DORA ist kein „Nice‑to‑have“ – IKT‑Assetmanagement ist der Kern 

Seit dem 17. Januar 2025 gilt die Digital Operational Resilience Act (DORA) als verbindlicher EU‑Standard für digitale Resilienz im Finanzsektor. Für Banken, Versicherungen und andere Finanzunternehmen ist DORA nicht nur ein neues Compliance‑Papier, sondern ein radikaler Hebel zur Verbesserung von Cybersicherheit, IT‑Governance und operativer Stabilität.[1][2][3] 

Zentraler Baustein ist Artikel 8 DORA: das vollständige, risikoorientierte und aktuelle Inventar aller Informations‑ und IKT‑Assets, die Geschäfts‑ und kritische Funktionen unterstützen. Genau hier laufen viele Unternehmen heute noch in die Falle von Excel‑Listen, Silos und unvollständigen Daten – und riskieren damit Compliance‑Lücken, Audit‑Kritik und massive Sanktionen.[4][5][2][6][1] 

In diesem Beitrag analysieren wir, was DORA für Ihr DORA‑konformes IKT‑Assetmanagement wirklich fordert, zeigen empirische Daten zu Umsetzungsproblemen und positionieren Bexta als operativer Umsetzungspartner für ein modernes, Managed‑Service‑basiertes DORA‑IKT‑Assetmanagement im Finanzsektor.[5][6] 

Was DORA wirklich fordert: IKT‑Assetmanagement als Governance‑Baustein 

DORA koppelt IKT‑Assetmanagement untrennbar an das umfassende ICT‑Risk‑Management‑Framework (Artikel 5–16 sowie die zugehörigen Technical Standards). Für Ihr DORA‑IKT‑Assetmanagement bedeutet das mehr als „nur“ eine Liste der Server und Lizenzen – es ist ein kontinuierlicher Prozess, der Risiko‑ und Governance‑Standards umsetzt.[7][2][8][1] 

1. Vollständiges IKT‑Assetinventar(Art. 8 DORA)

Artikel 8 DORA verlangt von Finanzunternehmen ein vollständiges Inventar aller Informations‑ und IKT‑Assets, die Geschäfts‑ oder kritische Funktionen unterstützen – insbesondere wenn sie als kritisch klassifiziert sind. Dazu gehören:[4][7] 

• Hardware (Server, Storage, Endgeräte, Netzwerkkomponenten) 

• Software und Applikationen (Core‑Banking‑Systeme, Policy‑Systeme, CRM, Middleware) 

• Datenbestände und Datenbanken 

• Cloud‑Infrastrukturen und Plattformen (IaaS, PaaS, SaaS) 

• Externe Standorte und Rechenzentren[4] 

Die EBA und ESAs betonen, dass das Inventar eindeutige IDs, Verantwortliche, Standorte, Klassifizierungen und Verknüpfungen zu Geschäftsprozessen enthalten muss.[1][7] 

2. Klassifizierung nach Kritikalität und Risiko

DORA verlangt keine „beliebige“ Klassifizierung, sondern eine kritikalitätsbasierte Einordnung nach den unterstützten Geschäfts‑ und kritischen Funktionen. Kritische Assets sind dabei:[2][4] 

• Systeme, deren Ausfall oder Kompromittierung die Weiterführung der Geschäfts‑ oder kritischen Funktionen erheblich beeinträchtigt. 

• Infrastrukturen mit direktem Zugriff auf Kundendaten oder regulatorische Meldesysteme. 

Hier leiten EBA‑Richtlinien und ESAs‑Q&As ab, dass die Klassifizierung Risiko‑, Verfügbarkeits‑ und Abhängigkeitskriterien integrieren muss.[9][2] 

3. Lifecycle‑Management und Veränderungsdokumentation

Gemäß Art. 8 Abs. 6 DORA muss das IKT‑Assetinventar ständig gepflegt werden. Dazu gehört:[4] 

• Auf‑ und Abschaltung von Assets (Onboarding / Decommissioning) 

• Änderungen der Konfiguration, Versionen und Roll‑Outs 

• Dokumentation von Patches, End‑of‑Life‑Datums und Support‑Zeiträumen von Drittanbietern 

Organisationen müssen das Inventar mindestens jährlich oder bei jeder wesentlichen Änderung überprüfen.[7][4] 

4. Abhängigkeiten und Verknüpfung zu IT‑Service‑Management

DORA verlangt, dass kritische IKT‑Assets mit IT‑Service‑Management‑Systemen (z.B. CMDB), Business‑Continuity‑ und Risikomanagementprozessen verknüpft sind. Konkret bedeutet das:[10][4] 

• Verknüpfung von Assets zu Geschäfts‑ und kritischen Funktionen inkl. RTO/RPO. 

