DORA — der Digital Operational Resilience Act — gilt seit Januar 2025 unmittelbar für Finanzinstitute in der EU. Doch die fünf Kernsäulen der DORA-Anforderungen — ICT Risk Management, Incident Management, Resilience Testing, Third-Party Risk und Information Sharing — beschreiben im Grunde das, was jede kritische digitale Infrastruktur erfüllen sollte. Dieser Artikel zeigt, wie DORA-Prinzipien auf AWS-Architekturen in anderen Branchen übertragen werden können und welche Services dabei die tragende Rolle spielen.

Was ist DORA — und warum geht es alle an?

Der Digital Operational Resilience Act (DORA, EU-Verordnung 2022/2554) ist seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten anwendbar. Anders als NIS2 ist DORA eine Verordnung — sie muss nicht in nationales Recht umgesetzt werden, sondern gilt direkt.

DORA adressiert eine fundamentale Schwachstelle im Finanzsystem: Die Abhängigkeit von IT-Systemen und Cloud-Diensten ist so hoch, dass ein einzelner Ausfall systemische Risiken erzeugen kann. Regulierungsbehörden wie die EBA (Europäische Bankenaufsichtsbehörde), ESMA und EIOPA überwachen die Einhaltung.

Formal gilt DORA für über 22.000 Finanzunternehmen und deren kritische IKT-Drittdienstleister. Faktisch hat DORA eine Strahlwirkung weit darüber hinaus: Wer als IKT-Drittdienstleister an Finanzinstitute liefert, muss DORA-kompatibel sein. Und die Resilienz-Prinzipien, die DORA beschreibt, sind industrieunabhängig sinnvoll — von der Energieversorgung über den Gesundheitssektor bis zur öffentlichen Verwaltung.

Die fünf Säulen von DORA auf AWS abgebildet

DORA strukturiert die Anforderungen an digitale operationale Resilienz in fünf Kernbereiche. Jede Säule lässt sich auf konkrete AWS-Services und -Architekturen abbilden:

DORA-Säule Kernforderung AWS-Services
1. IKT-Risikomanagement Ganzheitliches Risikomanagement-Framework, Risikoappetit-Definition, Asset-Inventar AWS Config, AWS Security Hub, AWS Systems Manager Inventory
2. Incident Management Klassifikation, Meldung, Nachbereitung schwerwiegender IKT-Vorfälle an Aufsicht Amazon GuardDuty, AWS CloudTrail, Amazon SNS, AWS Systems Manager Incident Manager
3. Resilience Testing Jährliche Tests, TLPT alle 3 Jahre für systemrelevante Institute AWS Fault Injection Service, AWS Resilience Hub, AWS Security Hub
4. Third-Party Risk Management Vertragsanforderungen an IKT-Drittdienstleister, Exit-Strategien, Konzentrations-Risikoüberwachung AWS Artifact (Compliance-Berichte), AWS Organizations, Service Control Policies
5. Information Sharing Freiwillige Bedrohungsinformations-Austausche mit Branchen-Peers Amazon Security Lake, AWS Security Hub (Custom Integrations)

Säule 1: IKT-Risikomanagement — das Fundament

DORA verlangt ein vollständiges IKT-Risikomanagement-Framework mit definierten Risikoappetiten, Asset-Inventar, Schutzmaßnahmen und kontinuierlichem Monitoring. Auf AWS bedeutet das:

