Getrennte Welten verbinden:

Wie automatisierte und vernetzte Prozesse echte Cyber-Resilienz schaffen

Anfang 2026 jährte sich das Inkrafttreten von DORA zum ersten Mal. Die EU-Verordnung verfolgt das Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu erhöhen. Banken, Versicherungen, Asset Manager und deren IT-Dienstleister müssen gewährleisten, dass sie auch bei größeren Vorfällen, die die Informations- und Kommunikationstechnologie (IKT) betreffen, sicher und zuverlässig weiterarbeiten können. Das gelingt nur dann, wenn Finanzdienstleister potenzielle Bedrohungen schnell erkennen und effektiv darauf reagieren.

Digitaler Flickenteppich als Hürde

Wirksame Cyber-Resilienz erfordert die Vernetzung und das enge Zusammenwirken der verschiedenen IT-Security-Systeme. Und genau das ist in vielen Unternehmen hierzulande noch nicht gegeben, wie die Studie „Von Reaktion zu Resilienz – Cyber Security neu gedacht“ von IDC und KPMG belegt: 37 Prozent der Befragten nennen siloartige, nicht integrierte Sicherheitstools als Hürde, um die Ursachen von Cyber-Security-Vorfällen zu identifizieren. Denn die Sicherheitsarchitektur gleicht – auch in der Finanzbranche – oftmals einem Flickenteppich, der sich über verschiedene Welten aus Cloud-Anwendungen und klassischen On-Premise-Systemen erstreckt.

Diese Zersplitterung der Infrastruktur kann sich direkt auf die operative Abwehrfähigkeit auswirken: Da die Schutzmaßnahmen isoliert für die jeweiligen Umgebungen eingeführt wurden, sind die Strukturen z. B. für das Identitätsmanagement (Identity and Access Management, IAM), die Ereignisanalyse (Security Information and Event Management, SIEM), dem Schwachtsellenmanagement (Vulnerability Management) und den Sicherheitsbetrieb (Security Operations Center, SOC) heterogen gewachsen. Aus diesem technologischen Insellösungen resultieren eine hohe Komplexität, wachsende Intransparenz und eine fehlende Ende‑zu‑Ende-Sicherheit. Die so entstandenen Sicherheitssilos können zu ineffizienten Abläufen führen, eine lückenlose Verteidigung nahezu unmöglich machen und die Reaktionsgeschwindigkeit im Ernstfall verlangsamen.

Daten-Silos aufbrechen

Die regulatorischen Leitplanken durch DORA bilden die Grundlage für eine fundierte Cyber-Resilienz. Doch in der Praxis zeigt sich eine deutliche Diskrepanz zwischen strategischem, regulatorischem Anspruch und operativer Tiefe. Dabei liegt das eigentliche Defizit vieler Finanzinstitute weniger im Verständnis der Regeln. Vielmehr fehlt ein gemeinschaftlicher Angang für die Umsetzung und Automatisierung von IT Security. Ganzheitlich gedachte Sicherheit wird oft noch als isolierte Compliance-Aufgabe behandelt, anstatt sie tiefgreifend in den IKT-Prozessen zu verankern.

Ein wesentliches Hindernis für diese operative Exzellenz ist das Fehlen eines einheitlichen Datenmodells. Selbst dort, wo Systeme bereits technisch miteinander kommunizieren, sprechen sie oft keine gemeinsame Sprache. Ein Sicherheitsereignis wird im Identitätsmanagement nach völlig anderen Kriterien bewertet als im Bereich des Schwachstellen-Scannings oder im Netzwerk-Monitoring. Ohne diesen gemeinschaftlichen architektonischen Rahmen und ein konsistentes Datenmodell lassen sich Informationen nicht sinnvoll korrelieren oder komplexe Angriffe sekundenschnell erkennen. Anders gesagt: Die Unternehmen sammeln zwar viele sicherheitsrelevante Daten. Aber ihr Mehrwert bleibt gering, solange sie im Ernstfall in Silos verharren.

Strategische Priorisierung als Fundament

Um die Silos der Cyber-Security zu überwinden, braucht es einen radikalen Perspektivwechsel: Anstatt die Verteidigung weiterhin von den verfügbaren technologischen Werkzeugen her zu planen, sollten Finanzinstitute ihre Architektur konsequent entlang einer klar definierten, logischen Kette entwickeln. Dies bedeutet, nicht länger zu versuchen, jedes neue Tool in eine bereits überladene Infrastruktur zu integrieren. Vielmehr sollten Finanzinstitute zunächst jene Bedrohungsvektoren mit dem höchsten Risiko für die operative Stabilität identifizieren. Nur wer präzise weiß, gegen welche spezifischen Szenarien er seine Verteidigung priorisieren muss, kann seine Ressourcen effizient bündeln.

