Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Branche: Finanzdienstleistungen

DORA ist in Kraft.
Sind Sie compliant?

65% aller Finanzunternehmen wurden 2024 von Ransomware getroffen. Seit dem 17. Januar 2025 gelten die strengsten IT-Sicherheitsanforderungen, die der europäische Finanzsektor je gesehen hat.

DORA-Erstberatung vereinbaren Regulatorik im Überblick
ISO 27001 zertifiziert BSI-Forschungspartner Festpreisgarantie
Bedrohungslage Finanzsektor
DDoS-Anteil an Bank-Angriffen (EU) 58%
Quelle: ENISA Finance Threat Landscape 2024
Finanzfirmen von Ransomware betroffen 65%
Quelle: Sophos State of Ransomware 2025
Top-Finanzfirmen mit Lieferkettenangriff 100%
Quelle: SecurityScorecard 2024
6,08M USD Ø Breach-Kosten
600+ BaFin-gemeldete IKT-Vorfälle/Jahr

Vertrauen von Banken, Versicherungen und Finanzdienstleistern

Sicherheitsanalysen
Jahre Erfahrung
bis zum Festpreis-Angebot
festangestellte Experten

Warum Finanzsektor

Der Finanzsektor ist das lukrativste Angriffsziel

Keine andere Branche kombiniert direkten monetären Zugriff, regulatorischen Druck, geopolitische Bedrohung und Legacy-Infrastruktur wie der Finanzsektor.

Direkter Geldzugriff

Der Finanzsektor ist die einzige Branche, in der ein Cyberangriff direkt und sofort Geld stehlen kann - über SWIFT-Manipulation, Überweisungsbetrug oder Trading-Plattformen. Die globalen Kosten für Finanzbetrug lagen 2023 bei 485 Mrd. USD.

Geopolitische Bedrohung

Pro-russische Hacktivisten (NoName057(16)) führten 14 Angriffswellen gegen deutsche Finanzinstitute. DDoS macht 58% aller Bank-Angriffe in der EU aus. Staatliche Akteure (China: +300% Anstieg 2024, Nordkorea: Lazarus/BlueNoroff) zielen gezielt auf Finanzinfrastruktur.

Legacy-Systeme & Open Banking

92% der Top-100-Banken laufen auf Mainframes mit 60-70 Jahre altem COBOL-Code. Gleichzeitig erzwingt PSD2/Open Banking tausende neuer API-Endpunkte. 90% aller Web-Angriffe zielen mittlerweile auf APIs (Verizon DBIR 2024). Legacy trifft auf moderne Angriffsfläche.

Cyberangriffe auf den Finanzsektor - reale Fälle

Von Supply-Chain-Angriffen über Ransomware bis zu geopolitisch motivierten DDoS-Kampagnen - der Finanzsektor ist im Dauerfeuer.

Nov 2023

ICBC Financial Services (USA)

LockBit-Ransomware traf die US-Tochter der weltweit größten Bank (5,7 Bio. USD Assets). US-Treasury-Handel lahmgelegt, fehlgeschlagene Trades stiegen auf 60 Mrd. USD. Abwicklung per USB-Stick über Manhattan-Kuriere. Fitch warnte vor „wachsendem Zahlungsunterbrechungsrisiko" im 26-Billionen-Dollar-Markt.

Mai 2023

MOVEit Supply-Chain-Angriff

Cl0p-Ransomware nutzte eine Zero-Day-Schwachstelle in MOVEit Transfer. Über 60 Banken betroffen - darunter Flagstar Bank (800.000+ Kunden), FIS und FISC. 66,4 Mio. Personen weltweit kompromittiert. Geschätzter Gesamtschaden: bis zu 12,15 Mrd. USD. Viele Banken waren nur indirekt über Drittdienstleister betroffen.

Jul 2023

Deutsche Bank / Postbank / ING / Comdirect

Hacker kompromittierten einen Drittanbieter für Kontowechsel-Services. Kundendaten von Deutsche Bank, Postbank, ING und Comdirect betroffen - darunter Namen, IBANs und Transaktionsdaten aus den Jahren 2016-2020. Ein klassischer Supply-Chain-Angriff auf den deutschen Bankensektor.

