Der Digital Operational Resilience Act führt verbindliche IKT-Risikomanagement-Verpflichtungen für alle europäischen Finanzinstitute ein, darunter Banken, Versicherer, Wertpapierfirmen und Zahlungsdienstleister, die in Deutschland tätig sind. Deutsche Finanzinstitute unterliegen einer strengen Durchsetzung unter der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und einer verpflichtenden Vorfallmeldung, die über die traditionellen Verpflichtungen der Cyberangriffsmeldeverordnung hinausgeht. Diese Anforderungen erfordern architektonische Änderungen in der Art und Weise, wie sensible Finanzdaten zwischen Instituten, Dritten und Kunden bewegt werden.

Deutsche Finanzinstitute müssen nun eine kontinuierliche Kontrolle über IKT-Abhängigkeiten nachweisen, strikte Drittanbieter-Risikoklassifizierungen implementieren und unveränderliche Audit-Trails aufrechterhalten, die jedes System, jeden Workflow und jeden Datenaustausch den fünf Säulen von DORA zuordnen. Dieser Artikel erklärt, wie deutsche Banken, Versicherer und Vermögensverwalter die DORA-Anforderungen an das IKT-Risikomanagement durch Governance-Neugestaltung, Lieferanten-Risikomapping und inhaltsbewusste Kontrollen operationalisieren, die sensible Daten in Bewegung sichern und gleichzeitig Audit-Bereitschaft und regulatorische Verteidigungsfähigkeit aufrechterhalten.

Executive Summary

DORA verlangt von deutschen Finanzinstituten die Einrichtung umfassender IKT-Risikomanagement-Rahmenwerke, die Governance, Vorfallmanagement, Resilienztests, Drittanbieter-Überwachung und Informationsaustausch umfassen. Die Verordnung trat am 17. Januar 2025 in Kraft und verpflichtet deutsche Banken und Versicherer, alle IKT-Dienstleister zu klassifizieren, Datenflüsse über kritische Geschäftsfunktionen hinweg zu kartieren und Zero-Trust-Kontrollen zu implementieren, die den Zugriff auf sensible Finanzdaten nach dem Prinzip der geringsten Berechtigung durchsetzen.

Finanzinstitute müssen die DORA-Verpflichtungen mit bestehenden deutschen regulatorischen Anforderungen gemäß den Bankaufsichtlichen Anforderungen an die IT (BAIT), den Kapitalanlagegesellschaften-IT-Anforderungen (KAIT) und den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) integrieren und gleichzeitig eine kontinuierliche Audit-Bereitschaft durch unveränderliche Protokolle und Compliance-Mappings nachweisen. Institute stehen vor besonderen Herausforderungen bei der Abstimmung der präskriptiven Zeitvorgaben von DORA mit bestehenden nationalen Rahmenwerken und bei der Sicherung sensibler Daten, wenn diese zu Dritten, Cloud-Anbietern und gemeinsam genutzter IT-Infrastruktur übertragen werden.

DRACOON bietet inhaltsbewusste Kontrollen, automatisierte Compliance-Workflows und zentralisierte Audit-Trails, die deutschen Finanzinstituten helfen, sensible Datenaustausche zu sichern, Drittanbieter-Zugangsrichtlinien durchzusetzen und die regulatorische Verteidigungsfähigkeit über alle fünf DORA-Säulen hinweg aufrechtzuerhalten. Mit Bereitstellungsoptionen, die deutsche Datenresidenz-Anforderungen unterstützen und FIPS 140-3 validierte kryptografische Module bieten, ermöglicht die Plattform Compliance bei gleichzeitiger Aufrechterhaltung der operativen Effizienz.

Key Takeaways

DORA verlangt von deutschen Finanzinstituten die Implementierung eines unternehmensweiten IKT-Risikomanagements, das Governance-Strukturen, Incident-Response-Protokolle, Resilienztest-Programme, Drittanbieter-Risikoklassifizierungen (Auslagerungsmanagement) und Threat-Intelligence-Sharing-Vereinbarungen umfasst. Diese Verpflichtungen wurden am 17. Januar 2025 durchsetzbar und haben erhebliche aufsichtsrechtliche Konsequenzen.

Deutsche Banken müssen alle IKT-Abhängigkeiten kartieren und Drittanbieter als kritische (kritische Dienstleister) oder wichtige Dienstleister klassifizieren, was vertragliche Verpflichtungen, Prüfungsrechte und Exit-Strategie-Anforderungen auslöst. Diese Klassifizierung geht über traditionelle Auslagerungsvereinbarungen hinaus und umfasst Cloud-Anbieter, Kommunikationsplattformen und Datenaustausch-Netzwerke.

Die DORA-Vorfallmeldepflichten erweitern die bestehenden deutschen Cybersicherheits-Offenlegungsvorschriften und erfordern eine strukturierte Meldung innerhalb von vier Stunden nach Erkennung schwerwiegender Vorfälle sowie eine detaillierte Ursachenanalyse innerhalb vorgeschriebener Fristen. Finanzinstitute müssen Vorfallklassifizierungs- und Benachrichtigungs-Workflows automatisieren.

Resilienztests gemäß DORA erfordern erweiterte bedrohungsgeleitete Penetrationstests für systemrelevante Institute und szenariobasierte Tests für alle anderen. Deutsche Regulierungsbehörden erwarten, dass Testergebnisse Sanierungsprioritäten und Kapitalallokationsentscheidungen für die IKT-Infrastruktur informieren.

Sensible Finanzdaten, die zwischen Instituten, Dritten und Kunden bewegt werden, stellen die höchste Risiko-Angriffsfläche unter DORA dar. Inhaltsbewusste Kontrollen, die Richtlinien auf der Datenebene durchsetzen, reduzieren die Exposition und generieren gleichzeitig die unveränderlichen Audit-Trails, die Regulierungsbehörden benötigen.

Die fünf Säulen von DORA und ihre verbindliche Wirkung auf deutsche Finanzinstitute verstehen

DORA etabliert fünf miteinander verbundene Säulen, die die operative Resilienz für Finanzinstitute in der gesamten Europäischen Union definieren. Deutsche Finanzinstitute müssen alle Säulen gleichzeitig erfüllen und neue Verpflichtungen in bestehende deutsche Regulierungsrahmen unter BaFin-Aufsicht integrieren. Die Verordnung galt direkt ohne nationale Umsetzung, wobei die koordinierte Durchsetzung am 17. Januar 2025 begann.