• Verknüpfung zu Vorfall‑Management‑Systemen (ICT‑Incident‑Reporting). 

• Verknüpfung zu Backup‑ und Restore‑Konzepten sowie Resilienz‑Tests.[6][7] 

5. Drittparteien‑Bezug und Auslagerungsregister

DORA verpflichtet Finanzunternehmen, IKT‑Drittparteien (inkl. Cloud‑Provider) systematisch zu erfassen und zu bewerten. Das IKT‑Assetinventar muss deshalb:[2][1] 

• Externe IKT‑Provider (Cloud, Hosting, Managed‑Services) als eigene Asset‑Kategorie führen. 

• Vertrags‑, Support‑ und Sub‑Kontoketten (Subcontracting) dokumentieren. 

• Verknüpfungen zum Drittparteien‑Register und zu den RTTS (Regulatory Technical Standards) aufweisen.[6][1] 

Die Realität in Banken & Versicherungen: Warum viele Unternehmen scheitern 

Trotz hoher Aufmerksamkeit bleibt die Umsetzung von DORA‑konformem IKT‑Assetmanagement in vielen Banken und Versicherungen fragmentiert. Studien von Big‑4‑Beratungen und Marktanalysen zeigen ein klares Muster: 

• KPMG‑Studie zu DORA‑Umsetzung (2025): In einer Analyse von neun Banken und fünf Versicherungen in Deutschland hatte keine der befragten Banken die DORA‑Vorgaben bis Januar 2025 vollständig erfüllt; Versicherungen starteten vielfach erst mit der Implementierung.[5] 

• Excel‑Lösungen und ad‑hoc‑Tabellen: Viele Institute lösen die Meldungs‑ und Inventar‑Anforderungen zunächst über Excel‑Tabellen, weil Tool‑Einführungen für DORA‑Klassifizierung und Resilienz‑Reporting noch laufen.[5][6] 

Typische Probleme 

• Silos und fehlende Single‑Source‑of‑Truth: 
  Assets verteilen sich über verschiedene Geschäftsbereiche, Infrastruktur‑Teams und Cloud‑Abteilungen. Ohne ein zentrales Inventar entstehen doppelte, veraltete oder inkonsistente Daten.[7][6] 

• Fehlende Kritikalitäts‑ und Risikobewertung: 
  Viele Unternehmen führen nur technische Inventare („was läuft?“), nicht aber die Risiko‑ und Geschäfts‑Kontexte („warum ist das kritisch?“).[11][2] 

• Manuelle Prozesse statt Automatisierung: 
  Regelmäßige Überprüfungen, Patches, Cloud‑Ressourcen‑Änderungen und Drittparteien‑Updates werden manuell nachgetragen – mit hohem Fehler‑ und Verzögerungspotenzial.[6][7] 

Das Ergebnis ist kein „DORA‑konformes IKT‑Assetinventar“, sondern ein Patchwork aus Halbfertigkeiten – und damit ein klarer Risikofaktor für Aufsicht und Audit.[3][5] 

Daten & Studien: IT‑Komplexität, Cloud‑Nutzung und Audit‑Risiken 

Um die Dringlichkeit von professionellem DORA‑konformem IKT‑Assetmanagement zu verstehen, hilft ein Blick auf aktuelle Kennzahlen und Benchmarks: 

• DORA‑Scope: DORA gilt für rund 22.000 Finanzunternehmen in der EU, darunter Banken, Versicherungen, Zahlungsdienstleister und kritische ICT‑Drittanbieter.[11][2] 

• Cloud‑Penetration im Finanzsektor: Branchenstudien schätzen, dass bereits über 60–70% der EU‑Banken relevante Workloads in der Cloud betreiben; die gleiche Richtung gilt für Versicherungen.[7][6] 

• Audit‑ und Review‑Ergebnisse: 