2024-2025

NoName057(16) DDoS-Kampagnen

Pro-russische Hacktivisten führten 3.700+ Angriffe gegen westliche Ziele. Deutschland: 14 Angriffswellen, darunter gleichzeitige Ausfälle bei Sparkasse, Commerzbank und Volksbank Online-Banking (April 2024). Europol nahm das Botnet im Juli 2025 hoch - die Gruppe war 2 Wochen später wieder aktiv.

525 schwerwiegende IKT-Vorfälle meldeten deutsche Finanzunternehmen allein in den ersten 9 Monaten 2025 an die BaFin.
31% der Angriffe trafen nicht das Institut direkt, sondern einen Drittdienstleister.

Regulatorische Anforderungen

DORA - die fünf Säulen der digitalen Resilienz

Der Digital Operational Resilience Act vereinheitlicht die IT-Sicherheitsanforderungen für den gesamten europäischen Finanzsektor. Die alten Silos (BAIT, VAIT, KAIT, ZAIT) weichen einem einheitlichen Framework.

I

IKT-Risikomanagement

Art. 5-16: Umfassendes Framework mit persönlicher Vorstandsverantwortung. Asset-Inventar, Sicherheitsrichtlinien, BCM, Patch-Management, Krypto-Kontrollen. Jährliche Überprüfung Pflicht.

II

Incident Management

Art. 17-23: Dreistufiges Meldeverfahren - 4h Erstmeldung, 72h Zwischenmeldung, 1 Monat Abschluss. Klassifizierung nach Auswirkung, Dauer, Datenverlust und wirtschaftlichem Schaden.

III

Resilienztests

Art. 24-27: Jährliche Pentests und Schwachstellenscans (Art. 25). TLPT alle 3 Jahre auf Produktionssystemen für systemrelevante Institute (Art. 26-27). Purple Team verpflichtend.

IV

Drittparteienrisiko

Art. 28-44: Vollständiges Register aller IKT-Verträge (Ersteinreichung April 2025). Konzentrationsrisiko-Analyse, Vertrags-Pflichtklauseln, Exit-Strategien. 19 kritische IKT-Provider unter EU-Direktaufsicht.

V

Informationsaustausch

Art. 45: Freiwillige Teilnahme an sektorweitem Austausch von IoCs, TTPs und Threat Intelligence. Meldepflicht bei Beitritt/Austritt an BaFin. DSGVO- und Wettbewerbsrecht-konform.

!

Haftung & Strafen

Bußgelder bis 2% des weltweiten Jahresumsatzes. Persönliche Haftung der Geschäftsleitung bis 5 Mio. EUR (Deutschland: EU-Höchstwert). BaFin hat im Q3 2025 die erste DORA-Durchsetzungsmaßnahme verhängt.

Weitere relevante Regelwerke

MaRisk

Bleibt parallel zu DORA in Kraft

BAIT (Residual)

Bis 31.12.2026 für Nicht-DORA-Institute

PCI DSS v4.0

Kartenzahlung & Payment

KRITIS / NIS-2

DORA als lex specialis, BSI-Meldung bleibt

DORA-Compliance-Status unklar?

In einem 30-Minuten-Gespräch analysieren wir Ihre regulatorischen Pflichten und identifizieren die dringendsten Handlungsfelder.

DORA-Gap-Analyse anfragen

Digitale Resilienz aufbauen - nicht nur Compliance erreichen

Kostenlose Erstberatung. DORA-konforme Handlungsempfehlungen in 30 Minuten.

Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Unsere Leistungen für den Finanzsektor

Von DORA-Säule III (Resilienztests) über Säule I (IKT-Risikomanagement) bis zur Sensibilisierung Ihrer Mitarbeiter - alles aus einer Hand, ISO 27001-zertifiziert.

Penetration Testing

Online-Banking, APIs (PSD2/XS2A), Core-Banking, Active Directory, externe/interne Infrastruktur. DORA Art. 25-konform, OWASP/PTES/BSI-Leitfaden.

Details

Red Teaming / TLPT

Threat-Led Penetration Testing nach TIBER-EU-Methodik. Szenariobasiert, auf Produktionssystemen, mit verpflichtendem Purple Team. DORA Art. 26-27-konform.

