markiert einen Paradigmenwechsel in der digitalen Aufsicht. Nicht nur Dienstleister, sondern auch deren Kunden stehen künftig im Visier der Aufsichtsbehörden. Finanzunternehmen müssen jetzt handeln, wenn sie Compliance, Sicherheit und Resilienz ernst nehmen.
Andreas Steffen, CEO bei eperi
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
