Während die Sicherheitsindustrie Breaches nach Tagen oder Wochen misst, zeigen aktuelle Daten ein düsteres Bild: Der durchschnittliche Dwell Time – die Zeitspanne, die Angreifer unbemerkt im Netzwerk verweilen – liegt bei 186 Tagen, bevor eine Kompromittierung überhaupt erkannt wird. Weitere 55 Tage vergehen, bis das Leck eingedämmt ist. In dieser Zeit bewegen sich Cyberkriminelle unter dem Deckmantel eines legitimierten Benutzers durch die Systeme, eskalieren Privilegien und kartografieren kritische Infrastrukturen. Für die meisten Finanzinstitute ist das die unbequeme Wahrheit: Wenn ein Angreifer mit echtem Benutzernamen und Passwort eindringt, stoppt ihn zunächst nichts.
DORAs Artikel 9 adressiert genau diese Sicherheitslücke – und macht sie zur legalen Anforderung. Die Verordnung fordert zwei konkrete Maßnahmen: Erstens müssen Finanzinstitute Richtlinien implementieren, die den physischen und logischen Zugriff auf Informationen auf das notwendige Minimum beschränken (Least-Privilege-Prinzip). Zweitens müssen starke Authentifizierungsmechanismen auf Basis relevanter Standards wie FIDO2/WebAuthn eingeführt werden, kombiniert mit dem Schutz kryptographischer Schlüssel.
Die Kritikalität dieser Anforderung wird durch Zahlen unterstrichen: Gestohlene Anmeldedaten sind der größte Einfallsvektor für Datenbranches – 22 Prozent aller Verstöße beginnen damit. Im Finanzsektor kostet ein solcher Vorfall durchschnittlich 5,56 Millionen Euro. Die Cyberkriminalität ist dabei vollständig industrialisiert: Initial Access Broker verkaufen bereits erprobte Netzwerkzugriffe für etwa 2.700 Euro, darunter 71 Prozent mit privilegierten Credentials – Plug-and-Play-Zugriffe ohne technisches Know-how.
Infostealer-Malware wie Lumma, RisePro oder StealC automatisiert Passwort-Diebstähle im großen Maßstab. IBM X-Force verzeichnete 2024 einen Anstieg der Phishing-basierten Verbreitung um 84 Prozent – Tendenz steigend. Dies ist kein abstrakte Bedrohung. Der Bruch der französischen Zentralbank zeigt die praktischen Konsequenzen: Mit einem einzigen gestohlenen Passwort eines Angestellten gelangten Cyberkriminelle an Daten von 1,2 Millionen Bankkonten – Namen, IBANs, Steuernummern. Das System wurde offline genommen, die Operationen des Registers unterbrochen.
Unter DORA hätte dieses Vorkommnis bei einem deutschen Finanzinstitut Meldepflichten ausgelöst: Erste Benachrichtigung innerhalb von 4 Stunden, mittelfristige Berichte nach 72 Stunden, abschließender Bericht nach einem Monat.
Für deutsche Banken und Versicherer geht die Anforderung darüber hinaus: Artikel 9 bindet auch externe IT-Dienstleister ein. Der Santander-Breach von 2024 illustriert das Risiko – Angreifer exploitierten Credentials, die aus Snowflake-Mitarbeitern gestohlen wurden. Keine dieser kompromittierten Accounts verfügte über MFA. Das Ergebnis: Zugriff auf Kundendaten eines der größten europäischen Finanzinstitute, ohne dass ein einziger Code-Exploit notwendig war.
Unter DORA ist das nicht mehr das Problem des Dienstleisters allein – es ist die regulatorische Haftung des Finanzinstituts.
Was ist zu tun? Phishing-resistente MFA muss Priorität eins sein – Hardware-Sicherheitsschlüssel, Passkeys oder Plattform-Authentifizierer, nicht SMS oder TOTP. Least-Privilege-Access durch Just-in-Time-Provisioning eliminiert stehende Privilegien. Alle Anmeldedaten – Service-Accounts, API-Keys, administrative Credentials – müssen in verschlüsselten, zugriffsgesteuerten Tresoren lagern. Kontinuierliches Monitoring reduziert die durchschnittliche Dwell Time.
DORAs Kern ist nicht nur technisch, sondern auch dokumentarisch. Institutionen müssen nachweisen können, dass ihre Kontrollen existieren und funktionieren. Audit-Logs müssen auf Abruf exportierbar sein. Die Abwesenheit von Dokumentation ist selbst ein regulatorischer Befund.