Innerhalb dieser logischen Kette folgt als nächster Schritt die Bestimmung der geschäftskritischen Kernsysteme und Applikationen. Wirkliche Resilienz im Sinne von DORA lässt sich nicht dadurch erreichen, dass die gesamte, historisch gewachsene IT-Landschaft mit derselben Intensität abgesichert wird. Erfolgversprechender ist es, jene IT-Assets zu identifizieren, die für den Fortbestand des Geschäftsbetriebs unverzichtbar sind. Aus dieser Auswahl ergibt sich unmittelbar der maximale Schutzbedarf. Davon lässt sich in einem weiteren Schritt ableiten, welche spezifischen Security-Aufgaben – von der Identitätssteuerung bis hin zu beschleunigten Patch-Zyklen – für diese vordringlichen Assets mit höchster Priorität umgesetzt werden sollten.

In der praktischen Umsetzung erfordert dieser Ansatz eine ehrliche Bestandsaufnahme der vorhandenen Fähigkeiten. Die Institute sollten sich fragen: Welche Sicherheitsmaßnahmen sind für die definierten Kernapplikationen bereits aktiv? Wo bestehen Lücken, die dringend nachgebessert werden müssen? Dabei geht es nicht nur um die bloße Existenz von Tools, sondern um deren Wirksamkeit im Kontext der gewählten Strategie und vor allem um die Automatisierung der IT-Security-Systeme untereinander. Stimmen die hinterlegten Use Cases mit den tatsächlichen Bedrohungsszenarien überein? Sind die kritischen Applikationen technisch so angebunden, dass ein lückenloser Datenfluss gewährleistet ist? Wie werden die wirklich relevanten Security-Bedrohungen zeitnah sichtbar gemacht?

Erst eine detaillierte Feinabstimmung der Sicherheitsarchitektur ermöglicht die Abbildung lückenloser Wirkungsketten. Sie bildet das Fundament für standardisierte Runbooks. Diese wiederum garantieren eine koordinierte Reaktion, indem sie festlegen, ab welchen Schwellenwerten eine automatisierte Zusammenführung geschäftskritischer Datenströme erfolgt. Ziel dieses Ansatzes ist es, die Komplexität der Prozesse durch definierte Standards und bewährten Vorgehensmodellen signifikant zu mindern. Denn erst wenn die Prozesse und Datenmodelle auf diese Weise bereinigt und konsequent auf die kritischen Funktionen ausgerichtet sind, ist das notwendige Fundament für den nächsten Evolutionsschritt gelegt: den Einsatz intelligenter Technologien, die diese Prozesse in Echtzeit orchestrieren können.

Vom statischen Bericht zur Echtzeit-Orchestrierung

Die konsequente Priorisierung auf Basis von „Threadmodelling“ der kritischen Applikationen ist also nur die notwendige Grundlagenarbeit. Operative Überlegenheit entsteht erst durch Geschwindigkeit bei der Umsetzung. Die Cyber-Bedrohungslage zeichnet sich durch eine hohe Intensität und Frequenz aus. Ein statischer Lagebericht, der quartalsweise für regulatorische Zwecke zu erstellen ist, stellt zwar eine formale Pflicht dar. Für die aktive Abwehr ist er jedoch weitestgehend wertlos. Was die Verantwortlichen heute benötigen, ist ein dynamisches, automatisiertes Security-Bild der aktuellen Situation – bezogen auf die Kernfunktionen, die kritischen Applikationen, Netzwerkkomponenten, Cloud-Dienste, Endpoints, Identitäten, Schwachstellen etc. und die sensibelsten Datenströme. Diese Transparenz muss jederzeit auf Knopfdruck verfügbar sein, um die zeitliche Asymmetrie zwischen Angriff und Abwehr aufzulösen.