Die erste Säule befasst sich mit IKT-Risikomanagement und verlangt von Instituten die Einrichtung umfassender Rahmenwerke, die Technologierisiken über alle Geschäftsfunktionen hinweg identifizieren, klassifizieren und mindern. Diese Säule erfordert Verantwortlichkeit auf Vorstandsebene, dokumentierte Risikobereitschaftserklärungen und kontinuierliche Überwachung von IKT-Assets und Abhängigkeiten. Deutsche Institute arbeiten bereits unter BAIT-Richtlinien für Banken und VAIT für Versicherer, aber DORA führt strengere Dokumentationsanforderungen, explizite Datenfluss-Mapping-Verpflichtungen und präskriptive Vorfallklassifizierungsschwellen ein, die über frühere deutsche Standards hinausgehen.

Die zweite Säule umfasst IKT-bezogenes Vorfallmanagement, Meldung und Wiederherstellung. Finanzinstitute müssen Erkennungsmechanismen, Klassifizierungs-Workflows und Benachrichtigungsverfahren implementieren, die DORAs Zeitanforderungen erfüllen. Schwerwiegende Vorfälle erfordern eine erste Benachrichtigung innerhalb von vier Stunden, Zwischenberichte innerhalb von 72 Stunden und eine abschließende Ursachenanalyse innerhalb eines Monats. DORA erweitert meldepflichtige Ereigniskategorien um Datenintegritätsprobleme, Verfügbarkeitsstörungen und Drittanbieter-Ausfälle, die den Geschäftsbetrieb erheblich beeinträchtigen.

Praxiskontext: TARGET2-Abhängigkeiten schaffen besondere Herausforderungen für deutsche Institute. Als kritische Zahlungssystem-Infrastruktur, die als gemeinsamer Drittanbieter-Service betrieben wird, erfordern Störungen von TARGET2 eine koordinierte Vorfallmeldung über mehrere Institute hinweg, was die Bedeutung standardisierter Kommunikationsprotokolle und vorab festgelegter Eskalationsverfahren unterstreicht.

Die dritte Säule etabliert Anforderungen an digitale operative Resilienztests, die sich nach Institutsgröße und systemischer Bedeutung skalieren. Alle Institute müssen jährlich szenariobasierte Tests durchführen, während systemrelevante Institutionen mindestens alle drei Jahre erweiterte bedrohungsgeleitete Penetrationstests durchführen müssen. Deutsche Regulierungsbehörden erwarten, dass Testergebnisse Budgetzuweisungen, Technologie-Erneuerungszyklen und Drittanbieter-Vertragsneuverhandlungen informieren.

Die vierte Säule erlegt strikte Drittanbieter-Risikomanagement-Verpflichtungen auf, die grundlegend verändern, wie deutsche Finanzinstitute Verträge mit IKT-Dienstleistern abschließen. Institute müssen Anbieter als kritisch oder wichtig klassifizieren, basierend auf Abhängigkeitsanalysen, vertragliche Bestimmungen implementieren, die Prüfungsrechte und Exit-Strategien sicherstellen, und Register führen, die alle Drittanbieter-Beziehungen dokumentieren. Diese Säule erweitert die Überwachung über traditionelle Auslagerung hinaus auf Software-as-a-Service-Plattformen, Kommunikationsnetzwerke und Datenaustausch-Infrastruktur.

Praxiskontext: Das Sparkassen-Netzwerk und gemeinsam genutzte Infrastrukturvereinbarungen durch Anbieter wie Finanzinformatik schaffen Konzentrationsrisiken, die eine sorgfältige Bewertung unter DORA erfordern. Mehrere Institute, die von gemeinsam genutzten IT-Plattformen abhängig sind, müssen Compliance-Bemühungen koordinieren und möglicherweise gemeinsame Überwachungsmechanismen etablieren.

Die fünfte Säule schafft Informationsaustausch-Vereinbarungen, die es Finanzinstituten ermöglichen, Bedrohungsinformationen und Schwachstellendaten über genehmigte Rahmenwerke auszutauschen. Deutsche Institute können an bestehenden branchenspezifischen Informationsaustausch-Vereinbarungen teilnehmen oder neue Mechanismen etablieren, die DORAs Vertraulichkeitsanforderungen erfüllen.

Zeitplan und aktueller Compliance-Status

Verständnis für den Stand der DORA-Compliance-Journey:

17. Januar 2025: DORA-Anwendungsdatum – die Durchsetzung begann und alle Finanzinstitute müssen volle Compliance aufrechterhalten

2025-2026: Erste BaFin-Prüfungen mit Fokus auf DORA-Compliance, insbesondere Drittanbieter-Register, Vorfallmelde-Workflows und Resilienztest-Dokumentation

Fortlaufend: Jährliche Resilienztest-Anforderungen für alle Institute mit kontinuierlichen Überwachungs- und Verbesserungserwartungen

Alle 3 Jahre: Erweiterte bedrohungsgeleitete Penetrationstest-Anforderungen für systemrelevante Institute

Deutsche Institute befinden sich jetzt in der aktiven Compliance-Phase und sollten sich auf kontinuierliche Verbesserung, die Behebung von Lücken, die bei der ersten Implementierung identifiziert wurden, und die Vorbereitung auf aufsichtsrechtliche Prüfungen konzentrieren.

DORA-Anforderungen mit bestehenden deutschen regulatorischen Verpflichtungen abbilden

Deutsche Finanzinstitute arbeiten bereits unter umfassenden Technologie-Risikomanagement-Rahmenwerken, die von der BaFin durch BAIT für Banken, KAIT für Wertpapierfirmen und VAIT für Versicherer etabliert wurden. DORA ersetzt diese nationalen Anforderungen nicht, sondern führt zusätzliche Verpflichtungen ein, die Institute in bestehende Governance-Strukturen integrieren müssen. Deutsche Institute müssen DORAs präskriptive Vorfallmelde-Zeitvorgaben mit bestehenden nationalen Meldepflichten abstimmen, DORAs Drittanbieter-Klassifizierungskriterien den BaFin-Auslagerungsregeln zuordnen und Resilienztest-Anforderungen mit aufsichtsrechtlichen Erwartungen in Einklang bringen.

