Managed Services

DORA-Anforderungen erfüllen: So gelingt modernes IT Service Management

Die IT-Sicherheit von Finanzinstituten steht vor enormen Herausforderungen: Cyberangriffe, regulatorische Anforderungen und der Druck, eine kontinuierliche Betriebsfähigkeit zu gewährleisten. Der Digital Operational Resilience Act (DORA) setzt hier neue Maßstäbe und fordert von Finanzunternehmen robuste und widerstandsfähige IT-Strukturen und -Infrastrukturen. Doch wie lassen sich diese Anforderungen effektiv umsetzen? Ein professionelles IT Service Management (ITSM) spielt dabei eine zentrale Rolle.  Dieser Blogbeitrag beleuchtet die wesentlichen Strategien und Maßnahmen, die Finanzinstitute umsetzen müssen, um DORA-konform zu agieren. Im Fokus stehen die Optimierung des Service Level Managements (SLM), die Steigerung der IT-Prozessreife, der effektive Einsatz von ITSM-Systemen sowie die Vorteile der IT-Automatisierung. Darüber hinaus wird aufgezeigt, wie klare Verantwortlichkeiten, systematische Risikobewertungen und eine prozessorientierte Unternehmenskultur dazu beitragen, die IT zu stärken und die Anforderungen von DORA zu erfüllen. Entdecken Sie die notwendigen Schritte zur Umsetzung einer widerstandsfähigen und effizienten IT-Organisation.

Optimierung des Service Level Managements zur Erfüllung von DORA-Anforderungen 

Ein professionelles Service Level Management (SLM) ist entscheidend für die Erfüllung der Anforderungen des Digital Operational Resilience Act (DORA). DORA verlangt von Finanzinstituten eine klare und umfassende Definition der angebotenen IT-Services sowie deren Leistungsversprechen, um eine hohe Servicequalität und die Einhaltung regulatorischer Vorgaben zu gewährleisten. Folgende Punkte sind für ein modernes Service Level Management entscheidend: 
 

Klare Definition der Services und Leistungsversprechen 

Eine klare Definition und verständliche Beschreibung der angebotenen Services ist eine Hauptaufgabe des SLM. Diese Definitionen sollten den Bezug der Services zu den Geschäftsprozessen sowie deren funktionalen und technischen Umfang beinhalten. Nachvollziehbare und eindeutige Leistungsversprechen gegenüber dem Kunden sind notwendig, um Missverständnisse zu vermeiden und Erwartungen zu steuern. Darüber hinaus ermöglichen sie die Ableitung relevanter Leistungsindikatoren und erforderlicher Maßnahmen. 
 

Bezug zu kritischen und wichtigen Funktionen 

DORA fordert von Finanzinstituten, ihre kritischen und wichtigen Funktionen zu identifizieren und die IKT-Leistungen, die diese Funktionen unterstützen oder ganzheitlich erbringen, sorgfältig zu verwalten. Kritische Funktionen sind solche, deren Ausfall zu erheblichen finanziellen Verlusten, Reputationsschäden oder zum Ausfall des gesamten Systems führen kann. Wichtige Funktionen haben einen erheblichen Einfluss auf den Geschäftsbetrieb, auch wenn sie nicht kritisch sind. IT-Services müssen entsprechend ihrer Kritikalität überprüft werden, um eine hohe Verfügbarkeit und strenge Service Level Agreements (SLAs) zu gewährleisten. Diese SLAs definieren genau die Verfügbarkeit, die Wiederherstellungszeit und die maximale Ausfallzeit und leisten damit einen wichtigen Beitrag zur operationalen betrieblichen Resilienz.
 

Risikobewertung basierend auf den Schutzbedürfnissen und Schutzklassen der verwendeten Daten 

Die systematische Identifikation und Bewertung von Risiken ist Voraussetzung für die Sicherstellung der DORA-Konformität. Der Schutzbedarf beschreibt die Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit von Daten, basierend auf der Art der Daten und den möglichen Auswirkungen eines Datenverlustes oder einer Datenkorruption. Schutzklassen konkretisieren den Schutzbedarf und definieren die notwendigen technischen und organisatorischen Maßnahmen. Diese Risikobewertung hilft, mögliche Risiken für die Servicedefinitionen und SLAs abzuleiten und geeignete Maßnahmen zur Risikominderung zu entwickeln.
 