Asset-Inventar mit AWS Config und Systems Manager
AWS Config erfasst alle Ressourcen (EC2, S3, RDS, Lambda etc.) und ihre Konfigurationshistorie. AWS Systems Manager Inventory ergänzt das um installierte Software, Patch-Status und Betriebssysteminformationen. Zusammen entsteht ein vollständiges, stets aktuelles Asset-Register — Grundvoraussetzung für jedes Risikomanagement.
Kontinuierliches Compliance-Monitoring
AWS Config Rules prüfen automatisch, ob Ressourcen definierte Anforderungen erfüllen (z.B. Verschlüsselung aktiviert, MFA erzwungen, keine öffentlich zugänglichen S3-Buckets). Abweichungen lösen automatische Alarme aus. AWS Security Hub aggregiert diese Findings gemeinsam mit GuardDuty-Bedrohungen und Inspector-Schwachstellen in einem priorisierten Dashboard.
Risikoappetit in Service Control Policies
AWS Organizations Service Control Policies (SCPs) übersetzen organisatorischen Risikoappetit in technische Guardrails: Verhinderung bestimmter Services in bestimmten Regionen, Erzwingung von Tagging-Standards, Sperrung öffentlicher Zugänge. SCPs wirken auch gegen Root-User-Aktionen — eine Anforderung, die DORA für privilegierte Zugänge explizit nennt.

Säule 3: Resilience Testing — von Papier zu Praxis

Der AWS Fault Injection Service (FIS) ist das Werkzeug für Chaos-Engineering auf AWS. DORA fordert jährliche Resilienztests — FIS ermöglicht kontrollierte Experimente, die echte Ausfälle simulieren:

  1. AZ-Ausfall simulieren: FIS kann gezielt EC2-Instanzen oder RDS-Knoten in einer Availability Zone terminieren — und validieren, ob das System automatisch auf verbleibende AZs failover-t.
  2. API-Latenz injizieren: Netzwerklatenzen und Paketverluste für bestimmte Services simulieren, um Timeouts, Retry-Logik und Circuit Breaker zu testen.
  3. Datenbankausfall: RDS-Instanzen failovern, DynamoDB-Throttling simulieren — und validieren, ob Applikationen gracefully degradieren.
  4. Rollback validieren: Nach jedem FIS-Experiment automatisch prüfen, ob das System in den Normalzustand zurückkehrt — Automatisierung über Step Functions.

AWS Resilience Hub ergänzt FIS: Es bewertet Applikationsarchitekturen gegen definierte RTO (Recovery Time Objective) und RPO (Recovery Point Objective) Ziele, identifiziert Lücken und schlägt konkrete Verbesserungen vor — als kontinuierlicher Prozess, nicht nur vor Audits.

Säule 4: Third-Party Risk — Cloud-Provider im DORA-Fokus

DORA enthält erstmals EU-weit verbindliche Anforderungen an IKT-Drittdienstleister von Finanzinstituten. Systemrelevante Cloud-Provider (AWS, Azure, Google Cloud) können direkt durch europäische Aufsichtsbehörden beaufsichtigt werden — ein Novum in der Cloud-Regulierung.

Für Kunden bedeutet das: Die vertraglichen Anforderungen an AWS als Dienstleister sind regulatorisch vorgegeben. AWS unterstützt dabei mit konkreten Vertragsbausteinen:

AWS Artifact
Zentrales Portal für AWS-Compliance-Berichte: ISO 27001, SOC 1/2/3, BSI C5 Type II, PCI DSS — alle zum Download verfügbar. Diese Berichte sind für DORA-Audits und Aufsichtsgespräche direkt verwendbar.
Vertragliche DORA-Klauseln
AWS bietet spezifische Vertragsergänzungen für DORA-Anforderungen: Audit-Rechte, Sub-Dienstleister-Transparenz, Betriebskontinuität, Exit-Unterstützung. Diese werden über den regulären Vertragsprozess vereinbart.
Konzentrations-Risiko
DORA verlangt, dass Finanzinstitute Konzentrations-Risiken bei einzelnen IKT-Anbietern überwachen. AWS unterstützt Multi-Region- und Multi-AZ-Architekturen, die Abhängigkeiten reduzieren. Für echte Anbieter-Diversifikation gibt es AWS Outposts (On-Prem) und Hybrid-Architekturen.