• KPMG und andere Beratungen berichten, dass bei >50% der DORA‑Reviews noch Lücken im IKT‑Assetinventar diagnostiziert werden, insbesondere bei Cloud‑ und Drittparteien‑Assets.[5][6] 

• Häufige Kritikpunkte: fehlende Klassifizierung nach Kritikalität, unvollständige Verknüpfung zu Business‑Funktionen und inkonsistente Daten zwischen CMDB, ISMS und BCM.[3][7] 

Modellrechnungen zeigen: Je größer das Geschäfts‑Volumen eines Instituts, desto höher ist im Falle einer DORA‑Sanktion nicht nur die Geldstrafe, sondern auch das reputational und regulatorische Risiko, einschließlich möglicher Betriebs‑Einschränkungen.[12][13] 

Risiken bei Nicht‑Umsetzung von DORA‑IKT‑Assetmanagement 

Ein unvollständiges oder inkonsistent gepflegtes IKT‑Assetinventar ist kein „softes“ Thema – es provoziert konkrete Risiken auf drei Ebenen: 

1. Regulatorische und haftungsrechtliche Risiken

DORA verpflichtet Finanzunternehmen zur Vollständigkeit, Aktualität und Konsistenz ihres IKT‑Assetinventars sowie zur Einbindung in das ICT‑Risk‑Management‑Framework.[1][2] 

• Sanktionen: Nationalen Aufsichtsbehörden (z.B. BaFin in Deutschland) stehen umfangreiche Instrumente zur Verfügung: öffentliche Rüge, Anordnungen, Geldstrafen und im Extremfall Entzug der Lizenz.[14][15][12] 

• Geldstrafen: Je nach nationaler Implementierung können Sanktionen bis zu 5% des Jahresumsatzes oder 10 Mio. € betragen; bei Personen in Führungspositionen sind bis zu 5 Mio. € möglich.[14][12] 

2. Operative Risiken

Ohne ein vollständiges IKT‑Assetinventar sind: 

• Incident‑Response‑Zeiten länger, weil kritische Systeme schwer zu lokalisieren sind. 

• Risiko‑ und Back‑out‑Pläne unvollständig, da Abhängigkeiten und Umfeld nicht transparent sind.[6][7] 

• Change‑ und Roll‑out‑Prozesse riskanter, weil „vergessene“ Assets bei Patch‑ oder Upgrade‑Szenarien nicht mitgedacht werden. 

3. Finanzielle und reputationsbezogene Risiken

• Kosten indirekter Non‑Compliance: 

• Mehraufwand in Audits, Tests und Nacharbeit. 

• Opportunity‑Costs durch umfangreiche Selbst‑Excel‑Lösungen statt skalierbarer, automatisierter Plattformen.[5][6] 

• Reputations‑ und Kundentreue‑Risiko: 
  Öffentliche Sanktionen oder wiederholte Audit‑Mängel können das Vertrauen von Kunden und Partnerbanken erheblich schädigen.[13][12] 

Wie modernes, DORA‑konformes IKT‑Assetmanagement aussieht 

Ein reines „Statisch‑Excel‑Register“ reicht nicht, um DORA‑Anforderungen wirklich zu erfüllen. Ein modernes IKT‑Assetmanagement‑Framework zeichnet sich durch drei Merkmale aus: 

1. Kontinuierlichstatt statisch 

Die Welt ist dynamisch: 

• Cloud‑Ressourcen werden angelegt und gelöscht. 

• Container‑Pools werden skaliert. 

• Patches werden automatisch verteilt. 

Ein DORA‑konformes IKT‑Assetmanagement ist integriert in Orchestrierungs‑, Deployment‑ und Monitoring‑Pipelines und aktualisiert sein Inventar automatisiert – nicht nur „vierteljährlich mit Excel“.[7][6] 

2. Risikobasiert statt rein technisch

Das Inventar ist kein technisches Verzeichnis, sondern ein Risikofokus‑Tool: 

• Jedes Asset ist mit einem kritikalitäts‑Score und einem Ausfall‑ / Kompromittierungs‑Impact verknüpft. 