Festlegung der Verantwortlichkeiten 

Die klare Definition von Verantwortlichkeiten ist ein weiterer grundlegender Bestandteil eines professionellen SLM. Ein klares und eindeutiges Rollenmodell, in dem die Verantwortlichkeiten, Kompetenzen und Tätigkeiten der einzelnen Rollen geregelt sind, ist Voraussetzung für die eindeutige Kenntnis und Benennung des zuständigen Ansprechpartners bzw. Verantwortlichen für jeden Prozessschritt. 

Zu diesem Zweck hat sich eine RACI-Matrix bewährt, in der die Verantwortlichkeiten klar geregelt sind.

R (Responsible) = Ausführender eines Prozessschritts (es muss mindestens einen, kann aber auch mehrere geben)  
(Accountable) = Stellt sicher, dass der Prozessschritt ausgeführt wird (es muss und kann nur einen geben)  
(Consulted) = Kann beratend hinzugezogen werden  
I  (Informed) = Sollte informiert werden  

Entscheidend im Bereich der Verantwortlichkeiten sind auch die im ITSM System dokumentierten Genehmigungsschritte Sie erhalten mit DORA eine neue Bedeutung, da sie sicherstellen, dass Änderungen an IT-Systemen und deren Konfiguration nicht ohne Prüfung und Auswirkungsanalyse freigegeben werden. Der Einsatz von Automatisierung eignet sich im ersten Schritt offenbar sehr, jedoch kann eine automatisierte Freigabe nur entlang zuvor sehr sorgfältig definierter Kennzeichen automatisiert werden.  

DORA fordert nicht nur eine klare Aufteilung von Verantwortlichkeiten in Rollen, sondern vielmehr noch in Rollen-Inhaber, d.h. konkrete menschliche Personen, die zu einem bestimmten Zeitpunkt (z.B. wenn eine Genehmigung erteilt oder ein Change ausgerollt wurde), eine Rolle innehatten.
 

Service Levels 

Im Vertrag zum Beispiel mit dem IT-Dienstleister (Service Level Management) sollte detailliert festgelegt werden, welche IT-Services in welchem Umfang erbracht werden und welche Service Levels zu erfüllen sind. Service Levels sind die Qualitätsanforderungen und müssen nicht nur messbar formuliert werden, sondern auch nachweislich gemessen werden.  

Dazu gehören die Verfügbarkeit der Services (z.B. während der Geschäftszeiten oder 24/7), die Wiederherstellungszeit nach einem Ausfall je nach Priorität (z.B. 1 Stunde bei Priorität 1) und die maximale Reaktionszeit bei Störungen (z.B. 15 Minuten bei Priorität 1). Darüber hinaus sollten messbare Key Performance Indicators (KPIs) definiert werden, um die Leistung des Dienstleisters zu bewerten. Regelmäßige Berichte über erreichte KPIs und aufgetretene Probleme sind ebenfalls notwendig, um Transparenz und Nachvollziehbarkeit zu gewährleisten. 

Die regelmäßige Überprüfung und Anpassung der Service Levels ist notwendig, um auf veränderte Anforderungen zu reagieren und die Konformität mit DORA sicherzustellen. Ein kontinuierlicher Review-Prozess trägt zur Verbesserung und Anpassung der Services bei, so dass diese stets den aktuellen regulatorischen und geschäftlichen Anforderungen entsprechen.
 

Steigerung der IT-Prozessreife: Effiziente Strategien für DORA-Anforderungen 

DORA legt großen Wert auf die Fähigkeit von Finanzinstituten, ihre IT-Prozesse widerstandsfähig und effizient zu gestalten, um Risiken zu minimieren und die Kontinuität des Geschäftsbetriebs zu gewährleisten. Die Erhöhung der IT-Prozessreife spielt eine Schlüsselrolle bei der Erfüllung der DORA-Anforderungen, da sie dazu beiträgt, Prozesse zu standardisieren, Verantwortlichkeiten klar zu definieren und die gesamte IT-Infrastruktur zu optimieren. Im Folgenden werden die wesentlichen Aspekte zur Erhöhung der IT-Prozessreife erläutert.
 