DORA und deutsche Rahmenwerk-Zuordnung

Verständnis dafür, wie DORA-Anforderungen mit bestehenden deutschen Vorschriften übereinstimmen:

DORA Drittanbieter-Risikomanagement entspricht BAIT AT 9 (Auslagerung/Outsourcing), erweitert jedoch den Umfang auf alle IKT-Dienstleister und verlangt explizite Kritikalitätsklassifizierungen

DORA Vorfallmeldung stimmt mit BAIT AT 7.2 + Cyberangriffsmeldeverordnung überein, führt jedoch strengere Fristen ein (4 Stunden initial, 72 Stunden Zwischenbericht, 1 Monat abschließend) und breitere Vorfallkategorien

DORA Resilienztests entsprechen BAIT AT 7.3 (Testing), erfordern jedoch bedrohungsgeleitete Penetrationstests für systemrelevante Institute und szenariobasierte Tests mit vorgeschriebenen Methoden

DORA IKT-Risikomanagement baut auf BAIT AT 2 (Risikomanagement) auf, indem es explizites Datenfluss-Mapping, vom Vorstand genehmigte Risikobereitschaftserklärungen und quantifizierte operative Störungsschwellen verlangt

VAIT-spezifische Überlegungen: Versicherungsvertriebsmodelle schaffen einzigartige Herausforderungen unter DORA, da Agenten, Makler und MGAs Drittanbieter-Abhängigkeiten darstellen, die Klassifizierung und Überwachung trotz ihrer verteilten Natur erfordern.

Die Herausforderung liegt darin, sich überschneidende, aber nicht identische Verpflichtungen zu verwalten, ohne doppelte Compliance-Prozesse zu schaffen. DORA erfordert explizites Mapping von IKT-Systemen zu kritischen Geschäftsfunktionen, dokumentierte Datenflussdiagramme, die zeigen, wie sensible Informationen über organisatorische Grenzen hinweg bewegt werden, und vom Vorstand genehmigte Risikobereitschaftserklärungen, die akzeptable operative Störungsniveaus quantifizieren. Viele deutsche Institute unterhielten unter BAIT und VAIT weniger formale Dokumentation.

Deutsche Institute müssen nun zentralisierte Governance-Strukturen implementieren, die Single-Source-of-Truth-Sichtbarkeit über alle IKT-Risiken, Drittanbieter-Abhängigkeiten und Incident-Response-Aktivitäten bieten. Dies erfordert die Integration von Daten aus Schwachstellenscannern, Konfigurationsmanagement-Datenbanken, Vertragsmanagement-Plattformen und Incident-Ticketing-Systemen in einheitliche Compliance-Dashboards. Institute, die isolierte Risikomanagement-Funktionen über Geschäftsbereiche hinweg unterhielten, stehen vor erheblichen Integrationsherausforderungen.

Was bei BaFin-Prüfungen zu erwarten ist

Deutsche Institute sollten sich auf aufsichtsrechtliche Überprüfungen vorbereiten, die sich auf Folgendes konzentrieren:

Dokumentationsanfragen:

• Vollständige Drittanbieter-Register mit Kritikalitätsklassifizierungen und vertraglichen Bestimmungen
• Vorfallprotokolle, die Erkennungszeiten, Klassifizierungsentscheidungen und Benachrichtigungsfristen zeigen
• Resilienztest-Ergebnisse mit Sanierungsverfolgung
• Datenfluss-Karten, die kritische Geschäftsfunktionen mit unterstützenden IKT-Systemen verbinden

Technische Validierung:

• Demonstrationen der Kontrollwirksamkeit (Zugriffskontrollen, Verschlüsselung, Überwachung)
• Nachweis automatisierter Vorfallerkennung und Klassifizierung
• Beweis für die Implementierung unveränderlicher Audit-Trails
• Validierung der Durchführbarkeit von Exit-Strategien für kritische Anbieter

Zeitvorgaben-Erwartungen:

• Institute müssen Nachweise innerhalb von Stunden oder Tagen vorlegen, nicht Wochen
• Echtzeit-Compliance-Dashboards werden manuell zusammengestellten Berichten vorgezogen
• Historische Nachweise, die kontinuierlichen Kontrollbetrieb über die Zeit zeigen

Häufige Prüfungsfeststellungen:

• Unvollständige Drittanbieter-Register, denen Cloud-Anbieter oder SaaS-Plattformen fehlen
• Vorfallklassifizierungsmethoden ohne objektive Kriterien
• Resilienztests ohne dokumentierte Sanierungsverfolgung
• Datenfluss-Karten, denen unstrukturierte Datenaustausche fehlen (E-Mail, File-Sharing)

Die BaFin hat signalisiert, dass sie DORA über bestehende Aufsichtskanäle durchsetzen wird und DORA-Compliance-Bewertungen in reguläre Prüfungszyklen einbeziehen wird. Deutsche Institute sollten aufsichtsrechtliche Anfragen erwarten, die sich auf Drittanbieter-Register, Vorfallklassifizierungsmethoden, Resilienztest-Ergebnisse und die Vollständigkeit von IKT-Risikoinventaren konzentrieren. Der Nachweis der Compliance erfordert die Vorlage von Nachweisen auf Abruf durch prüfungsbereite Dokumentation.

Implementierung von Drittanbieter-Risikomanagement und Lieferantenklassifizierung unter DORA

DORAs Drittanbieter-Risikomanagement-Anforderungen stellen die operativ anspruchsvollste Säule für deutsche Finanzinstitute dar. Institute müssen jeden IKT-Dienstleister identifizieren, der kritische oder wichtige Funktionen unterstützt, Anbieter basierend auf Abhängigkeitsanalysen klassifizieren und vertragliche Bestimmungen implementieren, die Prüfungsrechte, Datenzugriffskontrollen, Exit-Strategien und Subunternehmer-Überwachung sicherstellen. Diese Klassifizierung geht über traditionelle Auslagerung hinaus und umfasst Cloud-Infrastruktur-Anbieter, Kommunikationsplattformen, Zahlungsnetzwerke und jeden Anbieter, dessen Ausfall den Geschäftsbetrieb erheblich stören würde.

Praxiskontext: Grenzüberschreitende Operationen schaffen Komplexität für deutsche Banken mit EU-Tochtergesellschaften. Eine deutsche Mutterbank muss IKT-Anbieter klassifizieren, die ausländische Operationen unterstützen, Vorfallmeldungen über Jurisdiktionen hinweg koordinieren und eine konsistente Drittanbieter-Überwachung trotz unterschiedlicher nationaler DORA-Implementierung in den Mitgliedstaaten sicherstellen.

