DORA-konforme Cloud-Migration: Schritt für Schritt zur Compliance

Die DORA-konforme Cloud-Migration ist der strukturierte Prozess, bei dem Unternehmen ihre IT-Systeme in die Cloud verlagern und gleichzeitig die Anforderungen der Digital Operational Resilience Act (DORA) erfüllen. Dies ist relevant, weil DORA seit Januar 2025 für Finanzunternehmen und deren kritische IT-Dienstleister verbindlich ist und Verstöße zu empfindlichen Strafen führen können.

Was ist DORA und warum betrifft sie Ihre Cloud-Migration?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die die operationelle Resilienz von Finanzunternehmen und ihren kritischen IT-Dienstleistern sicherstellen soll. Die Verordnung gilt seit Januar 2025 und verlangt unter anderem ein umfassendes IKT-Risikomanagement, regelmäßige Tests der digitalen Betriebsfähigkeit sowie die Meldung schwerwiegender IKT-bezogener Vorfälle. Für die Cloud-Migration bedeutet dies: Jeder Schritt – von der Auswahl des Cloud-Anbieters bis zur Datenhaltung – muss DORA-konform dokumentiert und gestaltet sein. Ein Beispiel: Ein Finanzdienstleister, der seine Kernbankenanwendung in die AWS-Cloud migriert, muss vertraglich sicherstellen, dass AWS als kritischer IKT-Dienstleister die DORA-Anforderungen erfüllt und regelmäßige Audits zulässt.

Schritt 1: Bestandsaufnahme und Risikoanalyse vor der Migration

Vor jeder Cloud-Migration steht eine vollständige Inventarisierung aller IKT-Systeme, Datenflüsse und Abhängigkeiten. DORA fordert eine Klassifizierung der Geschäftsfunktionen nach ihrer Kritikalität. Identifizieren Sie, welche Systeme als „kritisch“ oder „wichtig“ eingestuft werden – diese unterliegen strengeren Anforderungen. Führen Sie eine Risikoanalyse durch, die Ausfallrisiken, Datenverlustrisiken und Abhängigkeiten von Drittanbietern bewertet. Beispiel: Ein Zahlungsdienstleister stellt fest, dass sein Transaktionssystem auf einer Legacy-Datenbank läuft, die keine Verschlüsselung im Ruhezustand unterstützt. Dieses Risiko muss vor der Migration adressiert werden, um DORA-konform zu sein.

Schritt 2: Auswahl eines DORA-konformen Cloud-Anbieters

Nicht jeder Cloud-Anbieter erfüllt automatisch die DORA-Anforderungen. Prüfen Sie, ob der Anbieter über relevante Zertifizierungen verfügt (z. B. ISO 27001, SOC 2) und ob er vertraglich zusichert, die DORA-Pflichten für kritische IKT-Dienstleister zu erfüllen. Achten Sie auf Klauseln zu Datenort, Zugriffsrechten und Prüfungsrechten. DORA verlangt, dass Sie als Finanzunternehmen jederzeit die Kontrolle über Ihre Daten behalten und bei Bedarf den Anbieter wechseln können (kein Vendor-Lock-in). Beispiel: Ein Versicherungsunternehmen wählt einen europäischen Cloud-Anbieter wie die Deutsche Telekom Open Telekom Cloud, der Daten in deutschen Rechenzentren speichert und vertraglich DORA-Compliance zusichert.

Schritt 3: Vertragsgestaltung mit dem Cloud-Anbieter (IKT-Dienstleister)

Der Vertrag mit dem Cloud-Anbieter muss explizit die DORA-Anforderungen abdecken. Dazu gehören: vollständige Verzeichnisse aller IKT-Dienstleistungen, Service-Level-Agreements (SLAs) mit konkreten Wiederherstellungszeiten, Kündigungsfristen und Übergabepflichten bei Vertragsende. DORA schreibt vor, dass Sie als Kunde ein Recht auf Prüfung und Audits haben. Beispiel: In Ihrem Vertrag mit Microsoft Azure legen Sie fest, dass Azure bei einem Ausfall des Zahlungsverkehrssystems innerhalb von 2 Stunden die Betriebsfähigkeit wiederherstellen muss und Sie vierteljährlich Prüfberichte erhalten.

Schritt 4: Datenklassifizierung und -verschlüsselung in der Cloud

Klassifizieren Sie alle Daten nach Vertraulichkeit und Kritikalität. DORA verlangt, dass sensible Daten (z. B. Kundendaten, Transaktionsdaten) durchgehend verschlüsselt sind – sowohl während der Übertragung (in transit) als auch im Ruhezustand (at rest). Implementieren Sie eine starke Schlüsselverwaltung, idealerweise mit einem eigenen Hardware Security Module (HSM) oder einem verwalteten Schlüsseldienst. Beispiel: Eine Bank verschlüsselt alle Kreditkartendaten in der Cloud mit AES-256 und speichert die Schlüssel in einem eigenen HSM in Frankfurt, getrennt vom Cloud-Anbieter.