Details

DORA Gap-Analyse & ISMS

Bewertung Ihres IKT-Risikomanagements gegen DORA Art. 5-16. ISMS-Aufbau nach ISO 27001. BAIT-zu-DORA-Transition. Drittparteienregister-Unterstützung.

Details

Phishing & Social Engineering

Gefälschte SWIFT-Benachrichtigungen, BaFin-Rundschreiben, Überweisungsfreigaben. Vishing (Telefonbetrug), CEO Fraud. Messbare Awareness-Verbesserung.

Details

Schwachstellenscan & Monitoring

Kontinuierliche Überwachung Ihrer externen und internen Angriffsfläche. Automatisierte Scans kombiniert mit manueller Validierung. Retainer-Modell verfügbar.

Details

Individuelles Paket?

SWIFT CSP Assessment, PCI DSS, Incident-Response-Retainer, API-Security-Audit - zugeschnitten auf Ihr Institut.

Bedarf besprechen

Angriffsvektoren im Finanzsektor

Von Ransomware über Supply-Chain-Angriffe bis zu Mobile-Banking-Trojanern - diese Bedrohungen treffen den Finanzsektor besonders hart.

65%

Ransomware

Ø 2,58 Mio. USD Wiederherstellungskosten

+196%

Mobile-Banking-Trojaner

1,24 Mio. Angriffe 2024 (Kaspersky)

16,6B

CEO Fraud (BEC)

USD Schaden weltweit 2024 (FBI)

31%

Supply-Chain-Angriffe

der BaFin-Vorfälle via Drittanbieter

90%

API-Angriffe

aller Web-Angriffe zielen auf APIs

3.700+

DDoS (Hacktivisten)

NoName057(16) Angriffe 2024-25

20M

Insider-Bedrohungen

USD Ø jährliche Kosten pro Institut

+300%

Staatliche Akteure (China)

Anstieg Angriffe auf Finanzsektor 2024

Warum AWARE7 für Ihr Finanzunternehmen

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Referenzen im Finanzsektor

Live Hacking & Awareness

Munich Re

(Remote) Live Hacking Show auf den Security Days in München

39.000+

Mitarbeitende im Konzern

3

Jahre der Zusammenarbeit

Live Hacking & Awareness

Sparkasse Langen-Seligenstadt

Live Hacking Veranstaltung in der Finanzbranche

Zertifiziert. Forschungsbasiert. Datensouverän.

Unternehmenszertifizierungen

  • ISO 27001 - Informationssicherheit
  • ISO 9001 - Qualitätsmanagement
  • BSI-Forschungspartner (BMBF/EU-Projekte)
  • 100% festangestellt - keine Freelancer

Persönliche Zertifizierungen

Datensouveränität - besonders relevant für den Finanzsektor

Verarbeitung in Deutschland

Keine US-Cloud, eigene Infrastruktur

Keine Subunternehmer

KWG §25b-konform, einheitliche Kontrolle

VS-NfD auf Anfrage

Für gehobene Vertraulichkeit

Kostenloser Leitfaden

DORA-Compliance-Leitfaden

Prüfen Sie in 20 Minuten, wo Ihr Institut bei den 5 DORA-Säulen steht - und wo die dringendsten Lücken liegen.

I IKT-Risikomanagement Check
II Incident-Reporting-Readiness
III Testprogramm & TLPT-Pflicht
IV Drittparteienregister & Exit-Strategie
! Haftung & Bußgelder

Leitfaden anfordern

Erfahren Sie, welche DORA-Anforderungen Ihr Institut betreffen und wo typische Compliance-Lücken liegen. Speziell für Banken, Versicherungen und Zahlungsdienstleister.

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Kein Spam - nur der angeforderte Leitfaden.

In drei Schritten zur digitalen Resilienz

1

DORA-Status & Gap-Analyse

In einem 30-minütigen Gespräch erfassen wir Ihren DORA-Reifegrad: bestehende Frameworks (BAIT, ISO 27001), Testprogramm, Drittparteienmanagement und akute Compliance-Lücken.

2

Tests & Maßnahmenplan

Wir führen die vereinbarten Prüfungen durch - Pentest, Red Team, Phishing-Simulation, Drittanbieter-Assessment - und liefern einen DORA-konformen Maßnahmenplan mit Priorisierung.