Deutsche Institute müssen Abhängigkeits-Mappings durchführen, die jede kritische Geschäftsfunktion durch unterstützende Anwendungen, zugrunde liegende Infrastruktur und Drittanbieter-Services zurückverfolgen. Diese Mapping-Übung offenbart Single Points of Failure, Konzentrationsrisiken bei gemeinsam genutzten Anbietern und kaskadierende Abhängigkeiten, bei denen der Ausfall eines Anbieters mehrere Geschäftsbereiche betrifft. Institute sollten diese Abhängigkeiten in strukturierten Registern dokumentieren, die Anbieternamen, Vertragsbedingungen, Kritikalitätsklassifizierungen, Datenverarbeitungsaktivitäten und Minderungsmaßnahmen erfassen.

DORA unterscheidet zwischen kritischen und wichtigen IKT-Dienstleistern basierend auf Faktoren wie Migrationsschwierigkeiten, Verfügbarkeit alternativer Anbieter und Auswirkungen von Serviceunterbrechungen. Als kritisch klassifizierte Anbieter lösen erweiterte vertragliche Anforderungen aus, einschließlich vollständiger Prüfungsrechte, Zugang zu Disaster-Recovery-Plänen, Benachrichtigungspflichten bei Sicherheitsvorfällen und Anforderungen, dass Anbieter Versicherungsschutz aufrechterhalten. Deutsche Institute müssen diese Bestimmungen durch Änderungen oder Neuverhandlungen in bestehende Verträge aufnehmen.

Exit-Strategien und praktische Implementierung

Exit-Strategien stellen eine besonders herausfordernde vertragliche Anforderung dar. Deutsche Institute müssen dokumentieren, wie sie innerhalb angemessener Zeiträume von jedem kritischen Anbieter migrieren würden. Praktische Exit-Strategie-Komponenten umfassen:

Datenextraktionsverfahren:

• Formate spezifizieren (strukturierte Exporte, Datenbank-Dumps, API-Extraktionen)
• Zeitrahmen definieren (30, 60, 90 Tage basierend auf Datenvolumen)
• Validierungsverfahren etablieren, die Vollständigkeit und Integrität sicherstellen
• Verschlüsselungs- und sichere Übertragungsanforderungen dokumentieren

Identifizierung alternativer Anbieter:

• Vorqualifizierte Anbieterlisten für kritische Services pflegen
• Jährliche Marktbewertungen durchführen, die neue Alternativen identifizieren
• Rahmenverträge etablieren, die schnelles Onboarding ermöglichen
• Technische und kommerzielle Machbarkeitsanalysen dokumentieren

Übergangstests und Validierung:

• Tabletop-Übungen durchführen, die Anbietermigration simulieren
• Datenextraktions- und Importverfahren jährlich testen
• Validieren, dass alternative Anbieter Produktions-Workloads bewältigen können
• Lessons Learned und Sanierungsmaßnahmen dokumentieren

Kostenschätzung und Budgetzuweisung:

• Migrationskosten quantifizieren (Lizenzierung, Implementierung, Schulung)
• Reserviertes Budget für Notfall-Übergänge etablieren
• Exit-Kosten in Total-Cost-of-Ownership-Analysen einbeziehen
• Vorstandsgenehmigung der Exit-Strategie-Durchführbarkeit dokumentieren

Regulatorische Benachrichtigungsanforderungen:

• Verfahren zur Benachrichtigung der BaFin über geplante Übergänge etablieren
• Kundenkommunikationsanforderungen dokumentieren
• Stakeholder-Benachrichtigungsfristen definieren
• Vorlagen für regulatorische Einreichungen pflegen

Drittanbieter-Risikomanagement erstreckt sich auf Subunternehmer-Vereinbarungen und erfordert, dass deutsche Institute Sichtbarkeit in die Abhängigkeiten ihrer Anbieter aufrechterhalten. Wenn kritische Anbieter für wesentliche Services auf Subunternehmer angewiesen sind, müssen Institute sicherstellen, dass Verträge Subunternehmer-Benachrichtigungsanforderungen, Genehmigungsrechte für wesentliche Änderungen und Flow-down-Bestimmungen enthalten, die Sicherheits- und Prüfungspflichten durch die Anbieterkette erweitern.

Konzentrationsrisikobewertung

Deutsche Institute müssen Konzentrationsrisiken durch systematische Bewertung identifizieren und mindern:

Mehrere Geschäftsbereiche bei einem einzelnen Anbieter:

• Kartieren, welche Geschäftsfunktionen von jedem kritischen Anbieter abhängen
• Umsatzauswirkungen quantifizieren, wenn Anbieter ausfällt
• Alternative Vereinbarungen oder Redundanz für Abhängigkeiten mit höchstem Risiko etablieren

Gemeinsam genutzte Infrastruktur im deutschen Bankensektor:

• Systemisches Risiko bewerten, wenn mehrere Institute denselben Anbieter nutzen
• An Branchenkoordination durch Verbände teilnehmen
• Kommunikationsprotokolle für sektorweite Vorfälle etablieren

Subunternehmer-Abhängigkeiten, die versteckte Konzentration schaffen:

• Von Anbietern verlangen, ihre kritischen Subunternehmer offenzulegen
• Abhängigkeiten kartieren, die zeigen, dass mehrere Anbieter dieselbe zugrunde liegende Infrastruktur nutzen
• Vertragliche Bestimmungen implementieren, die Abhängigkeit von Hochrisiko-Subunternehmern begrenzen

Geografische Konzentration:

• Risiko von Ausfällen einzelner Rechenzentrumsregionen bewerten
• Multi-Regionen-Bereitstellung für kritische Services verlangen
• Validieren, dass Disaster Recovery nicht in derselben geografischen Region konzentriert ist

Sicherung sensibler Datenaustausche mit Drittanbieter-IKT-Dienstleistern

Das operative Risiko, dem deutsche Finanzinstitute unter DORA ausgesetzt sind, konzentriert sich auf sensible Datenaustausche mit Drittanbietern. Finanzielle Kundendatensätze, Transaktionsdetails, Authentifizierungsdaten und proprietäre Algorithmen bewegen sich ständig zwischen Instituten und Anbietern, die Zahlungsabwicklung, Kundenkommunikation, regulatorische Berichterstattung und analytische Funktionen unterstützen. Jeder Austausch stellt eine potenzielle Exposition gegenüber unbefugtem Zugriff, Datenexfiltration, Integritätskompromittierung oder Verfügbarkeitsstörung dar.

Traditionelle Perimeter-Sicherheitsmodelle versagen, wenn sensible Daten institutionelle Grenzen überschreiten müssen, um Cloud-Plattformen, Kommunikationsnetzwerke und Partnerorganisationen zu erreichen. Zero-Trust-Architekturen, die Richtlinien auf der Datenebene durchsetzen, bieten verteidigungsfähigere Ansätze, indem sie Identität und Autorisierung für jede Zugriffsanfrage unabhängig vom Netzwerkstandort verifizieren und vollständige Audit-Trails aufrechterhalten, die zeigen, wer wann und zu welchem Zweck auf welche Daten zugegriffen hat.

Inhaltsbewusste Kontrollen bieten die technische Grundlage für diesen Ansatz. Anstatt Drittanbieter-Administratoren oder Anwendungsprogrammierschnittstellen breiten Systemzugriff zu gewähren, implementieren Institute granulare Richtlinien, die bestimmten Benutzern autorisieren, bestimmte Aktionen auf bestimmten Datenobjekten für definierte Geschäftszwecke durchzuführen. Diese Richtlinien folgen Daten, wenn sie über organisatorische Grenzen hinweg bewegt werden, verhindern unbefugte Downloads, blockieren Übertragungen über nicht genehmigte Kanäle und lösen Warnungen aus, wenn Zugriffsmuster von etablierten Baselines abweichen.

Deutsche Institute müssen diese Kontrollen implementieren, ohne operative Workflows zu stören, die von schnellem Datenaustausch abhängen. Zahlungsabwicklung erfordert nahezu sofortige Übertragung von Transaktionsdaten. Kundenservice hängt von sicherem Zugriff auf Kontoinformationen ab. Regulatorische Berichterstattung verlangt genaue Datenaggregation innerhalb strenger Einreichungsfristen. Kontrollen, die Latenz einführen oder manuelle Genehmigungen erfordern, reduzieren die operative Effizienz.

Automatisierung wird essenziell. Policy-Engines müssen Zugriffsanfragen in Millisekunden bewerten und Regeln anwenden, die institutionelle Risikobereitschaft, regulatorische Anforderungen und kontextuelle Faktoren widerspiegeln, einschließlich Benutzerrolle, Datenklassifizierung, Übertragungskanal und Empfängerjurisdiktion. Automatisierte Workflows handhaben routinemäßige Genehmigungen, während außergewöhnliche Anfragen an menschliche Prüfer eskaliert werden. Integration mit Identitäts- und Zugriffsverwaltungssystemen stellt sicher, dass Richtlinien mit organisatorischen Änderungen synchronisiert bleiben.

Häufige Implementierungsherausforderungen für deutsche Institute

Deutsche Finanzinstitute stoßen auf wiederkehrende Hindernisse während der DORA-Implementierung:

DORA mit bestehenden BAIT/VAIT-Rahmenwerken abstimmen:

• Herausforderung: Bestimmen, welche Anforderungen additiv versus duplikativ sind
• Lösung: Mapping-Matrizen erstellen, die Überschneidungen und Lücken zeigen, einheitliche Governance implementieren, die beide Rahmenwerke adressiert

Verträge mit kritischen Drittanbietern neu verhandeln:

• Herausforderung: Anbieter widersetzen sich Prüfungsrechten, Exit-Strategie-Bestimmungen und Haftungsbedingungen
• Lösung: Kollektive Verhandlungen durch Branchenverbände nutzen, vertragliche Vorlagen etablieren, an Geschäftsführung oder Rechtsberatung eskalieren, wenn Verhandlungen stocken

4-Stunden-Vorfallmelde-Workflows implementieren:

• Herausforderung: Bestehende Prozesse erfordern manuelle Untersuchung und Genehmigung vor Benachrichtigung
• Lösung: Vorfallklassifizierung mithilfe objektiver Kriterien automatisieren, Benachrichtigung für definierte Vorfallkategorien vorab autorisieren, Eskalationsverfahren für Grenzfälle etablieren

Einheitliche Sichtbarkeit über isolierte Systeme erreichen:

• Herausforderung: Sicherheits-, Compliance- und Risikoteams unterhalten separate Tools und Datensätze
• Lösung: Integrationsarchitektur implementieren, die SIEM, GRC, ITSM und Vertragsmanagement-Plattformen über APIs verbindet

Exit-Strategien für kritische Cloud-Anbieter dokumentieren:

• Herausforderung: Cloud-Lock-in durch proprietäre Services macht Migration undurchführbar
• Lösung: Anbieterspezifische Services für kritische Funktionen vermeiden, Abstraktionsschichten aufrechterhalten, die Portabilität ermöglichen, jährliche Migrationsdurchführbarkeitsbewertungen durchführen

Unveränderliche Audit-Trails und Compliance-Mapping für regulatorische Verteidigungsfähigkeit etablieren

DORA transformiert Audit-Bereitschaft von periodischen Compliance-Übungen zu kontinuierlichen operativen Anforderungen. Deutsche Finanzinstitute müssen unveränderliche Protokolle aufrechterhalten, die jede IKT-Risikobewertung, Incident-Response-Aktion, Resilienztest-Ergebnis, Drittanbieter-Interaktion und Governance-Entscheidung dokumentieren. Diese Protokolle bieten die Beweisgrundlage für den Nachweis der Compliance während aufsichtsrechtlicher Prüfungen und Vorfalluntersuchungen. Institute, die keine vollständigen Audit-Trails vorlegen können, sehen sich erheblichen aufsichtsrechtlichen Konsequenzen gegenüber, einschließlich Sanierungsanordnungen, Kapitalaufschlägen und Geschäftseinschränkungen.

Unveränderlichkeit verhindert nachträgliche Änderungen und stellt sicher, dass Protokolle Ereignisse genau so widerspiegeln, wie sie aufgetreten sind. Technische Kontrollen wie kryptografisches Hashing, Write-Once-Speicher und Blockchain-ähnliche Chain-of-Custody-Mechanismen bieten nachweisbaren Beweis, dass Protokolle unverändert bleiben. Deutsche Institute müssen diese Kontrollen über alle Systeme implementieren, die Compliance-relevante Daten generieren, einschließlich Schwachstellenscanner, Konfigurationsmanagement-Datenbanken, Incident-Response-Plattformen und Datenaustausch-Netzwerken.