Prozessorientierte Unternehmenskultur 

Eine prozessorientierte Unternehmenskultur unterstützt eine effektive Erfüllung der DORA-Anforderungen. Es ist wichtig, die Vorteile der Prozessoptimierung aktiv zu kommunizieren und alle Mitarbeitenden in diesen Prozess einzubinden. Externe Partner, wie z.B. IKT-Drittdienstleister, sollten ebenfalls in die Optimierungsprozesse eingebunden werden, um eine reibungslose Zusammenarbeit zu gewährleisten. Eine klare Definition und Nutzung gemeinsamer Prozesse und Schnittstellen trägt zur Effizienz und Qualität der IT-Services bei.
 

Klare Zuständigkeiten und rollenbasiertes Arbeiten 

Für eine erfolgreiche Prozessoptimierung müssen die Verantwortlichkeiten klar definiert sein. Dies kann durch die Einführung von Rollenmodellen erreicht werden, in denen jeder Prozessschritt einer bestimmten Rolle zugeordnet wird. Dabei ist es wichtig, die verantwortlichen Personen namentlich zu benennen, um sicherzustellen, dass die Aufgaben auch tatsächlich ausgeführt werden. Rollenbasiertes Arbeiten fördert die Effizienz und minimiert Fehlerquellen.
 

Genehmigungsstufen und Vier-Augen-Prinzip 

Die Implementierung von Genehmigungsstufen und des Vier-Augen-Prinzips trägt zur Sicherheit und Integrität der IT-Prozesse bei. Durch die Definition klarer Freigaberichtlinien wird sichergestellt, dass wichtige Entscheidungen nicht von Einzelpersonen getroffen werden. Stattdessen sollten zwei unterschiedliche Rollen und Personen mit den notwendigen Kompetenzen in den Entscheidungsprozess eingebunden werden und dies auch im ITSM-Tool als Bedingung hinterlegt werden. Das erhöht die Sicherheit, verbessert die Kontrolle und schafft Transparenz.
 

Prozessdokumentation 

Eine umfassende und verständliche Prozessdokumentation im IT-Prozessmanagement hilft nicht nur, den Prozessablauf zu verstehen und zu optimieren, sondern dient auch als Grundlage für Schulungen und Kommunikation. Eine gute Dokumentation ist zudem wichtig für die Auditierbarkeit und die Einhaltung von Compliance-Anforderungen. Die Dokumentation kann als Nachweis für die Einhaltung der DORA-Anforderungen dienen, insbesondere im Hinblick auf das Risikomanagement und die Zusammenarbeit mit externen IKT-Dienstleistern. Eine vollständige und genaue Dokumentation der einzelnen Prozessschritte ist eine wesentliche Voraussetzung für die Durchführung von Audits und Kontrollen. Sie trägt zu einer erhöhten Transparenz der Prozesse bei und ermöglicht das Erkennen von Schwachstellen und Verbesserungspotenzialen. 

Auch bei der Fehlerursachenanalyse und -vermeidung spielt die Dokumentation eine zentrale Rolle. Sie erleichtert die Identifikation von Fehlerursachen im Prozess und kann als Grundlage für die Entwicklung von Prozessverbesserungen dienen. Eine gute Dokumentation trägt dazu bei, dass sich Fehler nicht wiederholen. Darüber hinaus unterstützt sie den Prozessablauf, indem sie die Effizienz steigert, Missverständnisse minimiert und das Onboarding neuer Mitarbeitender erleichtert. Neue Mitarbeitende können mit Hilfe der Dokumentation den Prozess schneller und einfacher verstehen und in die Arbeit integriert werden.
 

Professionalisierung des Asset Managements 

Ein strukturiertes Asset-Management-System ermöglicht die zentrale Verwaltung und Kontrolle der IT-Assets und trägt damit zur Verbesserung der IT-Sicherheit und zur Einhaltung von Compliance-Anforderungen bei. Es bildet die Grundlage für einen hohen Integrationsgrad und eine effiziente Automatisierung von Prozessen. Mit Hilfe eines professionellen Asset Managements können Unternehmen eine optimale Nutzung und Verwaltung aller IT-Ressourcen zur Erfüllung der DORA-Anforderungen erzielen.