3

Umsetzung & Retainer

Auf Wunsch begleiten wir die Umsetzung, bauen Ihr IKT-Risikomanagement-Framework auf und stellen mit regelmäßigen Tests sicher, dass Sie dauerhaft DORA-konform bleiben. Festpreisgarantie.

Weiterführend

Regulatorische Themen für den Finanzsektor

Vertiefen Sie Ihr Verständnis der regulatorischen Anforderungen - von DORA über BaFin-Compliance bis zu NIS2.

EU-Verordnung

DORA: Alle Anforderungen

Die 5 DORA-Säulen, betroffene Unternehmen, Meldepflichten und Umsetzungsschritte im Detail.
Finanzaufsicht

BaFin: BAIT, MaRisk und mehr

Was nach DORA von BAIT/VAIT/KAIT/ZAIT übrig bleibt und wie Sie BaFin-Prüfungen bestehen.
Beratung

DORA-Beratung buchen

Gap-Analyse, IKT-Risikomanagement, Drittparteienregister und Penetration Testing nach Art. 25.

Häufige Fragen zur IT-Sicherheit im Finanzsektor

Der Digital Operational Resilience Act (EU 2022/2554) ist seit dem 17. Januar 2025 verbindlich - ohne Übergangsfrist. DORA betrifft 20 Kategorien von Finanzunternehmen: Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Kapitalverwaltungsgesellschaften, Krypto-Dienstleister (unter MiCA), Handelsplätze, zentrale Gegenparteien und weitere. Auch kritische IKT-Drittdienstleister (z. B. Cloud-Provider) unterliegen erstmals der direkten EU-Aufsicht. Kleinere Institute können ein vereinfachtes IKT-Risikomanagement-Framework nach Art. 16 nutzen.
VAIT, KAIT und ZAIT wurden zum 16. Januar 2025 aufgehoben. BAIT gilt für DORA-pflichtige Institute nicht mehr im Bereich IKT-Risikomanagement, bleibt aber für nicht-DORA-pflichtige Institute bis zum 31. Dezember 2026 in Kraft. MaRisk bleibt parallel zu DORA bestehen - Finanzunternehmen müssen beide Regelwerke gleichzeitig erfüllen. Sechs Arbeitsgruppen der BaFin haben die Unterschiede zwischen BAIT und DORA analysiert und im Juli 2024 Handlungsleitfäden veröffentlicht. Wir unterstützen Sie bei der konkreten Transition.
TLPT ist die erweiterte Testpflicht unter DORA Art. 26-27 für systemrelevante Institute - Global Systemically Important Banks (G-SIBs), große Zahlungsinstitute (>150 Mrd. EUR Transaktionsvolumen), zentrale Gegenparteien und weitere von der BaFin identifizierte Unternehmen. TLPT muss mindestens alle 3 Jahre auf Live-Produktionssystemen durchgeführt werden, mit externem Threat-Intelligence-Provider und Red Team. Ein Purple-Team-Exercise ist unter DORA verpflichtend - ein Novum gegenüber TIBER-EU. Die TLPT-RTS ist seit dem 8. Juli 2025 verbindlich.
Ein klassischer Penetration Test prüft technische Schwachstellen in definiertem Scope (z. B. Web-App, Netzwerk) über 5-20 Werktage. TLPT/TIBER-DE hingegen ist eine szenariobasierte Red-Team-Übung über 9-18 Monate: Ein externer Threat-Intelligence-Provider erstellt ein bedrohungsbasiertes Szenario, ein Red Team greift daraufhin die kritischen Geschäftsfunktionen auf Produktionssystemen an, während das Blue Team nicht informiert ist. Am Ende steht ein verpflichtendes Purple-Team-Exercise. Beide Testarten sind unter DORA vorgeschrieben - jährliche Pentests (Art. 25) und TLPT alle 3 Jahre (Art. 26-27) für designierte Institute.
DORA führt ein dreistufiges Meldeverfahren für schwerwiegende IKT-Vorfälle ein: (1) Erstmeldung innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend, spätestens 24 Stunden nach Kenntnisnahme; (2) Zwischenmeldung innerhalb von 72 Stunden mit vorläufiger Ursachenanalyse; (3) Abschlussmeldung innerhalb eines Monats mit vollständiger Root-Cause-Analyse und ergriffenen Korrekturmaßnahmen. Die Meldung erfolgt über die BaFin-MVP-Plattform. Der 4-Stunden-Zeitraum erfordert vollautomatisierte Detektions- und Eskalationspipelines - viele Institute hatten zuvor 24-48-Stunden-Eskalationswege.
