Der Digital Operational Resilience Act (DORA) verlangt von Banken, Versicherungen und Finanzdienstleistern einen ganzheitlichen Ansatz für die operative Resilienz, nämlich von der Risikoanalyse bis zum Incident Response. Ich begleite Sie bei der technischen Umsetzung, von der DORA-Readiness-Bewertung bis zur Implementierung resilienter Architekturen für geschäftskritische Systeme.
Der Digital Operational Resilience Act (DORA) - Verordnung (EU) 2022/2554 - ist die erste umfassende EU-Regulierung, die den digitalen operationellen Widerstand von Finanzunternehmen regelt. Sie gilt direkt in allen Mitgliedstaaten und betrifft Banken, Versicherungen, Wertpapierfirmen, Kryptowertstoff-Dienstleister und zahlreiche weitere Finanzakteure.
DORA geht weit über klassische IT-Sicherheitsanforderungen hinaus. Der Fokus liegt auf der operativen Resilienz - der Fähigkeit, IT-bedingte Störungen zu verhindern, zu erkennen, darauf zu reagieren und sich davon zu erholen. Compliance allein reicht nicht mehr aus; nachweisbare Resilienz im Ernstfall ist das neue Standard.
Seit dem 17. Januar 2025 gilt DORA vollständig. Die BAFin und die EZB überwachen die Einhaltung - und Sanktionen bei Verstößen können erheblich sein.
Umfassendes Framework für den Umgang mit ICT-Risiken - von der Identifizierung über die Bewertung bis zur Behandlung. Inklusive Penetration Testing und Threat-Ledger-Pentesting.
Klassifizierung und meldepflichtige Reporting von ICT-bezogenen Sicherheitsvorfällen an die zuständige Behörde (BAFin) nach einheitlichen Kriterien und Zeitrahmen.
Regelmäßige Tests der operativen Resilienz - einschließlich grundlegenden Penetrationstests, TLPT (Threat-Led Penetration Testing) und scenario-basierter Resilienztests.
Transparente Registrierung aller ICT-Drittanbieterverträge, Risikobewertungen, Exit-Strategien und Aufhebung kritischer Abhängigkeiten von Cloud-Anbietern.
Freiwillige Vereinbarung von Informationsaustauschmechanismen zwischen Finanzunternehmen zur Verbesserung der gemeinsamen Cybersicherheitslage.
Von der strategischen Bewertung über die technische Architektur bis zum operativen Incident Response - ich decke die gesamte Bandbreite der DORA-Umsetzung ab.
Systematische Bestandsaufnahme und Lückenanalyse Ihrer technischen DORA-Reife. Von der strukturellen Soll-Ist-Analyse bis zum konkreten Maßnahmenplan zur Schließung regulatorischer Gaps.
Architektur und Implementierung resilienter Infrastrukturen. Von Multi-Region-Strategien über Backup-Orchestrierung bis hin zu automatisierten Failover-Szenarien.
Professionelles technisches Incident Response Management nach DORA-Vorgaben. Von der Entwicklung technischer Runbooks über die Forensik-Datenaufbereitung bis zur architektonischen Härtung.
Nachweisbare DORA- und Resilienz-Erfahrung in den sensibelsten Branchen.
Senior DevSecOps Architect
06/2023 - Heute
Durchführung von Soll-Ist-Analysen zur DORA-Reife mit lückenloser Dokumentation und Nachweisführung. Vorbereitung zur Identifikation von Compliance-Lücken im Rahmen ICT Risikomanagement. Erstellung der Grundlage in Form einer GAP-Analyse zur Ableitung von Maßnahmeplänen und weiterer Priorisierung.
Nachhaltige Steigerung der Resilienz durch die Konzeption und Implementierung der Backup- und Disaster-Recovery-Prozesse, um Single Points of Failure (SPOF) der Code-Plattform gezielt auszuschließen und eine verlässliche Wiederherstellung zu garantieren.
Orchestrierung von Sofortmaßnahmen bei Sicherheitsvorfällen, Implementierung von Artifact-Repository-Blacklists zur Unterbindung kompromittierter Pakete, Jenkins CI/CD mit automatisierten Quality Gates für DORA-konforme Software-Lieferketten und Migration auf Splunk Observability Cloud zur Reduzierung der MTTD.
Database Security Expert
01/2026 - 04/2026
Konzeption und Erstellung eines detaillierten Blueprints für automatisierte Cassandra-Backups (via Medusa) als präzise Implementierungsgrundlage für das DevOps-Team. Sicherstellung der Datenverfügbarkeit und Wiederherstellbarkeit unter strengsten Versicherungsregulierungen. Erstellung eines Monitoring-Konzepts sowohl für Cassandra als auch für die Backup- und Restore-Prozesse. Erstellung revisionssicherer Dokumentation.