DORA-Compliance durch effiziente Nutzung von ITSM-Systemen

Professionelle IT Service Management (ITSM)-Systeme helfen dabei, IT-Prozesse zu standardisieren, Risiken zu managen und Compliance sicherzustellen. Die folgenden Maßnahmen sind entscheidend für den effektiven Einsatz von ITSM-Systemen zur Einhaltung der DORA-Anforderungen.

  • Nahtlose Dokumentation, Genehmigungen und Tests
    Zur Erfüllung der DORA-Anforderungen ist eine lückenlose Dokumentation aller Änderungs- und Genehmigungsprozesse erforderlich. Die vollständige Dokumentation und Rückverfolgbarkeit aller Änderungen muss durch ITSM-Systeme abgesichert werden. Genehmigungsworkflows und Historisierung sollten implementiert werden, um alle IT-Systemänderungen ordnungsgemäß freizugeben. Regelmäßige Tests der ITSM-Prozesse und -Systeme sind für eine kontinuierliche Konformität mit DORA erforderlich. 
  • Rollen- und Rechtevergabe
    Die Integration von Zugriffsrechten und Rollenmodellen in das zentrale Berechtigungssystem sorgt für Sicherheit und Compliance. Für die Vergabe von Rechten sind Berechtigungsstufen zu implementieren, damit nur berechtigte Personen Zugriff erhalten. Regelmäßige Überprüfungen und Dokumentationen der eingerichteten Benutzer und Rechte tragen zur Aufrechterhaltung der Sicherheitsstandards bei.
  • Risikoanalyse als integraler Bestandteil der Prozesse
    Die Integration strukturierter Risikoanalysen in die ITSM-Prozesse trägt zur systematischen Identifizierung und Bewertung potenzieller Sicherheitsbedrohungen und Schwachstellen bei. Zur Vorbereitung auf mögliche Ausfälle von IT-Systemen oder -Prozessen sollten Fallback-Szenarien entwickelt werden. Durch eine kontinuierliche Risikoanalyse können Unternehmen ihre IT-Services resilient und sicher gestalten.
  • Auditierbarkeit
    Um den Anforderungen von DORA gerecht zu werden, müssen umfassende Audit-Protokolle implementiert werden, die alle Aktivitäten im ITSM-System aufzeichnen. Zur Wahrung der Integrität der Audit-Informationen müssen die Daten unveränderbar gespeichert werden. Diese Protokolle sind für die Durchführung von Audits und Kontrollen sowie für die Sicherstellung der DORA-Konformität unerlässlich. 
  • Operative Absicherung des ITSM-Systems
    Voraussetzung für ein robustes ITSM-System ist die regelmäßige Wartung und Weiterentwicklung zur Vermeidung von Ausfällen und Störungen. Die betriebliche Absicherung des ITSM-Systems als kritischer Erfolgsfaktor im Risikomanagement stellt die Funktionsfähigkeit des ITSM-Systems sicher. Investitionen in Wartung und Support des ITSM-Systems gewährleisten die Verfügbarkeit und Performance. 
  • Berichterstattung
    ITSM-Systeme sollten regelmäßig Berichte über die Einhaltung von Service Level Agreements (SLAs) und Key Performance Indicators (KPIs) erstellen. Diese Berichte tragen zur Transparenz bei und überwachen den Status der Einhaltung der DORA-Anforderungen. Unternehmen können durch regelmäßiges Reporting die Einhaltung der geforderten Standards und die kontinuierliche Verbesserung ihrer IT-Services erzielen.

Durch den effektiven Einsatz von ITSM-Systemen können Unternehmen die Resilienz ihrer IT-Infrastruktur stärken, Risiken minimieren und die regulatorischen Anforderungen von DORA erfüllen.

