Ein Jahr DORA: „Jeder 10. Vorfall ist ein erfolgreicher Angriff“
16. April 2026
Janina Schuh von der Bafin zieht ein erstes Resümee zum DORA-Meldewesen: Lesen Sie im Interview, welche IKT-Vorfälle Finanzunternehmen am häufigsten melden, wie das Cyberlagebild in Deutschland aktuell aussieht und welche Tücken noch zu überwinden sind.
Bilanz nach einem Jahr DORA-Meldewesen: Frau Schuh, welche Arten von IKT-Vorfällen werden am häufigsten gemeldet und wo liegt ihre Ursache? Gab es „Aha-Effekte“ bei der Auswertung?
Wir haben bereits eine ganze Bandbreite an IKT-Vorfällen gesehen. Am häufigsten handelt es sich bei den gemeldeten Vorfällen um Betriebsvorfälle wie beispielsweise Systemstörungen durch das Einspielen von fehlerhaften Patches. Allerdings ist etwa jeder 10. Vorfall auf einen erfolgreichen Angriff zurückzuführen. Das mag wenig erscheinen, jedoch haben diese Vorfälle unter Umständen eine hohe Tragweite. Die uns gemeldeten Angriffe werden oft spät entdeckt und verursachen potenziell große Schäden.
Auffällig ist zudem, dass sich die Hälfte aller Vorfälle nicht bei dem meldenden Unternehmen selbst, sondern bei einem Dritten ereignet. Das zeigt, wie wichtig es für Finanzunternehmen ist, ihre Drittparteienrisiken angemessen zu managen. Dazu gehören, unter anderem, eine generelle Bestandsaufnahme der Drittparteien, eine Einschätzung ihrer Kritikalität sowie die korrekte Vertragsgestaltung.
Welche Auswirkungen hat es, wenn eine DORA-Meldung bei der Bafin eingeht?
Die Bafin sichtet alle eingehenden DORA-Meldungen, überprüft die Datenqualität und beurteilt den Schweregrad des Vorfalls. Bei potenziell kritischen Vorfällen nehmen wir Kontakt zu dem Unternehmen auf und klären die Details sowie die Auswirkungen des Vorfalls ab. Anfangs mussten wir aufgrund der Datenqualität eine Vielzahl von Unternehmen anschreiben. Mittlerweile haben wir weniger Rückfragen, die dann eher inhaltlicher Natur sind.
Durch die Meldungen bekommen wir einen guten Überblick und können schnell erkennen, ob Vorfälle mehrere Finanzunternehmen betreffen oder sogar das Potential für größere, möglicherweise auch internationale Auswirkungen auf den Finanzsektor haben. Wir sind als Bafin in Europa sowie darüber hinaus gut vernetzt und können bei kritischen Vorfällen so auch auf internationaler Ebene agieren. Für den Ernstfall haben wir Notfallpläne entwickelt, mit denen wir einer Cyberkrise effektiv begegnen können. Wir verproben diese Notfallpläne regelmäßig innerhalb der Bafin sowie auf europäischer Ebene, um vorbereitet zu sein. Darüber hinaus wollen wir aus den Daten neue Erkenntnisse gewinnen und erstellen daher regelmäßig Auswertungen und Analysen, wie das Cyberlagebild.
Wie sieht die Cyberlage in Deutschland aktuell aus?
Das Cyberlagebild erstellen wir bisher nur intern – eine Veröffentlichung erfolgt aktuell noch nicht. Wir schätzen die Bedrohungslage für den Finanzsektor konstant als erhöht ein. Durch die DORA-Meldungen sehen wir, dass erfolgreiche Angriffe regelmäßig stattfinden. Es ist daher für jedes Finanzunternehmen nur eine Frage der Zeit, wann es selbst angegriffen wird. Wir beobachten die meisten erfolgreichen Angriffe im Bereich Phishing und Malware / Hacking, sodass wir hier die größten Gefahren für Finanzunternehmen sehen.
Wir gehen auch davon aus, dass neue KI-Anwendungen künftig nicht nur die Institute bei ihrer Cyberabwehr unterstützen können, sondern leider auch im größeren Ausmaß für potenzielle Angreifer:innen ein willkommenes Werkzeug darstellen. Die Bafin beschäftigt sich intensiv mit den Risiken und den Chancen, die sich aus den Entwicklungen im Bereich KI für die Cybersicherheit der Unternehmen ergeben.
Das Ausfüllen des DORA-Meldeformulars hat für viele Institute noch Tücken: Welche Tipps geben Sie?