Die durchschnittlichen Kosten eines Datenlecks im Finanzsektor liegen bei 6,08 Mio. USD (IBM Cost of Data Breach 2024) - 22% über dem Branchendurchschnitt. Die durchschnittlichen Wiederherstellungskosten nach Ransomware betragen 2,58 Mio. USD (Sophos 2025). Hinzu kommen regulatorische Strafen unter DORA (bis 2% des weltweiten Jahresumsatzes), BaFin-Maßnahmen und persönliche Haftung der Geschäftsleitung (bis 5 Mio. EUR in Deutschland - der höchste Wert in der EU). Die indirekten Kosten - Reputationsschaden, Kundenabwanderung, Marktvertrauensverlust - sind schwer zu beziffern, aber oft höher als die direkten Schäden.
Der Finanzsektor ist besonders anfällig für Social Engineering: Business Email Compromise (CEO Fraud) verursachte 2024 weltweit 16,6 Mrd. USD Schaden. 34% ungeschulter Mitarbeiter klicken auf Phishing-Links. Wir empfehlen: (1) Realistische Phishing-Simulationen, die den Bankarbeitsalltag widerspiegeln - gefälschte SWIFT-Benachrichtigungen, BaFin-Rundschreiben, Überweisungsfreigaben; (2) Vishing-Simulationen (telefonische Social Engineering), die im Finanzsektor besonders effektiv sind; (3) Kurze Micro-Learnings (10-15 Min.), die Compliance-Anforderungen und praktische Erkennung verbinden; (4) Live-Hacking-Vorführungen für Vorstände und Compliance-Abteilungen.
Wir decken drei der fünf DORA-Säulen direkt ab: (1) IKT-Risikomanagement - Gap-Analyse Ihres bestehenden Frameworks gegen DORA-Anforderungen, ISMS-Aufbau oder -Erweiterung nach ISO 27001; (2) Resilienztests - jährliche Penetration Tests (Art. 25), Schwachstellenscans, Social Engineering und szenariobasierte Tests; (3) IKT-Drittparteienrisiko - Security Assessments Ihrer kritischen Dienstleister. Für TLPT (Art. 26-27) bieten wir Red-Teaming-Dienste, die den TIBER-EU-Methoden entsprechen. Alle Leistungen zu Festpreisen, ohne Freelancer, alle Daten in Deutschland.
Ja. DORA kennt keine Umsatzschwelle - alle 20 Kategorien von Finanzunternehmen sind betroffen, unabhängig von der Größe. Allerdings erlaubt Art. 16 DORA ein vereinfachtes IKT-Risikomanagement-Framework für kleine und nicht-vernetzte Institute. In Deutschland qualifizieren sich etwa 1.100 kleinere Institute dafür. Das vereinfachte Framework reduziert den Aufwand (z. B. keine dedizierte IKT-Risikokontrollfunktion, keine Redundanzanforderungen), aber die Kernpflichten - Incident Reporting, Drittparteienregister, jährliche Tests - bleiben bestehen. Wir helfen Ihnen, den für Ihre Größe angemessenen Umfang zu bestimmen.
DORA Art. 28(3) verpflichtet alle Finanzunternehmen, ein vollständiges Register aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zu führen - auf Einzel-, Teilkonzern- und Konzernebene. Die erste Einreichung bei der BaFin war zum 30. April 2025 fällig. Das Register muss u. a. enthalten: Beschreibung der erbrachten Leistungen, ob diese kritische/wichtige Funktionen unterstützen, Unterauftragnehmer-Ketten und Konzentrationsrisiken. Die BaFin hat bereits ihre erste DORA-Durchsetzungsmaßnahme verhängt (450.000 EUR) - wegen unvollständiger Register-Dokumentation.

Digitale Resilienz beginnt mit dem ersten Gespräch

Kostenlose DORA-Erstberatung mit einem Finanzsektor-Sicherheitsexperten. Konkrete Empfehlungen in 30 Minuten.

DORA-Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung