BaFin-Readiness mit Kopexa

Was die BaFin bei DORA-Prüfungen erwartet

Die BaFin ist als nationale zuständige Behörde für die Durchsetzung von DORA in Deutschland verantwortlich. Mit dem Inkrafttreten der Verordnung am 17. Januar 2025 hat die BaFin ihre Prüfpraxis angepasst. DORA-bezogene Anforderungen sind jetzt fester Bestandteil regulärer Aufsichtsprüfungen, Sonderprüfungen und der laufenden Aufsicht.

Der Prüfansatz der BaFin folgt einem risikobasierten Modell. Das bedeutet: Nicht jedes Institut wird sofort vollumfänglich geprüft, aber Institute mit hoher Systemrelevanz, kürzlichen Sicherheitsvorfällen oder bekannten Defiziten stehen ganz oben auf der Prüfliste. Die BaFin prüft dabei nicht nur die Dokumentation, sondern verlangt Nachweise der tatsächlichen Umsetzung. Ein Risikomanagementrahmen, der nur auf dem Papier existiert, reicht nicht aus.

Typische Prüffelder umfassen: die Governance-Struktur für ICT-Risikomanagement (Ist die Geschäftsleitung nachweislich eingebunden?), das ICT-Risikoregister (Ist es vollständig, aktuell und wird es aktiv gesteuert?), das Drittanbieter-Register (Sind alle ICT-Dienstleister erfasst, inkl. Subunternehmer?), die Incident-Response-Fähigkeit (Sind Meldeprozesse getestet und funktional?) und die Resilienztest-Dokumentation (Wurden Tests durchgeführt und Ergebnisse umgesetzt?).

Häufige Findings bei Erstprüfungen betreffen insbesondere: unvollständige ICT-Asset-Register, fehlende oder veraltete Business Impact Analysen, nicht dokumentierte Drittanbieter-Abhängigkeiten, Lücken im Incident-Response-Prozess (insbesondere fehlende Eskalationspfade und ungetestete Meldewege) und unzureichende Nachweise für Resilienztests. Die BaFin erwartet, dass Findings innerhalb definierter Fristen behoben werden. Bei schwerwiegenden Mängeln kann die BaFin Sofortmaßnahmen anordnen, einschließlich der Einschränkung bestimmter Geschäftsaktivitäten.

Die Dokumentationserwartungen sind hoch. Die BaFin erwartet, dass alle relevanten Dokumente aktuell, von der Geschäftsleitung freigegeben und für die zuständigen Mitarbeitenden zugänglich sind. Dazu gehören: ICT-Risikostrategie, ICT-Richtlinien, Risikobehandlungspläne, Incident-Response-Pläne, Wiederherstellungspläne, Testberichte und das Drittanbieter-Register. Fehlende Dokumente sind ein sicheres Finding.

TLPT: Wer muss, wer sollte

Threat-Led Penetration Testing (TLPT) nach DORA Art. 26-27 ist die anspruchsvollste Form des Resilienztestens. Anders als gewöhnliche Penetrationstests simulieren TLPTs reale Angriffsszenarien auf Basis aktueller Threat Intelligence. Ein externes Red Team führt den Test durch, während ein internes Blue Team die Verteidigung übernimmt. Das Ziel: Die tatsächliche Widerstandsfähigkeit deines Instituts unter realistischen Bedingungen bewerten.

Wer muss: Die BaFin bestimmt, welche Institute verpflichtet sind, TLPTs durchzuführen. Die Auswahl basiert auf der Systemrelevanz, dem Risikoprofil und der Kritikalität der erbrachten Finanzdienstleistungen. In der Praxis betrifft das primär Großbanken (insbesondere G-SIBs und D-SIBs), systemrelevante Versicherungen, zentrale Gegenparteien (CCPs), Zentralverwahrer (CSDs) und Betreiber von Zahlungssystemen. Wenn die BaFin dein Institut zur TLPT-Durchführung auffordert, ist das keine freiwillige Empfehlung.

Wer sollte: Auch Institute, die nicht formal zur TLPT-Durchführung verpflichtet sind, sollten bedrohungsbasierte Tests in Betracht ziehen. Die BaFin betrachtet proaktives Testen positiv und kann im Rahmen von Aufsichtsgesprächen darauf hinweisen, dass TLPT als Best Practice gilt. Für mittelgroße Banken und Finanzdienstleister empfehlen sich zumindest jährliche Penetrationstests auf TLPT-ähnlichem Niveau, auch wenn keine formale TLPT-Pflicht besteht. Die Erfahrung zeigt, dass Institute, die frühzeitig TLPT-Erfahrungen sammeln, bei einer späteren formalen Pflicht deutlich besser vorbereitet sind.

Die TLPT-Durchführung folgt dem TIBER-EU-Framework (Threat Intelligence-Based Ethical Red Teaming), das in Deutschland als TIBER-DE implementiert ist. Der Prozess umfasst drei Phasen: die Vorbereitungsphase (Scoping, Threat Intelligence Report), die Testphase (Red Team Engagement, typischerweise 12 Wochen) und die Abschlussphase (Blue Team Replay, Ergebnisbericht, Remediation Plan). Die Kosten für einen vollständigen TLPT liegen typischerweise zwischen 200.000 und 500.000 EUR, abhängig vom Scope.