Audit-Trails müssen ausreichende Details erfassen, um Entscheidungen und Aktionen zu rekonstruieren. Die Aufzeichnung, dass ein Vorfall aufgetreten ist, bietet minimalen Wert im Vergleich zur Dokumentation, wer den Vorfall erkannt hat, wer innerhalb welcher Zeiträume benachrichtigt wurde, welche Untersuchungsschritte durchgeführt wurden, welche Eindämmungsmaßnahmen implementiert wurden und wie das Institut erfolgreiche Sanierung verifiziert hat. Dieses Detaillierungsniveau erfordert Integration über mehrere Systeme hinweg und standardisierte Datenschemata.

Compliance-Mapping übersetzt rohe Audit-Daten in regulatorische Narrative. Deutsche Institute müssen nachweisen, wie spezifische technische Kontrollen, Governance-Prozesse und operative Verfahren DORAs Anforderungen über alle fünf Säulen hinweg erfüllen. Dieses Mapping verbindet Audit-Beweise mit regulatorischen Verpflichtungen und zeigt, dass Vorfall-Erkennungsmechanismen Zeitanforderungen erfüllen, Drittanbieter-Register erforderliche Datenelemente enthalten, Resilienztests vorgeschriebenen Methoden folgen und Governance-Strukturen angemessene Vorstandsaufsicht bieten.

Automatisiertes Compliance-Mapping reduziert den manuellen Aufwand, den Institute zuvor in die Vorbereitung von Prüfungsantworten investiert haben. Systeme, die Kontrollwirksamkeit kontinuierlich überwachen, Audit-Daten mit regulatorischen Anforderungen korrelieren und Compliance-Berichte auf Abruf generieren, bieten nahezu Echtzeit-Sichtbarkeit in die regulatorische Positionierung. Diese Automatisierung ermöglicht es Compliance-Teams, Lücken proaktiv zu identifizieren und kontinuierliche Verbesserung anstelle von punktueller Compliance nachzuweisen.

Compliance-Daten mit SIEM, SOAR und Governance-Plattformen integrieren

Deutsche Finanzinstitute betreiben komplexe Technologieumgebungen mit verteilten Überwachungs-, Sicherheits- und Governance-Tools. Security Information and Event Management (SIEM)-Systeme aggregieren Protokolle von Netzwerkgeräten, Servern und Anwendungen. Security Orchestration, Automation and Response (SOAR)-Plattformen führen Incident-Response-Playbooks aus. IT Service Management (ITSM)-Systeme verfolgen Änderungen, Vorfälle und Probleme. Governance, Risk and Compliance (GRC)-Plattformen verwalten Richtliniendokumentation, Risikobewertungen und Audit-Workflows. DORA-Compliance erfordert die Integration dieser unterschiedlichen Systeme in einheitliche Daten-Fabrics.

Integrationsherausforderungen ergeben sich aus inkompatiblen Datenformaten, inkonsistenten Taxonomien und isoliertem Eigentum. Sicherheitsteams unterhalten SIEM-Plattformen, die technische Sicherheitsereignisse erfassen, haben aber keine Sichtbarkeit in Vertragsmanagement-Daten, die Drittanbieter-Beziehungen zeigen. Beschaffungsteams unterhalten Anbieterregister, können aber nicht auf Sicherheitsmetriken zugreifen, die die Risikopositionierung von Anbietern zeigen. Compliance-Teams dokumentieren Richtlinien, haben aber Schwierigkeiten, die technische Implementierung zu verifizieren.

Anwendungsprogrammierschnittstellen bieten technische Integrationsmechanismen, die es Systemen ermöglichen, Daten programmatisch auszutauschen. Deutsche Institute müssen API-Strategien implementieren, die Datenaustausche standardisieren, Zugriffskontrollen durchsetzen, die unbefugte Datenexposition verhindern, und Audit-Trails aufrechterhalten, die alle System-zu-System-Kommunikationen dokumentieren. Diese Strategien sollten Echtzeit-Datensynchronisierung priorisieren und sicherstellen, dass Compliance-Dashboards den aktuellen Status widerspiegeln.

Datennormalisierung wird kritisch bei der Integration von Systemen, die identische Konzepte unterschiedlich darstellen. Ein System kann Benutzeridentitäten als E-Mail-Adressen aufzeichnen, während ein anderes Mitarbeiternummern verwendet. Die Abstimmung dieser Unterschiede erfordert Mapping-Tabellen, Transformationsregeln und Master-Data-Management-Disziplinen, die konsistente Entitätsdefinitionen über die Integrationsarchitektur hinweg aufrechterhalten.

Das Ergebnis erfolgreicher Integration ist einheitliche Compliance-Sichtbarkeit, die es deutschen Instituten ermöglicht, DORA-Ausrichtung durch automatisierte Beweissammlung nachzuweisen. Aufsichtsbehörden, die nach Drittanbieter-Risikomanagement fragen, erhalten aktuelle Register, die alle kritischen Anbieter, aktuelle Audit-Ergebnisse, Vertragsbestimmungen und Notfallpläne zeigen. Fragen zur Incident Response generieren Berichte, die Erkennungsfristen, Benachrichtigungsverfahren, Untersuchungsergebnisse und Sanierungsverifizierung zeigen.

Wie DRACOON sensible Finanzdaten über DORA-Anforderungen hinweg sichert

DRACOON bietet deutschen Finanzinstituten eine einheitliche Plattform zur Sicherung sensibler Daten in Bewegung und generiert gleichzeitig die Audit-Trails und Compliance-Nachweise, die DORA erfordert. Die Plattform implementiert Zero-Trust-Kontrollen, die Identität verifizieren und Richtlinien für jeden Zugriff auf sensible Finanzdaten durchsetzen, unabhängig davon, ob dieser Zugriff von Mitarbeitern, Drittanbieter-Anbietern, Kunden oder Partnerinstituten ausgeht. Inhaltsbewusste Richtlinien reflektieren institutionelle Risikobereitschaft, regulatorische Anforderungen und Datenklassifizierungsschemata und verhindern unbefugte Downloads, blockieren Übertragungen über nicht genehmigte Kanäle und erfordern Multi-Faktor-Authentifizierung für Hochrisiko-Operationen.

