Schutzbedarfsfeststellung neu gedacht – was Finanzdienstleister jetzt wirklich beachten müssen

Die Schutzbedarfsfeststellung gehört seit Jahren zum Fundament von Informationssicherheit und Business Continuity. Trotzdem wird sie in vielen Häusern immer noch wie eine Pflichtübung behandelt: Excel öffnen, Dimensionen abhaken, Dokumentation ablegen – und das Thema gilt als erledigt.

Das klingt pragmatisch, ist aber riskant. Denn eine oberflächliche Schutzbedarfsfeststellung führt in der Praxis oft zu falschen Prioritäten: Ressourcen fließen in den Schutz von Informationen, die kaum geschäftskritisch sind, während existenzielle Risiken übersehen werden.

Informationssicherheit gab es schon immer – DORA ändert den Rahmen

Die Methodik ist nicht neu. ISO 27001, ISO 22301, MaRisk oder BSI-Standards haben seit Jahren gefordert, dass Unternehmen ihre Schutzbedarfe und Risiken systematisch erfassen.

Mit DORA hat sich jedoch die Ausgangslage geändert:

• Die Anforderungen sind erstmals EU-weit harmonisiert.

• Die Aufsicht prüft konsequent und erwartet belastbare Nachweise.

• Es gibt weniger Interpretationsspielraum für oberflächliche Umsetzungen.

DORA ist damit nicht die Erfindung der Informationssicherheit, sondern ihr Verbindlichmacher. Für Finanzdienstleister bedeutet das: „Best Practice“ ist jetzt aufsichtsrechtliche Pflicht.

Typische Fehlannahmen in der Praxis

1. Vertraulichkeit ist immer am wichtigstenViele Institute stufen interne Reports reflexartig hoch ein. Dabei wäre ein Verlust meist wenig kritisch. Die Folge: Überzogene Maßnahmen, die Zeit und Budget binden.

2. Integrität und Authentizität sind NebenthemenEin manipulierter Zahlungsauftrag oder ein verfälschter Handelsdatensatz kann direkte finanzielle Verluste und regulatorische Konsequenzen haben – das wird oft unterschätzt.

3. IT-Systeme im Fokus, Prozesse im SchattenSchutzbedarfsfeststellungen beschränken sich häufig auf Systeme oder Anwendungen. Doch entscheidend ist: Welche Prozesse sichern Umsatz, Compliance und Reputation?

   
   

Was Finanzdienstleister jetzt tun sollten

Eine zeitgemäße Schutzbedarfsfeststellung sollte drei Ebenen verbinden:

1. ProzessorientierungKernprozesse identifizieren, deren Ausfall unmittelbare Folgen hätte – z. B. Zahlungsverkehr, Wertpapierabwicklung, regulatorisches Reporting.

2. Regulatorik berücksichtigenDORA als verbindlicher Rechtsrahmen. ISO-Standards als methodische Hilfen. Wichtig: Ergebnisse so dokumentieren, dass sie prüfungsfest sind.

3. Fachbereiche einbindenNur die Fachseite kann realistisch einschätzen, welche Schäden bei Ausfällen entstehen: von aufsichtsrechtlichen Sanktionen bis zum Vertrauensverlust bei Kunden.

   
   

Praxisnahe Vorgehensweise

• Schritt 1: Prozesslandkarte erstellen – Transparenz über kritische Geschäftsabläufe schaffen.

• Schritt 2: Szenarien durchspielen – Was passiert, wenn Prozess X 24 Stunden, eine Woche oder länger ausfällt?

• Schritt 3: Schutzbedarfe bestimmen – Nicht nur Vertraulichkeit, Integrität, Verfügbarkeit, sondern auch Reputation, Marktreaktion und Kundenvertrauen einbeziehen.

• Schritt 4: Ergebnisse validieren – Abgleich mit Vorfällen, Audits und Krisenübungen.

  
  

Unser Ansatz bei BIRENTI FINANCE COMPLIANCE

Wir unterstützen Finanzdienstleister dabei, ihre Schutzbedarfsfeststellung so aufzustellen, dass sie regulatorisch belastbar ist und gleichzeitig echte Steuerungswirkung entfaltet:

• Prozessorientierte Bewertung statt isolierter IT-Sicht

• Einheitliche Methodik, die DORA-Prüfungen standhält

• Erweiterung der Dimensionen um Reputations- und Marktfolgen

• Dokumentation, die nicht nur den Prüfer überzeugt, sondern dem Unternehmen selbst Klarheit gibt

Fazit

Die Schutzbedarfsfeststellung ist kein neues Thema. Aber sie wird zu oft als lästige Formalie behandelt. Mit DORA ist klar: Oberflächlichkeit reicht nicht mehr.

Wer sie ernst nimmt, schafft Transparenz, setzt Prioritäten richtig und erhöht die Resilienz des gesamten Unternehmens. Wer sie als Formularübung abtut, riskiert, im Ernstfall die falschen Dinge geschützt zu haben – und unvorbereitet dazustehen.