Stabile Geschäftsprozesse beginnen mit IT-Sicherheit. Wie ein Zitat aus dem Lehrbuch, ist aber gelebte Realität bei der Sparkasse Krefeld. Wer wissen möchte, wie ein Finanzinstitut den Digital Operational Resilience Act (DORA) nicht nur umsetzt, sondern in wirksame Sicherheitsstrukturen überführt, sollte sich die Geschichte genauer anschauen.

Denn hier wurde DORA nicht als lästige Regulierung verstanden, sondern als Chance. Als Anlass, IT-Governance neu zu denken. Als Hebel, um Security vom Technikthema zum strategischen Managementthema zu machen.

IT-Sicherheit, sichtbar gemacht

Marcus Schmidt, Leiter IT-Governance, und Jan-Philipp Küsters, Cyber Security Analyst, haben gemeinsam mit ihrem Team DORA nicht einfach „erfüllt“. Sie haben intern Strukturen aufgebaut, neue Rollen geschaffen, bestehende Prozesse geschärft und vor allem: Transparenz geschaffen.

Dazu gehören:

Regelmäßige Berichte an den Vorstand
Klare KPIs, etwa zur Standardsoftware-Nutzung und Awareness
Ein durchgängiges Rollenmodell nach dem „Three Lines of Defense“-Ansatz
Ein schlüssiges Risikomanagement, das technische, organisatorische und menschliche Aspekte verbindet

Klingt solide? Ist es auch. Vor allem, weil es nicht auf dem Papier stehen bleibt, sondern aktiv gelebt wird.

Von der Verordnung zur Wirkung

DORA mag als Regulierung starten - entscheidend ist, wo sie endet: im Alltag. In Planspielen, Meldeketten, Tabletop-Übungen, in der Bewertung kritischer Prozesse und in Testplänen.

Und genau hier trennt sich Pflichterfüllung von tatsächlicher Wirkung. Die Sparkasse Krefeld hat früh erkannt: Business Resilience entsteht nicht durch Einzelmaßnahmen, sondern durch ein gemeinsames Verständnis davon, was Sicherheit wirklich bedeutet.

Dazu gehört auch, dass man Dienstleister kritisch prüft, Kommunikation offen gestaltet und sich intern wie extern vernetzt. Denn Cyberresilienz ist kein Ein-Mann-Thema, sondern ein Mannschaftssport.

Was andere Institute aus dem Krefelder Modell lernen können

Auch wenn jede Organisation ihre eigenen Strukturen und Voraussetzungen mitbringt - einige Prinzipien lassen sich übertragen:

Rollen und Zuständigkeiten früh klären. Wer Verantwortung trägt, muss auch entscheiden und vor allem kommunizieren können.
Berichtswesen ernst nehmen. Sichtbarkeit schafft Wirksamkeit und Vertrauen auf allen Ebenen.
Regulatorik nicht isoliert betrachten. DORA ist keine Checkliste, sondern ein Rahmen, der strategisch gefüllt werden will.

Dass das funktioniert, zeigt die Sparkasse Krefeld, nicht nur als Umsetzungsbeispiel, sondern als Impulsgeber für einen professionellen, praxisnahen Umgang mit IT-Sicherheit.

Übrigens: Was heute im Finanzsektor gefordert ist, könnte bald in weiteren Branchen zum STANDARD werden. Mit NIS2, dem Lieferkettensorgfaltspflichtengesetz oder sektorspezifischen Sicherheitsvorgaben rückt das Thema Resilienz auch anderswo ganz oben auf die Agenda.

Und wie macht man das alles greifbar?

Indem man spricht. In der neuen Folge von Cybersecurity Basement spricht unser Host Michael Döhmen mit Jan und Marcus über die Praxis: Was hat funktioniert? Was war herausfordernd? Und was können andere Finanzinstitute daraus lernen?

Jetzt reinhören:

Wie DORA bei der Sparkasse Krefeld zur Resilienz beiträgt