Der technologische Schlüssel hierfür liegt in der Abkehr von manuellen Prozessen hin zu einer KI-gestützten Orchestrierung. Moderne Sicherheitsarchitekturen setzen auf spezialisierte Multi-KI-Agententeams, die als digitale Koordinatoren fungieren. Diese Agenten sind zum Beispiel in der Lage, die vorhandenen Informationen aus dem Identitätsmanagement, dem Netzwerk-Monitoring, den Identitäten und den Applikationen auf Basis eines einheitlichen Datenmodells zu korrelieren, Muster zu erkennen und Vorschläge für neue Schwellenwerte eines SOCs oder auch Use Cases zu definieren.. Wenn ein Angriff erfolgt, reagieren diese Systeme nicht in Stunden, sondern in Millisekunden innerhalb eines Tages und an 365 Tagen im Jahr, indem sie vordefinierte Runbooks automatisiert ausführen und so die Ausbreitung von Schadsoftware stoppen, noch bevor der Mensch eingreifen könnte. In den letzten zwölf Monaten sind die Angriffe durch KI-Systeme um 200 Prozent gestiegen, deswegen sollten KI-Systeme dringend für die Verteidigung der IT-Systeme von Financial-Services-Kunden eingesetzt werden.

Als Bindeglied zwischen dieser hochkomplexen Technik und der Management-Ebene kann ein zentrales Cyber-Risk-Dashboard mit den Kern-KPIs fungieren. Als „Single Source of Truth“ aggregiert es die operativen Daten der KI-Agenten und übersetzt sie in ein dynamisches Risiko-Lagebild. Anstatt sich durch hunderte Einzelmeldungen arbeiten zu müssen, sehen Security-Verantwortliche sofort, wie es um die Resilienz der kritischen Systeme steht. Auch Simulationen für Bedrohungsszenarien können so über KI dargestellt werden. Zudem können die wichtigsten Handlungsfelder für zielgerichtete Investitionen und Projekte erkannt werden.

Komprimierung der KI verhindern

Doch dieser Gewinn an Automatisierung und Transparenz ist untrennbar mit einer neuen strategischen Aufgabe verbunden: der konsequenten Absicherung der KI selbst. Wenn KI-Agenten zum zentralen Nervensystem der Verteidigung werden und weitreichende Befugnisse in der Infrastruktur erhalten, werden sie selbst zu einem Ziel mit höchster Priorität. Eine moderne Cyber-Resilienz ist daher ohne eine dezidierte AI-Security nicht denkbar. Es reicht deshalb nicht aus, KI lediglich als Werkzeug einzusetzen; sie muss als Teil der kritischen Infrastruktur begriffen und entsprechend geschützt werden. Neben dem Verständnis, wer Zugriff auf welche Daten hat, muss auch die Kompromittierung der KI-Systeme verhindert werden.

Dies erfordert auch als Basis eine umfassende AI Governance, die weit über herkömmliche Security-Ansätze hinausgeht. Es gilt, die Integrität der Modelle und die Validität der genutzten Datenströme permanent zu überwachen, um Manipulationen wie „Data Poisoning“ oder „Prompt Injection“ auszuschließen, die die KI blind machen oder gar gegen die eigene Infrastruktur instrumentalisieren könnten. Die Absicherung der KI-Modelle sowie die Implementierung einer belastbaren Risikokontrolle für deren Entscheidungswege sind jedoch heute oft blinde Flecken in der IT-Strategie und aktuell die größte Angriffsgefahr. Doch nur durch den Schutz der „Wächter“ lässt sich die Zukunftsfähigkeit des Geschäftsmodells unter DORA-Bedingungen nachhaltig sichern. Wer die Hoheit über seine KI-Infrastruktur behält, gewinnt am Ende die Hoheit über sein gesamtes digitales, automatisiertes Handeln zurück.

Fazit

Echte Cyber-Resilienz im Jahr 2026 ist weit mehr als eine abgehakte Compliance-Checkliste für die Aufsicht. Sie ist das Ergebnis einer tiefgreifenden Transformation – weg von der Verwaltung isolierter Sicherheitswerkzeuge hin zu einer proaktiven, technologisch orchestrierten Security-Organisation. Wer die strategische „Rolle rückwärts“ wagt, Komplexität konsequent reduziert und seine KI-gestützte Verteidigung ebenso konsequent absichert, erfüllt nicht nur die Anforderungen von DORA. Er gewinnt die operative Souveränität zurück, um in einer hochdynamischen Bedrohungslage jederzeit handlungsfähig zu bleiben. Cyber-Sicherheit wandelt sich damit von einer rein defensiven Notwendigkeit zu einem echten Fundament für die digitale Zukunftsfähigkeit des gesamten Instituts.