DORA-Prinzipien für andere Branchen adaptieren

Auch wenn DORA formal nur den Finanzsektor bindet, liefert die Richtlinie das bisher ausgefeilteste regulatorische Modell für digitale Resilienz. Andere Branchen können die Struktur adaptieren:

Sektor Regulatorik DORA-Prinzip, das direkt übertragbar ist
Energie NIS2, KRITIS Resilience Testing (FIS), IKT-Risikomanagement (Config + Security Hub)
Gesundheit NIS2, DSGVO Incident Management (GuardDuty + Incident Manager), Third-Party Risk (Artifact)
Öffentliche Verwaltung BSI IT-Grundschutz, NIS2 Asset-Inventar (Config + Systems Manager), Resilience Testing (FIS)
Telekommunikation NIS2, TKG Alle fünf DORA-Säulen — Telekommunikation ist KRITIS-relevant
Maschinenbau (OT) NIS2, IEC 62443 Third-Party Risk (Supply Chain Security), IKT-Risikomanagement

Häufig gestellte Fragen zu DORA

Für wen gilt DORA?
DORA gilt seit Januar 2025 unmittelbar für Finanzinstitute in der EU — Banken, Versicherungen, Zahlungsdienstleister, Kapitalverwaltungsgesellschaften und deren kritische IKT-Dienstleister. Die Prinzipien werden zunehmend in anderen regulierten Sektoren als Best Practice adaptiert.
Was ist ein TLPT unter DORA?
TLPT (Threat-Led Penetration Testing) ist ein unter DORA vorgeschriebener Penetrationstest unter Einsatz echter Angriffstechniken (Red Teaming). Er muss von akkreditierten Testern durchgeführt werden und richtet sich an systemrelevante Finanzinstitute. Das TIBER-EU-Framework des ESZB definiert den Methodikrahmen.
Wie hilft AWS beim DORA Resilience Testing?
AWS Fault Injection Service (FIS) ermöglicht kontrollierte Chaos-Engineering-Experimente — Simulation von Service-Ausfällen, Netzwerk-Latenzen und AZ-Fehlern. AWS Resilience Hub bewertet Applikationen gegen RTO/RPO-Ziele und identifiziert Lücken.
Muss mein Cloud-Provider DORA-konform sein?
Wenn Sie als Finanzinstitut einen Cloud-Provider nutzen, muss dieser die DORA-Vertragsanforderungen erfüllen. AWS bietet entsprechende Vertragsergänzungen und stellt Compliance-Berichte (ISO, SOC, BSI C5) über AWS Artifact bereit.

Storm Reply: Resilienz-Architekturen auf AWS

Storm Reply — AWS Premier Consulting Partner im DACH-Markt — unterstützt Finanzinstitute und andere regulierte Branchen beim Aufbau DORA-alignierter Architekturen. Mit der AWS Cloud Operations Competency und der Managed Service Provider (MSP) Zertifizierung verfügt Storm Reply über die Kompetenzen, die für Resilienz-Architektur und kontinuierliches Compliance-Monitoring notwendig sind.

Vom AWS Well-Architected Review mit Fokus auf die Reliability Pillar über Chaos-Engineering-Workshops mit FIS bis zum Aufbau eines vollständigen DORA-konformen IKT-Risikomanagements — Storm Reply begleitet den gesamten Prozess.

Quellen

  1. EU-Verordnung 2022/2554 (DORA) im EUR-Lex
  2. AWS DORA Compliance Center
  3. AWS Fault Injection Service — Dokumentation
  4. AWS Resilience Hub — Dokumentation

Operational Resilience aufbauen?

Storm Reply entwickelt DORA-alignierte Cloud-Architekturen für Ihr Unternehmen — unabhängig von der Branche.

Kontakt aufnehmen

Weitere Insights

NIS2 und die Cloud

Was deutsche Unternehmen bis März 2026 umsetzen müssen.

BSI IT-Grundschutz und AWS

Compliant Cloud für den öffentlichen Sektor.