Wie automatisierte Tests bei der DORA-Compliance helfen: Harte Regeln, wenig Zeit

Hinweis: Dieser Artikel stammt aus der Ausgabe 2/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Der Digital Operational Resilience Act (DORA) ist am 17. Januar 2025 in Kraft getreten. Die EU-Mitgliedstaaten wenden die Verordnung unmittelbar und einheitlich an – ohne zusätzliche nationale Umsetzungsgesetze. Damit beginnt für den Finanzsektor eine neue Ära, in der das Niveau der digitalen Widerstandsfähigkeit deutlich angehoben wird: DORA verlangt mehr als nur sporadische Maßnahmen. Finanzinstitute sind verpflichtet, Risiken im Bereich der Informations- und Kommunikationstechnologie systematisch zu identifizieren, zu bewerten und zu reduzieren. Sie müssen schwerwiegende Vorfälle melden, regelmäßig Stresstests durchführen und die Stabilität ihrer Systeme unter hoher Belastung sicherstellen. Auch die laufende Überwachung von Risiken durch Drittanbieter wie IT-Dienstleistern oder Cloud-Anbietern spielt eine entscheidende Rolle.

Bisher haben nur wenige Finanzinstitute in Deutschland alle Anforderungen vollständig erfüllt. Die Aufsichtsbehörden erwarten jedoch zumindest detaillierte Umsetzungspläne, die eindeutig belegen, dass die Unternehmen aktiv werden. Doch warum gestaltet sich dies für die meisten Firmen im Finanzsektor so schwierig?

Herausforderungen für Finanzunternehmen

Viele Finanzunternehmen sind zögerlich, wenn es um die konkrete Umsetzung der DORA-Verordnung geht. Kein Wunder, denn immerhin handelt es sich um einen hohen zusätzlichen Aufwand ohne direkten geschäftlichen Mehrwert. Finanzinstitute müssen DORA umsetzen, gewinnen dadurch jedoch keine neuen Kunden oder Umsätze.

Zudem haben Unternehmen der Finanzbranche oftmals eine historisch gewachsene Umgebung aus Legacy-Infrastrukturen und -Architekturen, die sie kontinuierlich anpassen und erweitern. Die notwendige Transparenz für Compliance-Prüfungen zu schaffen, um etwa Störungen von wichtigen Geschäftsprozessen zu vermeiden, ist dementsprechend herausfordernd. Erschwerend kommt noch hinzu, dass es häufig an Personal und interner Expertise fehlt: Finanzdienstleister stellen überwiegend keine neuen Mitarbeiter nur zum Zweck der DORA-Compliance ein.

So muss sich die bestehende Belegschaft dieser Aufgabe nun noch zusätzlich annehmen. Nicht zuletzt handelt es sich bei der DORA-Verordnung um ein äußerst komplexes Regelwerk, welches für Laien nicht ganz leicht zu durchschauen ist. Um trotz dieser Herausforderungen DORA-compliant zu werden, benötigen Unternehmen eine klare Strategie.

DORA-Compliant dank risikobasiertem Ansatz

Eine solche Strategie ist der risikobasierte Ansatz, der es Unternehmen ermöglicht, ihre Ressourcen gezielt einzusetzen. Anstatt Zeit und Geld gleichmäßig auf alle Systeme zu verteilen, liegt der Fokus hierbei darauf, die größten Risiken für Ausfälle oder Angriffe in der IT-Infrastruktur zu identifizieren und dort gezielt anzusetzen.

Automatisierte Softwaretests sind die Basis dieses Ansatzes: Sie prüfen zum Beispiel, ob geschäftskritische Systeme und Prozesse nach Änderungen noch funktionieren. Das kann passieren, wenn etwa ein Router ausgetauscht wird oder sich eine Konfiguration in einer Software durch ein Update ändert. Mithilfe der Tests kann man also ohne menschliches Zutun kontinuierlich sicherstellen, dass zentrale Prozessketten – vom Kunden-Log-in bis zur Backend-Verarbeitung – reibungslos ablaufen und Schwachstellen in Echtzeit vor der Produktivschaltung sichtbar werden.