Automatisierung in IT-Prozessen: Ein Schlüssel zur DORA-Compliance 

Automatisierte Prozesse reduzieren das Risiko von Fehlkonfigurationen und Datenlöschungen, steigern die Effizienz und fördern die Compliance. Sie stellen korrekte und zeitnahe Datenberichte sicher, ermöglichen schnellere Reaktionen auf Sicherheitsvorfälle und unterstützen datenbasierte Entscheidungen durch die Analyse von Prozessdaten. So können Unternehmen die Effizienz ihrer IT-Prozesse steigern, die Sicherheit erhöhen und DORA-konform handeln. Die folgenden Maßnahmen sind notwendig, um den Automatisierungsgrad zu verbessern:

  • Provisioning von IT-Ressourcen
    Die Automatisierung der Bereitstellung von IT-Ressourcen wie Servern, Speicherplatz und Netzwerkressourcen kann die Bereitstellungszeit erheblich verkürzen und manuelle Fehler reduzieren. Automatisierungstools ermöglichen eine schnelle und konsistente Bereitstellung, was zur Effizienzsteigerung und Kostensenkung beiträgt.
  • Self-Service-Portal
    Ein Self-Service-Portal ermöglicht es den Mitarbeitenden, IT-Probleme selbst zu melden und den Status ihrer Tickets zu verfolgen. Das reduziert den Bedarf an manueller Unterstützung durch den IT-Helpdesk und erhöht die Effizienz des IT-Supports.
  • Softwarebereitstellung
    Die automatisierte Installation und Konfiguration von Software beschleunigt die Bereitstellung neuer Anwendungen und gewährleistet die Konsistenz von Softwareumgebungen. Mit Hilfe von Automatisierungswerkzeugen können Unternehmen sicherstellen, dass Software-Updates und Patches zeitnah und korrekt eingespielt werden. 
  • Automatische Ticket-Eskalation
    Tickets mit hoher Priorität oder langer Bearbeitungszeit können automatisch eskaliert werden, um sicherzustellen, dass sie schnellstmöglich gelöst werden. Das Ergebnis ist eine Verbesserung der Reaktionszeit bei kritischen Störungen und eine Minimierung von deren Auswirkungen.
  • IT-Monitoring und Alerting
    ‚Automatisierte Monitoring- und Alerting-Tools überwachen IT-Systeme kontinuierlich und melden auftretende Probleme direkt an die Administratoren. Dadurch können Probleme schnell erkannt und behoben werden, was die Verfügbarkeit und Zuverlässigkeit der IT-Services erhöht. 
  • Automatisierte Benachrichtigungen
    Automatisierte Benachrichtigungen informieren Anwender und IT-Mitarbeitende per E-Mail oder SMS über wichtige Ereignisse im Zusammenhang mit IT-Tickets. Damit wird die Transparenz erhöht. Gleichzeitig können sich alle Beteiligten kontinuierlich über den aktuellen Stand des Projekts informieren.
  • Sicherheits-Patching und Updates
    Das automatische Anwenden von Sicherheits-Patches und -Updates schützt IT-Systeme vor bekannten Sicherheitslücken. Automatisierte Prozesse sorgen dafür, dass Patches regelmäßig und zeitnah eingespielt werden und erhöhen damit das Sicherheitsniveau der IT-Infrastruktur.
  • Automatisierte Berichte und Analysen
    Automatisierungstools können Berichte und Analysen über die Leistung des IT-Supports generieren. Diese Berichte helfen, Verbesserungspotenziale zu identifizieren und die Effizienz der IT-Prozesse zu steigern.
  • Datensicherung und -wiederherstellung
    Automatisierte Datensicherungs- und Wiederherstellungsprozesse bieten Schutz vor Datenverlust. Durch regelmäßige, automatisierte Backups können Unternehmen die Verfügbarkeit wichtiger Daten und deren schnelle Wiederherstellung nach einem Ausfall absichern. 
  • Automatische Zuweisung von Tickets
    IT-Tickets können automatisch den zuständigen Mitarbeitenden oder Teams zugewiesen werden, basierend auf der Art des Problems, der Priorität und anderen Kriterien. So können Probleme schnell von den richtigen Experten bearbeitet werden.
  • Problemmeldung per E-Mail
    Automatisierungstools können eingehende E-Mails analysieren und auf Basis der gemeldeten Probleme automatisch IT-Tickets erstellen. Das spart Zeit und stellt sicher, dass Probleme schnellstmöglich bearbeitet werden. 
  • Automatische Updates
    Die Benutzer können den Status ihrer Tickets in Echtzeit über ein Benutzerhilfe-Portal verfolgen. Automatische Updates informieren zusätzlich über den Bearbeitungsfortschritt und halten alle Beteiligten auf dem neuesten Stand.
  • Ereignisgesteuerte Ticket-Erstellung
    Durch die Überwachung von IT-Systemen und die automatische Erstellung von IT-Tickets bei bestimmten Ereignissen können Unternehmen proaktiv auf Probleme reagieren. Dies verhindert die Eskalation von Problemen und trägt zur Stabilität der IT-Systeme bei.
  • Integration von Wissensdatenbanken
    Durch die Integration von Wissensdatenbanken in das User Help Portal können Benutzer auf Lösungen für häufig auftretende Probleme zugreifen. Der Bedarf an IT-Support wird reduziert und die Problemlösung beschleunigt. 