Umfassender Security-Review von Cassandra-Konfigurationen, IAM-Rollen und Secrets-Management in EKS. Identifikation von Schwachstellen und Ableitung konkreter Maßnahmen zur Verbesserung der DORA-Reife. Reporting an das Management mit Handlungsempfehlungen und Risikobewertung. Koordination des DevOps-Teams bei der technischen Implementierung.
DevSecOps Engineer & Cloud Security Architect
09/2020 - 05/2023
Sicherstellung des hochverfügbaren 24/7-Betriebs einer geschäftskritischen Kafka-Streaming-Plattform mit über 200 angebundenen Microservices. Konzeption und Implementierung eines Patch-Managements für Kubernetes-Cluster für alle Umgebungen, was essenziell für die Resilienz kritischer Infrastruktur ist.
Zentrale Rolle als AWS Security Admin mit strategischem AWS-Account-Aufbau und IAM-Konzepten für mandantenfähige Cloud-Strukturen. Enforcement von Konzernrichtlinien (KoRil) und Aufbau einer sicheren Multi-Account-Architektur mit zentralisierter Security-Observability.
Für Finanzunternehmen, die gleichzeitig als Betreiber kritischer Infrastrukturen (KRITIS) agieren, überlappen sich DORA und das IT-Sicherheitsgesetz 2.0 (bzw. NIS-2). Diese Kombination aus doppelten regulatorischen Vorgaben stellt massive Anforderungen an Architektur und Organisation.
Ich bringe die Erfahrung aus hochkritischen KRITIS-Umgebungen (Verkehrssektor, Deutsche Bahn) ein. Ich übertrage die dortige "Zero-Downtime"-Mentalität passgenau, um DORA-Anforderungen in komplexen IT-Systemen praxistauglich und resilient umzusetzen.
Volle regulatorische Durchsetzung und Prüfpraxis für alle betroffenen Finanzunternehmen in der EU.
Jährliche Penetrationstests (TLPT für D-OTPs halbjährlich)
Meldepflichtige ICT-Incidents innerhalb von 24 Stunden an BAFin/EZB
Kontinuierliche Überwachung, Risikobewertung und Aktualisierung aller IKT-Drittanbieterverträge.
DORA ist kein isoliertes Compliance-Thema. Die technische Umsetzung ist untrennbar mit DevSecOps-Praktiken und Cloud-Security-Architektur verbunden.
DORA verlangt nachweisbare Sicherheit in der Software-Lieferkette. Shift-Left-Security, Quality Gates und automatisiertes Vulnerability Scanning in CI/CD-Pipelines schaffen die technische Grundlage für DORA-Compliance.
Incident Detection und Reporting nach DORA erfordern durchgängige Observability. Splunk, SIEM-Integration und automatisierte Alerting-Pipelines bilden das technische Fundament für DORA-konformes Incident Management.
Multi-Region-Architekturen, automatisierte Failover und Disaster Recovery auf Cloud-Ebene sind die technische Umsetzung von DORA-Anforderungen an die operative Resilienz.
Least-Privilege-Zugriff, HashiCorp Vault für Secrets-Management und durchgängige IAM-Konzepte sind essenziell für DORA-konforme ICT-Sicherheitsarchitekturen.
Automatisierte Backup-Strategien, reversible Datenbank-Operationen und dokumentierte Recovery-Prozeduren bilden das technische Fundament für DORA-konforme Disaster Recovery.
Automatisierte Compliance-Reporting-Pipelines, lückenlose Audit-Trails und dokumentierte Nachweise für BAFin und EZB als integraler Bestandteil der DORA-Strategie.
DORA ist kein reines Dokumentationsprojekt. Es erfordert tiefes technisches Verständnis für Cloud-Architekturen, CI/CD-Pipelines, Container-Security und Incident Response sowie die Kombination mit regulatorischem Know-how. Genau das wollen BAFin und EZB tatsächlich sehen und bewerten.
Als CISSP und Architekt mit praktischer Erfahrung in Versicherungs- und KRITIS-Umgebungen schließe ich die Lücke zwischen Compliance-Anforderung und technischer Implementierung. Ich übersetze regulatorische Vorgaben in konkrete technische Maßnahmen und implementiere sie hands-on.
Mein Ansatz: Keine theoretischen DORA-Workshops, sondern messbare Fortschritte in der DORA-Reife durch konkrete technische Implementierungen: von der Gap-Analyse bis zum Compliance-Nachweis.
Technische Umsetzung der Maßnahmen, nicht nur Beratung auf Papier
Praktische DORA-Erfahrung in Versicherung und KRITIS - bei SIGNAL IDUNA, DEVK und DB
Risikobewertung und -priorisierung aus der Perspektive des ISC² CISSP
Von der Gap-Analyse über technische Implementierung bis zum Compliance-Nachweis
Lassen Sie uns Ihre DORA-Reife bewerten und einen konkreten Maßnahmenplan entwickeln. Von der ersten Gap-Analyse bis zum nachweisbaren Compliance-Nachweis.