• Risiko‑Metriken fließen in Dashboards für C‑Suite, CRO und CISO.[2][11] 

3. Prozess‑ undGovernance‑integriert

Ein vollwertiges IKT‑Assetinventar ist: 

• Anbindung an CMDB / Service‑Desk‑Systeme, 

• Anbindung an ISMS / GRC‑Plattformen, 

• Anbindung an BCM‑ und Resilienz‑Test‑Konzepte sowie 

• Anbindung an Incident‑ und Reporting‑Workflows.[6][7] 

Managed Service als Lösung: Perspektivwechsel beim DORA‑IKT‑Assetmanagement 

Viele Banken und Versicherungen stehen vor derselben Frage: 

„Sollen wir eine eigene Plattform kaufen und aufbauen – oder ein DORA‑konformes IKT‑Assetmanagement als Managed Service beziehen?“ 

Der Managed‑Service‑Ansatz bietet entscheidende Vorteile: 

• Kontinuität: Ein externer Partner betreibt das Inventar dauerhaft; nicht nur während eines Beratungsprojekts. 

• Skalierbarkeit: Zentrale Plattformen und Prozesse können mit Wachstum, Fusionen oder Cloud‑Migrationen skaliert werden. 

• Operative Entlastung: Interne IT‑Teams können sich auf Core‑Banking‑ und Produktthemen konzentrieren, nicht auf Spreadsheet‑Pflege. 

Für DORA‑relevantes IKT‑Assetinventar bedeutet dies: 

• Dauerhafte Inventarisierung von Assets aller Art, 

• Regelmäßige Klassifizierung und Risiko‑Bewertung, 

• Automatisierte Abstimmung mit Cloud‑, DevOps‑ und Security‑Ökosystem. 

Bexta GmbH – operativer Umsetzungspartner für DORA‑konformes IKT‑Assetmanagement 

Bexta GmbH positioniert sich nicht als klassische Beratung, sondern als operativer Umsetzungspartner für DORA‑konformes IKT‑Assetmanagement im Finanzsektor. Das Ziel ist klar: Sie erhalten kein Papier‑Konzept, sondern eine lauffähige, audit‑ready IKT‑Assetmanagement‑Lösung auf Basis eines strukturierten Managed Services.[3][5][7][6] 

IKT‑Assetmanagement als Managed Service (DORA‑konform) 

DORA verpflichtet Finanzunternehmen zu einem vollständigen, risikoorientierten und aktuellen IKT‑Assetinventar sowie zu dessen Einbindung in IT‑Risk‑Management und Business‑Continuity‑Prozesse. [[4] 
 

⁂ 

1. https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en        

1. https://www.fluxforce.ai/blog/dora-compliance-for-banks-7-ict-risk-requirements-to-meet-now           

1. https://youattest.com/blog/the-digital-operational-resilience-act-dora-in-germany-a-key-to-strengthening-financial-sector-resilience/     

1. https://digitale-operationale-resilienz.de/inventar-aller-kritischen-informations-und-ikt-assets/         

1. https://klardenker.kpmg.de/financialservices-hub/dora-2025-herausforderungen-und-naechste-schritte/         

1. https://simplifylabs.io/dora-compliance-strategies-2025/               

1. https://trilio.io/resources/dora-compliance/              

1. https://copla.com/blog/compliance-regulations/dora-regulations-in-germany/  

1. https://www.eba.europa.eu/publications-and-media/press-releases/eba-amends-its-guidelines-ict-and-security-risk-management-measures-context-dora-application  

1. https://www.forum-verlag.com/fachwissen/datenschutz-und-it-sicherheit/digital-operational-resilience-act/  

1. https://www.dechert.com/knowledge/onpoint/2024/3/exploring-dora-s-ict-risk-requirements–key-issues-for-asset-man.html    

1. https://matproof.com/de/frameworks/dora     

1. https://www.regulation-dora.eu/banking   

1. https://redintogreen.pl/en/consequences-of-non-compliance-with-the-dora-regulation/   

1. https://www.simmons-simmons.com/en/publications/cm60fpyud06qktr0k9h3ch8vg/dora-implementation-day-is-here  

1. https://www.linkedin.com/pulse/how-implement-asset-management-according-requirements-peter-høj-ocenf  

1. https://grc-docs.com/blogs/digital-operational-resilience-act-dora/case-studies-and-best-practices-of-dora  

1. https://www.alation.com/blog/dora-compliance-strategies-finance/  

1. https://apollon-security.com/pages/dora-digital-operational-resilience-act  

1. https://phoenix.security/dora-implementation/