Schritt 5: Implementierung von Resilienz- und Notfallplänen

DORA fordert, dass Sie die digitale Betriebsfähigkeit auch bei schwerwiegenden Störungen aufrechterhalten können. Entwickeln Sie einen Notfallplan, der konkrete Wiederherstellungszeiten (RTO) und Wiederherstellungspunkte (RPO) für jedes kritische System definiert. Testen Sie diese Pläne regelmäßig, z. B. durch Tabletop-Übungen oder automatisierte Failover-Tests. Beispiel: Ein Online-Broker definiert für sein Handelssystem ein RTO von 5 Minuten und ein RPO von 1 Minute. Er testet den Failover auf eine zweite Cloud-Region monatlich und dokumentiert die Ergebnisse für die Aufsicht.

Schritt 6: Kontinuierliches Monitoring und Reporting

Nach der Migration müssen Sie die IKT-Systeme kontinuierlich überwachen, um Vorfälle frühzeitig zu erkennen. DORA verlangt ein Meldewesen für schwerwiegende IKT-bezogene Vorfälle an die zuständige Aufsichtsbehörde (z. B. BaFin). Implementieren Sie ein SIEM-System (Security Information and Event Management), das relevante Ereignisse protokolliert und Alarmierungen auslöst. Beispiel: Ein Fintech-Unternehmen nutzt Splunk, um alle Cloud-API-Zugriffe zu überwachen. Bei ungewöhnlichen Zugriffsmustern wird automatisch ein Incident-Ticket erstellt und bei Bestätigung eines schwerwiegenden Vorfalls innerhalb von 4 Stunden die BaFin informiert.

FAQ

Welche Cloud-Anbieter sind DORA-konform?

DORA selbst zertifiziert keine Cloud-Anbieter. Stattdessen müssen Sie als Finanzunternehmen prüfen, ob der Anbieter die vertraglichen und technischen Anforderungen erfüllt. Anbieter mit ISO 27001, SOC 2 und spezifischen Finanzdienstleistungszertifizierungen (z. B. BSI C5) sind gute Kandidaten. Empfehlenswert sind europäische Anbieter wie die Deutsche Telekom, SAP oder IONOS, die Daten in der EU speichern und DORA-konforme Verträge anbieten.

Was passiert, wenn mein Cloud-Anbieter die DORA-Anforderungen nicht erfüllt?

Wenn Ihr Cloud-Anbieter die vertraglich zugesicherten DORA-Anforderungen nicht erfüllt, haften Sie als Finanzunternehmen für die Nichteinhaltung. DORA sieht Bußgelder von bis zu 2 % des jährlichen Nettoumsatzes vor. Sie müssen dann entweder den Anbieter wechseln oder nachweisen, dass Sie durch zusätzliche Maßnahmen (z. B. eigene Verschlüsselung, redundante Systeme) die Compliance sicherstellen.

Wie oft muss ich die Resilienz meiner Cloud-Systeme testen?

DORA schreibt regelmäßige Tests der digitalen Betriebsfähigkeit vor. Für kritische Systeme sind mindestens jährliche umfassende Tests (z. B. Penetrationstests, Stresstests) erforderlich. Zusätzlich sollten Sie monatliche automatisierte Failover-Tests durchführen. Die Ergebnisse müssen dokumentiert und der Aufsicht auf Anfrage vorgelegt werden.

Kann ich meine Legacy-Systeme in die Cloud migrieren, ohne sie zu modernisieren?

Technisch ja, aber DORA-konform ist das nur bedingt. Legacy-Systeme erfüllen oft nicht die Sicherheits- und Resilienzanforderungen (z. B. fehlende Verschlüsselung, keine automatischen Failover). Sie müssen entweder die Legacy-Systeme anpassen (z. B. durch eine Wrapper-Schicht) oder sie durch moderne, cloud-native Anwendungen ersetzen. dataso empfiehlt eine schrittweise Modernisierung im Rahmen der Migration, um Compliance-Risiken zu minimieren.

Fazit

Eine DORA-konforme Cloud-Migration erfordert eine sorgfältige Planung, die mit einer Bestandsaufnahme beginnt und mit kontinuierlichem Monitoring endet. Unternehmen in der Rhein-Main-Region, insbesondere in Frankfurt und Darmstadt, sollten jetzt handeln, um die Fristen einzuhalten. dataso unterstützt Sie mit maßgeschneiderten Architekturen, die sowohl DORA-Compliance als auch digitale Souveränität gewährleisten. Vereinbaren Sie ein kostenloses Erstgespräch, um Ihre Cloud-Migration DORA-konform zu gestalten.