Die Plattform konsolidiert sensible Datenaustausche über E-Mail, File-Sharing, Managed File Transfer, Webformulare und Anwendungsprogrammierschnittstellen in ein einziges Governance- und Audit-Framework. Deutsche Institute erhalten einheitliche Sichtbarkeit in alle Daten, die organisatorische Grenzen verlassen, und verfolgen, welche Benutzer welche Daten mit welchen externen Parteien über welche Kanäle für welche Geschäftszwecke geteilt haben. Diese Konsolidierung eliminiert Shadow-IT-Risiken, bei denen Mitarbeiter Verbraucher-File-Sharing-Services oder persönliche E-Mails für geschäftliche Kommunikationen nutzen.

DRACOON verwendet FIPS 140-3 validierte kryptografische Module für alle Verschlüsselungsoperationen und stellt sicher, dass der Datenschutz internationale Standards erfüllt, die von deutschen Regulierungsbehörden und der BaFin anerkannt werden. TLS 1.3-Verschlüsselung schützt alle Daten während der Übertragung und bietet Schutz vor Abfangen und Manipulation. Der FedRAMP High-ready-Status der Plattform demonstriert Sicherheitskontrollen auf Regierungsebene, die die strengsten operativen Resilienzanforderungen erfüllen.

Deutsche Institute können DRACOON On-Premises in deutschen Rechenzentren oder in deutschen Cloud-Regionen bereitstellen und so die Einhaltung von Datenresidenz-Anforderungen sicherstellen und gleichzeitig vollständige Kontrolle über Verschlüsselungsschlüssel und administrativen Zugriff aufrechterhalten. Diese Bereitstellungsflexibilität adressiert Souveränitätsbedenken und bietet gleichzeitig unternehmensweite Sicherheits- und Compliance-Fähigkeiten.

DRACOON integriert sich mit bestehenden Identitäts- und Zugriffsverwaltungssystemen und respektiert Rollendefinitionen, Organisationshierarchien und Zugriffsrichtlinien, die Institute bereits pflegen. Drittanbieter-Anbieter erhalten Zugriff nach dem Prinzip der geringsten Berechtigung, der auf spezifische Datenobjekte beschränkt ist, die für vertragliche Services erforderlich sind, mit zeitgebundenen Berechtigungen, die automatisch ablaufen, wenn Verträge enden. Automatisierte Workflows setzen Drittanbieter-Onboarding-Verfahren durch und verlangen von Anbietern, Nutzungsrichtlinien zu akzeptieren, Sicherheitsbewertungen abzuschließen und Prüfungsrechte anzuerkennen, bevor sie Datenzugriff erhalten. Diese Workflows generieren unveränderliche Audit-Trails, die Compliance mit DORAs Drittanbieter-Risikomanagement-Anforderungen dokumentieren.

Die Plattform bietet integrierte Compliance-Mappings für DORA neben anderen Vorschriften wie DSGVO, NIS2 und sektorspezifischen Anforderungen unter BAIT und VAIT. Deutsche Institute konfigurieren Richtlinien einmal und die Plattform wendet automatisch entsprechende Kontrollen basierend auf Datenklassifizierung, Empfängerjurisdiktion und Übertragungskanal an. Compliance-Dashboards zeigen Kontrollwirksamkeit über alle fünf DORA-Säulen hinweg und generieren Nachweise für aufsichtsrechtliche Prüfungen ohne manuelle Dokumentationszusammenstellung. Integration mit SIEM- und SOAR-Plattformen stellt sicher, dass Sicherheitsereignisse automatisierte Response-Workflows auslösen und gleichzeitig zentralisierte Audit-Trails aufrechterhalten.

DRACOON unterstützt Incident-Response-Anforderungen durch die Erfassung vollständiger forensischer Daten für jeden Datenaustausch. Wenn Vorfälle auftreten, können Sicherheitsteams genau rekonstruieren, auf welche Daten von wem, wann, über welchen Kanal zugegriffen wurde und ob unbefugte Exfiltration stattgefunden hat. Diese forensische Fähigkeit ermöglicht es deutschen Instituten, DORAs Vorfallmelde-Zeitvorgaben zu erfüllen und detaillierte Ursachenanalysen und Folgenabschätzungen innerhalb vorgeschriebener Fristen bereitzustellen. Die unveränderlichen, kryptografisch signierten Audit-Logs der Plattform bieten nachweisbare Beweise, die adversarielle Prüfung während regulatorischer Untersuchungen überstehen.

Kontinuierliche regulatorische Verteidigungsfähigkeit durch einheitlichen Datenschutz erreichen

Deutsche Finanzinstitute, die DORA-Compliance als Dokumentationsübungen statt als operative Transformation behandeln, verfehlen das grundlegende Ziel der Verordnung. Operative Resilienz erfordert technische Kontrollen, die Vorfälle verhindern, Governance-Prozesse, die effektiv reagieren, wenn Prävention fehlschlägt, und Audit-Fähigkeiten, die beides gegenüber Regulierungsbehörden nachweisen. Institute, die umfassende IKT-Risikomanagement-Rahmenwerke implementieren, Drittanbieter-Abhängigkeiten klassifizieren und überwachen, sensible Datenaustausche mit Zero-Trust-Kontrollen sichern und unveränderliche Audit-Trails aufrechterhalten, erreichen kontinuierliche regulatorische Verteidigungsfähigkeit statt punktueller Compliance.

Der Weg nach vorne kombiniert Governance-Neugestaltung mit Technologiemodernisierung. Deutsche Institute müssen Verantwortlichkeit auf Vorstandsebene für IKT-Risiken etablieren, Abhängigkeits-Mapping implementieren, das Konzentrationsrisiken und Single Points of Failure offenbart, durchsetzbare Prüfungsrechte und Exit-Strategien mit kritischen Anbietern aushandeln und Schutzmechanismen bereitstellen, die sensible Daten unabhängig davon sichern, wohin sie übertragen werden. Diese Initiativen erfordern koordinierte Anstrengungen über Risikomanagement, Technologie, Beschaffung, Recht und Geschäftsfunktionen hinweg.