Resilienztests: Anforderungen und Nachweis

Unabhängig von der TLPT-Pflicht verlangt DORA von allen Finanzunternehmen regelmäßige Tests der digitalen operationellen Resilienz. Art. 24 definiert die Grundanforderungen, die für jedes Institut gelten:

• Schwachstellenscans: Regelmäßige automatisierte Scans deiner ICT-Infrastruktur auf bekannte Schwachstellen. Die Häufigkeit sollte mindestens quartalsweise sein, für kritische Systeme monatlich. Ergebnisse müssen dokumentiert und priorisiert behoben werden.
• Netzwerk- und Sicherheitstests: Prüfung der Netzwerksegmentierung, Firewall-Konfigurationen, Zugriffskontrollmechanismen und Verschlüsselungsstandards. Mindestens jährlich, idealerweise halbjährlich.
• Szenariobasierte Tests: Simulation realistischer Angriffsszenarien und Ausfallszenarien. Dazu gehören Ransomware-Szenarien, DDoS-Attacken, Insider-Bedrohungen und der Ausfall kritischer ICT-Drittanbieter. Die Geschäftsleitung muss über die Testergebnisse informiert werden.
• Wiederherstellungstests: Testen der Backup- und Wiederherstellungsprozesse unter realistischen Bedingungen. Kannst du deine kritischen Systeme innerhalb der definierten RTO tatsächlich wiederherstellen? Diese Tests müssen regelmäßig durchgeführt und die Ergebnisse dokumentiert werden.

Die BaFin erwartet für jeden Test einen strukturierten Bericht, der mindestens folgende Informationen enthält: Testumfang, Testmethodik, Ergebnisse (identifizierte Schwachstellen und Risiken), Bewertung der Ergebnisse und einen Maßnahmenplan zur Behebung identifizierter Defizite. Die Ergebnisse müssen in das ICT-Risikoregister zurückfließen und gegebenenfalls zu einer Neubewertung bestehender Risiken führen.

Export-Formate für BaFin-Meldungen

DORA und die zugehörigen RTS/ITS definieren spezifische Formate und Inhaltsanforderungen für Meldungen an die BaFin. Dein Institut muss in der Lage sein, folgende Berichte in den geforderten Formaten zu erstellen und fristgerecht zu übermitteln:

• ICT-Vorfallsmeldungen: Erstmeldung, Zwischenbericht und Abschlussbericht in den von den ESAs definierten Templates. Die Meldung erfolgt über das BaFin-Meldeportal in strukturierter Form (XML/XBRL-basiert).
• Drittanbieter-Register: Das ICT-Drittanbieter-Register muss auf Anfrage der BaFin in einem standardisierten Format übermittelt werden können. Die ESAs haben hierfür spezifische Templates veröffentlicht.
• Testberichte: TLPT-Ergebnisse und Resilienztest-Berichte müssen in einem strukturierten Format vorliegen, das der BaFin eine Vergleichbarkeit zwischen Instituten ermöglicht.

Die technische Vorbereitung auf diese Meldepflichten ist nicht trivial. Dein Institut benötigt Systeme, die die relevanten Daten in den geforderten Formaten extrahieren, validieren und übermitteln können. Eine manuelle Erstellung dieser Berichte ist fehleranfällig und zeitaufwändig. Automatisierte Export-Funktionen sind daher nicht nur nice to have, sondern eine praktische Notwendigkeit.

Kopexa für BaFin-Readiness

Die Vorbereitung auf BaFin-Prüfungen unter DORA erfordert eine systematische Herangehensweise. Kopexa unterstützt dich dabei an mehreren Stellen:

• DORA-Framework-Templates: Kopexa bietet vorkonfigurierte Templates für den DORA-Anforderungskatalog. Du startest nicht bei null, sondern mit einer strukturierten Grundlage, die alle relevanten Artikel abbildet. Für jede Anforderung kannst du den Umsetzungsstatus tracken und Nachweise hinterlegen.
• Policy-Templates: Statt jede Richtlinie von Grund auf neu zu schreiben, nutzt du Kopexas Policy-Templates als Ausgangspunkt. Die Templates sind auf die DORA-Anforderungen abgestimmt und lassen sich an die spezifischen Bedürfnisse deines Instituts anpassen. Freigabe-Workflows stellen sicher, dass jede Policy von der Geschäftsleitung genehmigt und den Mitarbeitenden zugänglich ist.
• ICT-Risikoregister: Das integrierte Risikoregister in Kopexa ist speziell auf die DORA-Anforderungen zugeschnitten. Risikoeigentümer, Maßnahmen-Tracking, Review-Zyklen und die Verknüpfung mit DORA-Artikeln sind von Anfang an eingebaut.
• Evidence Export: Für BaFin-Prüfungen ist die Nachweisführung entscheidend. Kopexa ermöglicht dir, alle relevanten Nachweise gebündelt zu exportieren, verknüpft mit den jeweiligen DORA-Anforderungen. Statt in der Prüfung mühsam Dokumente zusammenzusuchen, lieferst du ein strukturiertes Nachweispaket.

Mit Kopexa reduzierst du den Vorbereitungsaufwand für BaFin-Prüfungen um 40 bis 60 %. Die Plattform gibt dir jederzeit einen Überblick über deinen aktuellen Umsetzungsstand und zeigt dir klar, wo noch Handlungsbedarf besteht. Statt reaktiv auf Prüfungen zu reagieren, bist du proaktiv vorbereitet.

Nächste Schritte

Du möchtest tiefer in verwandte Themen einsteigen? Hier findest du weiterführende Inhalte:

• DORA für Banken und Finanzdienstleister mit dem vollständigen Überblick über alle 5 Säulen, RTS/ITS und Sanktionen
• ICT-Risikomanagement nach DORA mit Details zu Art. 5-16, ICT-Risikoregister und Drittanbieter-Register
• DORA-Katalog mit dem vollständigen Anforderungskatalog und Umsetzungsleitfäden
• Risikomanagement in Kopexa mit ICT-Risikoregister, Maßnahmen-Tracking und Dashboards
• Policy-Management für Richtlinien-Erstellung, Freigabe und Verteilung