Neben den beschriebenen automatisierten Funktionstests ist es essenziell, mittels Performancetests die Leistung der eigenen Systeme bei Lastspitzen zu überprüfen. Als Beispiel kann der Kundenansturm zu Wochenbeginn dienen, wenn Tausende Nutzer gleichzeitig auf ihre Bankkonten zugreifen wollen. Systemausfälle können in einem solchen Fall fatale Folgen haben: Wer Kunden nicht rund um die Uhr Zugriff bieten kann, riskiert Vertrauens- und Reputationsverluste und damit im schlimmsten Fall die Abwanderung zur Konkurrenz – an der es besonders im Finanzwesen nicht mangelt. Durch Simulationen und Testing ebendieser Szenarien haben Finanzinstitute die Möglichkeit, Kontinuität sowie Kundenzufriedenheit und -vertrauen sicherzustellen.

Mehr Resilienz durch gezieltes Training

In Kombination bilden automatisierte Funktionstests und Performancetests wichtige Säulen für Resilienztests (engl. Resilience Testing). Das sorgt dafür, dass Systeme unter Stress funktionsfähig bleiben, sich schnell von Fehlern erholen und die Verfügbarkeit von Diensten auch bei Störungen aufrechterhalten wird. Simuliert werden etwa Lastspitzen, um die Elastizität der Applikationen und der zugrunde liegenden Infrastruktur zu überprüfen. Dabei ist es zum Beispiel wichtig, dass Lasten gleichmäßig auf verfügbare Ressourcen verteilt werden.

Eine Erweiterung des Resilience Testing ist über das sogenannte Exploratory Testing möglich. Hierbei handelt es sich um eine dynamische Testmethode, bei der manuelle Tester ohne vorab definierte Testfälle interaktiv eine Software untersuchen. Sie setzen dabei ihr Wissen und ihre Erfahrung ein, um ein tieferes Verständnis für die Software zu entwickeln und Schwachstellen aufzudecken, die durch automatisierte Tests möglicherweise nicht erkannt werden. Die Ergebnisse eines Exploratory Testings können anschließend die Grundlage für die Erstellung weiterer sinnvoller automatisierter Test-Cases bilden.

Echtzeit-Überblick

Die Ergebnisse aller Softwaretests sollten in einem Dashboard zusammenlaufen. So haben Verantwortliche jederzeit den Überblick, können bei Fehlermeldungen schnell reagieren und sind gegenüber dem Management immer auskunftsfähig. Ferner dient das Dashboard auch als einfache Nachweisquelle für Auditoren und Wirtschaftsprüfer, die die DORA-Compliance eines Unternehmens überprüfen sollen.

Professionelle Anbieter von Continuous Testing und Quality Engineering unterstützen ihre Kunden bei jedem Schritt: von der Identifikation der kritischen Systeme und Prozesse über die Implementierung der automatisierten Softwaretests bis hin zur Auswertung im Dashboard. Unternehmen sollten eine Teststrategie nach dem Pareto-Prinzip verfolgen: 20 Prozent des Aufwands genügen, um 80 Prozent der Geschäftsrisiken abzudecken. So lässt sich auch ein „zu viel“ an Testing vermeiden, das in vielen Unternehmen nach wie vor betrieben wird. Es geht darum, möglichst effizient und zeitsparend automatisiert zu testen, statt die Inbetriebnahme neuer Software-Releases unnötig auszubremsen.

Fazit

DORA stellt Finanzinstitute vor große Herausforderungen – doch mit den richtigen Strategien erfüllen Unternehmen die Compliance-Anforderungen effizient und nachhaltig. Automatisierte Tests spielen dabei eine zentrale Rolle: Sie helfen, Risiken gezielt zu identifizieren, kritische Geschäftsprozesse kontinuierlich zu überwachen und Schwachstellen frühzeitig sichtbar zu machen.

Der Trend geht dabei klar in Richtung künstliche Intelligenz (KI). KI-gestützte Testautomatisierung spielt schon heute eine große Rolle, indem sie Testfälle schneller generiert, Abläufe optimiert und Testabdeckungen intelligenter priorisiert. Dadurch lassen sich ressourcenintensive Prüfprozesse weiter beschleunigen und Engpässe in der DORA-Compliance vermeiden.

Ein weiteres zentrales Zukunftsthema ist die zunehmende Integration von Compliance-Reportings, um jederzeit nachweisen zu können, dass DORA-Vorgaben erfüllt sind. Dabei sollten sich Verantwortliche immer vor Augen halten: DORA ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Unternehmen, die jetzt in intelligente, automatisierte Continuous-Teststrategien investieren, werden langfristig nicht nur resilienter, sondern auch wettbewerbsfähiger sein.