DRACOON hilft deutschen Finanzinstituten, von Compliance-Anforderungen zu operativem Schutz überzugehen, indem es sensible Datenaustausche in ein einheitliches Governance-Framework konsolidiert, Zero-Trust- und inhaltsbewusste Richtlinien über alle Kommunikationskanäle hinweg durchsetzt, unveränderliche Audit-Trails generiert, die DORA-Ausrichtung nachweisen, und sich über robuste API-Verbindungen mit bestehenden Sicherheits- und Governance-Tools integriert. Die Plattform reduziert die operative Belastung der Compliance-Aufrechterhaltung und stärkt gleichzeitig den Schutz vor den Bedrohungen, die DORA adressieren sollte.

Deutsche Banken, Versicherer und Vermögensverwalter, die ihre DORA-Implementierung unter aktueller Durchsetzung stärken, gewinnen Wettbewerbsvorteile durch reduziertes regulatorisches Risiko, verbesserte Drittanbieter-Verhandlungen basierend auf nachweisbaren Sicherheitskontrollen, schnellere Incident Response durch zentralisierte Forensik und optimierte Prüfungsprozesse, die durch automatisierte Beweiserstellung unterstützt werden. Operative Resilienz wird zu einem strategischen Differenzierungsmerkmal statt zu Compliance-Kosten.

Jetzt Dracoon testen

Überzeugen Sie sich gerne selbst und testen Sie DRACOON 14 Tage lang kostenlos oder kontaktieren Sie uns für ein unverbindliches Beratungsgespräch. Erfahren Sie, wie Sie DORA-Compliance mit bestehenden BAIT- und VAIT-Rahmenwerken durch einheitlichen Datenschutz, automatisierte Compliance-Workflows und unveränderliche Audit-Trails integrieren können – mit Bereitstellungsoptionen, die deutsche Datenresidenz-Anforderungen unterstützen.

Häufig gestellte Fragen

F: Welche spezifischen Vorfallmelde-Fristen erlegt DORA deutschen Finanzinstituten auf?

A: DORA erfordert eine Benachrichtigung über schwerwiegende Vorfälle innerhalb von vier Stunden nach Erkennung, Zwischenberichte innerhalb von 72 Stunden, die Auswirkungen und Minderungsmaßnahmen dokumentieren, sowie eine abschließende Ursachenanalyse innerhalb eines Monats. Deutsche Institute müssen Vorfälle mithilfe standardisierter Kriterien klassifizieren, BaFin und betroffene Stakeholder gemäß vorgeschriebenen Vorlagen benachrichtigen und Dokumentation aufrechterhalten, die die Einhaltung der Fristen für aufsichtsrechtliche Überprüfungen unterstützt.

F: Wie unterscheidet sich das DORA-Drittanbieter-Risikomanagement von bestehenden deutschen Auslagerungsregeln unter BAIT?

A: DORA erweitert den Umfang über traditionelle Auslagerung hinaus auf alle IKT-Dienstleister, die kritische Funktionen unterstützen, verlangt explizite Kritikalitätsklassifizierungen, die vertragliche Prüfungsrechte und Exit-Strategien auslösen, erfordert Register, die alle Anbieterbeziehungen dokumentieren, und erlegt Konzentrationsrisikobewertungen auf, die Abhängigkeiten von einzelnen Anbietern identifizieren. Deutsche Institute müssen diese Anforderungen durch einheitliche Governance-Rahmenwerke mit bestehenden BAIT-Verpflichtungen integrieren.

F: Welche Resilienztestmethoden verlangt DORA von deutschen Banken und Versicherern?

A: Alle Institute müssen jährliche szenariobasierte Tests durchführen, die die Reaktion auf simulierte Störungen bewerten. Systemrelevante Institute müssen mindestens alle drei Jahre erweiterte bedrohungsgeleitete Penetrationstests durchführen und unabhängige Spezialisten engagieren, um anspruchsvolle Angriffe gegen kritische Systeme zu simulieren. Deutsche Regulierungsbehörden erwarten, dass Testergebnisse Kapitalallokation, Technologie-Erneuerungszyklen und Sanierungsprioritäten mit dokumentierter Vorstandsaufsicht informieren.

F: Wie können deutsche Finanzinstitute DORA-Compliance während BaFin-Prüfungen nachweisen?

A: Institute müssen unveränderliche Audit-Trails vorlegen, die IKT-Risikobewertungen, Incident-Response-Aktionen, Drittanbieter-Verträge und Kritikalitätsklassifizierungen, Resilienztest-Ergebnisse und Governance-Entscheidungen dokumentieren. Compliance-Mappings, die zeigen, wie spezifische Kontrollen DORA-Anforderungen über alle fünf Säulen hinweg erfüllen, generiert aus integrierten Datenplattformen statt manueller Dokumentation, bieten die verteidigungsfähigsten Prüfungsantworten.

F: Welche Rolle spielt Datenschutz im DORA-IKT-Risikomanagement für deutsche Institute?

A: Der Schutz sensibler Finanzdaten in Bewegung adressiert die höchste Risiko-Angriffsfläche unter DORA. Zero-Trust-Kontrollen, die Zugriff nach dem Prinzip der geringsten Berechtigung durchsetzen, inhaltsbewusste Richtlinien, die unbefugte Übertragungen verhindern, und unveränderliche Audit-Trails, die alle Dateninteraktionen dokumentieren, bieten technische Grundlagen für operative Resilienz. Deutsche Institute müssen Datenaustausche mit Dritten, Kunden und Partnern sichern und gleichzeitig DSGVO-Compliance aufrechterhalten und Nachweise für aufsichtsrechtliche Prüfungen generieren.

F: Wie beeinflusst DORA die Beziehungen deutscher Finanzinstitute zu Finanzinformatik, Atruvia oder anderen gemeinsam genutzten IT-Dienstleistern?

A: Gemeinsam genutzte IT-Dienstleister, die mehrere deutsche Finanzinstitute unterstützen, qualifizieren sich wahrscheinlich als kritische IKT-Dienstleister unter DORA, was erweiterte vertragliche Anforderungen auslöst, einschließlich Prüfungsrechten, Exit-Strategien und Konzentrationsrisikobewertungen. Deutsche Institute, die diese Anbieter nutzen, müssen DORA-Compliance-Bemühungen koordinieren, möglicherweise durch Branchenverbände, um konsistente vertragliche Bestimmungen sicherzustellen und doppelte Prüfungsanfragen zu vermeiden. Die BaFin kann koordinierte Aufsicht über systemrelevante gemeinsam genutzte Anbieter durchführen.