Durch die Erhöhung des Automatisierungsgrades können Unternehmen die Effizienz ihrer IT-Prozesse steigern, die Sicherheit erhöhen und die Compliance mit DORA sicherstellen. Automatisierte Prozesse ermöglichen es, Routineaufgaben zu reduzieren und sich auf wertschöpfende Tätigkeiten zu konzentrieren, was letztlich zu einer Verbesserung der gesamten IT-Infrastruktur beiträgt.

DORA-Compliance durch modernes IT Service Management sicherstellen 

Die Optimierung des Service Level Management (SLM) ist eine Grundvoraussetzung, um den Anforderungen des DORA-Gesetzes gerecht zu werden. Zu einem professionellen SLM gehören klare Definitionen von Services und Leistungsversprechen, die besondere Berücksichtigung kritischer und wichtiger Funktionen sowie eine systematische Risikobewertung auf Basis von Schutzbedarf und Schutzklassen. Eine präzise Definition der Verantwortlichkeiten und die regelmäßige Überprüfung der Service Levels tragen zusätzlich zur Compliance bei. 

Gleichzeitig ist eine hohe IT-Prozessreife Voraussetzung, die durch zentrale Elemente wie eine prozessorientierte Unternehmenskultur, klare Verantwortlichkeiten und Genehmigungsebenen sowie eine umfassende Prozessdokumentation zur Erfüllung der DORA-Anforderungen beiträgt. Die Professionalisierung des Asset Managements und der effektive Einsatz von IT Service Management (ITSM)-Systemen stärken die Resilienz der IT-Infrastruktur und minimieren Risiken. 

Die Erhöhung des Automatisierungsgrades von IT-Prozessen bietet zusätzliche Vorteile: erhöhte Sicherheit, Effizienzsteigerung, verbesserte Compliance und schnellere Reaktionszeiten bei Sicherheitsvorfällen. Automatisierte Prozesse unterstützen zudem datenbasierte Entscheidungen und fördern die kontinuierliche Verbesserung der IT-Sicherheit und -Effizienz. 

Durch die konsequente Umsetzung dieser Strategien können Finanzinstitute ihre IT-Prozesse optimieren, die DORA-Anforderungen erfüllen und eine stabile, sichere und effiziente IT-Infrastruktur gewährleisten. 

Wie wir Sie unterstützen 
Als erfahrener mittelständischer IT-Service Partner im Finanzumfeld kennen wir die Herausforderungen, denen sich Finanzunternehmen stellen müssen. Unser Kerngeschäft liegt in der Erbringung von Software-Entwicklung und Managed IT Services, die wir in einem audit-sicheren Rahmen bereitstellen, sodass Sie als Finanzunternehmen gegenüber der Aufsicht die lückenlose Steuerung des Dienstleisters sicherzustellen können. Im Rahmen der Serviceerbringung beraten und unterstützen wir Sie gerne bei der Steigerung Ihrer ITSM – Prozessreife, der Etablierung von Integrations-Mechanismen zur Erfüllung der DORA Anforderungen oder der Etablierung neuer ITSM Prozessen (Asset und Configuration Management). 

Kontakt

Sie suchen einen erfahrenen und zuverlässigen IT-Partner?

Wir bieten Ihnen individuelle Lösungen für Ihre Anliegen – von Beratung, über Entwicklung, Integration, bis hin zum Betrieb.

Jetzt kontaktieren
© 2025 SEVEN PRINCIPLES GROUP