Ich empfehle, sich frühzeitig mit dem Meldeformular und den Meldewegen vertraut zu machen. Unternehmen sollten in jedem Fall rechtzeitig dafür sorgen, dass ausreichend Mitarbeitende bei der Bafin als Melder:in registriert sind. Die DORA-Melder:innen können auf unserer Plattform MVP die Erstellung von Vorfallsmeldungen verproben. Zusätzlich stellen wir auf der Bafin-Website umfassende Ausfüllhinweise zu den einzelnen Formularfeldern zur Verfügung.
Was sind Ihre Erwartungen für das nächste Jahr DORA? Wie wird sich das Meldeverfahren weiterentwickeln?
Ich gehe davon aus, dass Finanzunternehmen sich mittlerweile vollständig auf das DORA-Meldewesen eingestellt haben und die Datenqualität der Meldungen daher deutlich zunehmen wird. Das hilft uns auch bei einer gewinnbringenden Auswertung.
Auf der anderen Seite sieht DORA einen Überprüfungsprozess vor, dessen Ergebnis bis Januar 2028 in einem Bericht der Europäischen Kommission zusammengefasst wird. In diesem Zuge werden wir als Bafin die Regelungen zum Meldewesen untersuchen und Vorschläge zur Weiterentwicklung in den kommenden europäischen Prozess einbringen.
Bilanz nach einem Jahr DORA-Meldewesen: Frau Schuh, welche Arten von IKT-Vorfällen werden am häufigsten gemeldet und wo liegt ihre Ursache? Gab es „Aha-Effekte“ bei der Auswertung?
Wir haben bereits eine ganze Bandbreite an IKT-Vorfällen gesehen. Am häufigsten handelt es sich bei den gemeldeten Vorfällen um Betriebsvorfälle wie beispielsweise Systemstörungen durch das Einspielen von fehlerhaften Patches. Allerdings ist etwa jeder 10. Vorfall auf einen erfolgreichen Angriff zurückzuführen. Das mag wenig erscheinen, jedoch haben diese Vorfälle unter Umständen eine hohe Tragweite. Die uns gemeldeten Angriffe werden oft spät entdeckt und verursachen potenziell große Schäden.
Auffällig ist zudem, dass sich die Hälfte aller Vorfälle nicht bei dem meldenden Unternehmen selbst, sondern bei einem Dritten ereignet. Das zeigt, wie wichtig es für Finanzunternehmen ist, ihre Drittparteienrisiken angemessen zu managen. Dazu gehören, unter anderem, eine generelle Bestandsaufnahme der Drittparteien, eine Einschätzung ihrer Kritikalität sowie die korrekte Vertragsgestaltung.
Welche Auswirkungen hat es, wenn eine DORA-Meldung bei der Bafin eingeht?
Die Bafin sichtet alle eingehenden DORA-Meldungen, überprüft die Datenqualität und beurteilt den Schweregrad des Vorfalls. Bei potenziell kritischen Vorfällen nehmen wir Kontakt zu dem Unternehmen auf und klären die Details sowie die Auswirkungen des Vorfalls ab. Anfangs mussten wir aufgrund der Datenqualität eine Vielzahl von Unternehmen anschreiben. Mittlerweile haben wir weniger Rückfragen, die dann eher inhaltlicher Natur sind.
Durch die Meldungen bekommen wir einen guten Überblick und können schnell erkennen, ob Vorfälle mehrere Finanzunternehmen betreffen oder sogar das Potential für größere, möglicherweise auch internationale Auswirkungen auf den Finanzsektor haben. Wir sind als Bafin in Europa sowie darüber hinaus gut vernetzt und können bei kritischen Vorfällen so auch auf internationaler Ebene agieren. Für den Ernstfall haben wir Notfallpläne entwickelt, mit denen wir einer Cyberkrise effektiv begegnen können. Wir verproben diese Notfallpläne regelmäßig innerhalb der Bafin sowie auf europäischer Ebene, um vorbereitet zu sein. Darüber hinaus wollen wir aus den Daten neue Erkenntnisse gewinnen und erstellen daher regelmäßig Auswertungen und Analysen, wie das Cyberlagebild.
Wie sieht die Cyberlage in Deutschland aktuell aus?
Das Cyberlagebild erstellen wir bisher nur intern – eine Veröffentlichung erfolgt aktuell noch nicht. Wir schätzen die Bedrohungslage für den Finanzsektor konstant als erhöht ein. Durch die DORA-Meldungen sehen wir, dass erfolgreiche Angriffe regelmäßig stattfinden. Es ist daher für jedes Finanzunternehmen nur eine Frage der Zeit, wann es selbst angegriffen wird. Wir beobachten die meisten erfolgreichen Angriffe im Bereich Phishing und Malware / Hacking, sodass wir hier die größten Gefahren für Finanzunternehmen sehen.
Wir gehen auch davon aus, dass neue KI-Anwendungen künftig nicht nur die Institute bei ihrer Cyberabwehr unterstützen können, sondern leider auch im größeren Ausmaß für potenzielle Angreifer:innen ein willkommenes Werkzeug darstellen. Die Bafin beschäftigt sich intensiv mit den Risiken und den Chancen, die sich aus den Entwicklungen im Bereich KI für die Cybersicherheit der Unternehmen ergeben.
Das Ausfüllen des DORA-Meldeformulars hat für viele Institute noch Tücken: Welche Tipps geben Sie?
Ich empfehle, sich frühzeitig mit dem Meldeformular und den Meldewegen vertraut zu machen. Unternehmen sollten in jedem Fall rechtzeitig dafür sorgen, dass ausreichend Mitarbeitende bei der Bafin als Melder:in registriert sind. Die DORA-Melder:innen können auf unserer Plattform MVP die Erstellung von Vorfallsmeldungen verproben. Zusätzlich stellen wir auf der Bafin-Website umfassende Ausfüllhinweise zu den einzelnen Formularfeldern zur Verfügung.
Was sind Ihre Erwartungen für das nächste Jahr DORA? Wie wird sich das Meldeverfahren weiterentwickeln?
Ich gehe davon aus, dass Finanzunternehmen sich mittlerweile vollständig auf das DORA-Meldewesen eingestellt haben und die Datenqualität der Meldungen daher deutlich zunehmen wird. Das hilft uns auch bei einer gewinnbringenden Auswertung.
Auf der anderen Seite sieht DORA einen Überprüfungsprozess vor, dessen Ergebnis bis Januar 2028 in einem Bericht der Europäischen Kommission zusammengefasst wird. In diesem Zuge werden wir als Bafin die Regelungen zum Meldewesen untersuchen und Vorschläge zur Weiterentwicklung in den kommenden europäischen Prozess einbringen.
Zur Person
Janina Schuh
Referentin in der IT-Aufsicht der Bafin
beschäftigt sich insbesondere mit dem Vorfallsmeldewesen unter DORA. Ein Schwerpunkt ihrer Arbeit liegt in der Überwachung und Analyse von Cybervorfällen, der Erstellung eines Cyberlagebildes und der Entwicklung von Krisenplänen. Hierbei vertritt sie die deutsche Aufsicht in europäischen und internationalen Arbeitsgruppen. Zuvor sammelte Frau Schuh praktische Erfahrung im Produktmanagement der DekaBank sowie bei der INTER Versicherungsgruppe, wo sie sich mit dem Anforderungsmanagement und der Konzeption von IT-Lösungen beschäftigte.
Das könnte Sie auch interessieren
Fachtagung: CyberSecurity:Summit
Mit dem „CyberSecurity:Summit” startet 2026 ein neues Kapitel für unsere etablierte Fachtagungsreihe. Expert:innen aus dem Finanzsektor verschaffen Ihnen einen Überblick über aktuelle Herausforderungen und Lösungsansätze in der Cyber Security.
Podcast: Testen digitaler operationaler Resilienz
Testen digitaler operationaler Resilienz unter DORA: Welche grundlegenden Tests dazugehören und wann man sie auslagern sollte, darüber sprechen wir mit Alexandros Manakos, Cyber Security-Experte und Geschäftsführer von Apollon Security.
Magazin: DOR-Testprogramm
DORA legt den Fokus auf Cybersicherheit im Finanzsektor. Wie testen Sie, ob Ihr Unternehmen resilient gegenüber Angriffen ist? Alexandros Manakos, Cyber Security-Experte, erklärt, welche Resilienz-Tests gemäß DORA erforderlich sind und welche ausgelagert werden können.
Mehr erfahren
Entdecken Sie weitere Facetten des Bank-Verlags
Unser Magazin & Newsletter BV connect
Sie wollen erfahren, was gerade in der Finanzbranche diskutiert wird? In unserem Magazin finden Sie Hintergründe, Interviews, Podcasts und aktuelle Fachveranstaltungen.
Unser Podcast: BV durch die bank
Der Podcast zur Digitalisierung der Finanzbranche. Wir gehen hinter die Buzzwords und bitten Experten zum Gespräch. Entdecken Sie unsere Podcastfolgen.
Akademie
Die aktuellen Herausforderungen der Finanzbranche sind spannend und chancenreich. Erhalten Sie wertvolle Wissens-Upgrades und inspirierende Angebote, die Sie professionell weiterbringen.