Seit mehr als einem Jahr findet der Digital Operational Resilience Act – oder kurz DORA – Anwendung. Die Verordnung legt besonderen Wert auf operative Resilienz und das Risikomanagement von Drittanbietern, also auch Cloud-Dienstleister. Für Banken, Versicherer, Investmentfirmen und andere Finanzakteure stellt sich damit eine unbequeme Frage: Bin ich überhaupt compliant?
Vorschriften, bei denen das Risikomanagement von Drittanbietern und die operative Widerstandsfähigkeit im Mittelpunkt stehen, könnten für viele IT-Verantwortliche schnell zur Belastung werden - vor allem dann, wenn bislang noch keine ernsthaften Vorbereitungen getroffen wurden.
Viele Unternehmen waren und sind darauf schlicht nicht vorbereitet. Genau deshalb ist DORA für sie eine große Herausforderung.
Die wichtigsten Punkte dieses Artikels:
- Der Weg in die Cloud steigert die Produktivität erheblich, bringt aber auch messbare Risiken mit sich.
- Öffentliche Cloud-Lösungen wie virtuelle Maschinen sind nicht frei von Schwachstellen. Auch damit verbundene Ebenen wie cloudbasierte Identitätsdienste sind anfällig.
- Regulierungsbehörden reagieren auf diese Entwicklung mit strengen Vorschriften wie DORA, um Mindeststandards für Resilienz und Verantwortlichkeit bei Finanzakteuren und deren Dienstleistern festzulegen.
- Unternehmen sitzen zwischen zwei Stühlen: Einerseits setzen hochentwickelte Angreifer ihre Aktivitäten fort, andererseits drohen Regulatoren bei unzureichenden Sicherheitsmaßnahmen mit empfindlichen Strafen. Besonders Mittelstandsunternehmen haben dabei viel zu verlieren.
- Die Lösung liegt darin, den Schutz von Cloud-Workloads einfach, wirksam und zugänglich zu machen - durch eine nahtlose Erweiterung der bestehenden Sicherheitsinfrastruktur in die Cloud.
- ESET Cloud Workload Protection (ECWP) ist eine Ergänzung zur Endpoint-Sicherheit und liefert umfassenden Schutz gegen eine immer komplexere Bedrohungslandschaft über klassische Endpunkte hinaus.
Wolken mit Aussicht auf Datenpanne
Den Digital Operational Resilience Act (DORA) haben wir im ESET Blog bereits ausführlich beleuchtet. Die Regelung soll Finanzakteure zu einer soliden Sicherheitsbasis verpflichten und dabei auch die persönliche Verantwortung von Führungskräften in den Fokus rücken.
Was einfach klingt, ist es in der Praxis nicht. Die Anforderungen sind streng, besonders im Bereich Risikomanagement von Drittanbietern. Das Unternehmen, das zum Beispiel einen Vertrag mit einem Cloud-Dienstleister schließt, trägt die Verantwortung dafür, dessen Resilienz zu bewerten und zu überwachen.
Konkret bedeutet das: Wer virtuelle Maschinen in einer öffentlichen Cloud-Umgebung betreibt und dessen Dienste kompromittiert werden, ist möglicherweise selbst haftbar für den Abfluss sensibler Daten von diesen Systemen.
Das klingt nach einem Szenario, das kaum eintreten wird? Leider ist das Gegenteil der Fall. Es gibt reale Vorfälle, bei denen Ransomware-Gruppen kritische Virtualisierungsschwachstellen ausgenutzt haben. Ein Beispiel: Bei einem schwerwiegenden Angriff auf die SSO- und LDAP-Systeme von Oracle Cloud im Jahr 2025 wurden 6 Millionen Datensätze von über 140.000 Kundenkonten abgezogen. Es waren zwar keine virtuellen Maschinen direkt betroffen, aber die Identitätsschicht, auf die VM-Nutzer angewiesen sind, war kompromittiert – und brachte nachgelagerte Kunden in eine gefährliche Lage.
Cloud-Nutzung weltweit auf dem Vormarsch
Unternehmen verlagern ihre Arbeit zunehmend weg von klassischen Endpunkten. Sicherheitsmaßnahmen müssen diesen Schritt mitgehen. Besonders Mittelstandsunternehmen, etwa kleinere Investmentbanken, die mittelgroße Firmen betreuen, und Managed Service Provider setzen vermehrt auf Cloud-Dienste wie virtuelle Maschinen, um ihre Produktivität zu steigern. Berichten zufolge nutzten im Jahr 2025 rund 69 Prozent der Unternehmen öffentliche Cloud-Infrastrukturen als primäre Umgebung. AWS (30 Prozent), Azure (20 Prozent) und GCP (13 Prozent) decken dabei rund 63 Prozent des weltweiten öffentlichen Cloud-Markts ab.
Diese Zahlen sind enorm und der Trend geht weiter nach oben. Doch mit dem Wachstum steigt auch die Angriffsfläche. Laut aktueller Daten haben bereits 44 Prozent der Unternehmen eine Cloud-Datenpanne erlebt. Die durchschnittlichen Kosten belaufen sich auf satte 5,17 Millionen US-Dollar pro Vorfall, ein Spitzenwert im Vergleich aller IT-Umgebungen. In rund 32 Prozent der Fälle wurden zusätzlich Bußgelder verhängt.
Warum ist die Zahl so hoch? Cloud-Workloads sind dynamisch verteilt und für klassische Sicherheitstools häufig unsichtbar. Genau das machen sich Angreifer mit wachsender Raffinesse zunutze. Eine einzige falsch konfigurierte Workload, die sensible Kundendaten preisgibt, kann schwerwiegende und kostspielige Folgen haben.
Was DORA dazu sagt
Werfen wir einen kurzen Blick auf diese Kosten: Das Risikomanagement von Drittanbietern ist ein zentrales Element der DORA-Verordnung. Es gilt für alle Finanzinstitute mit Niederlassung in einem EU-Land. Bei Verstößen drohen Bußgelder von bis zu 2 Prozent des weltweiten Jahresumsatzes oder 10 Millionen Euro, je nachdem, welcher Betrag höher ausfällt. Einzelpersonen, etwa die Geschäftsführung eines Unternehmens, können mit Strafen von bis zu einer Million Euro belangt werden.
Auch Unternehmen aus dem Vereinigten Königreich oder den USA mit einer Niederlassung in der EU müssen die Vorschriften einhalten. Es gibt hier keine Ausnahmen.
IT-Drittanbieter sind ebenfalls nicht außen vor. Wer von den Europäischen Aufsichtsbehörden als kritisch eingestuft wird, dem drohen Bußgelder von bis zu 5 Millionen Euro beziehungsweise einem Prozent des weltweiten Jahresumsatzes, für Einzelpersonen bis zu 500.000 Euro.
Ein Ausfall der Cloud-SaaS-Lösung einer Investmentfirma kann also nicht nur das Unternehmen selbst, sondern auch den Dienstleister in Erklärungsnot bringen.
Sicherheit, die mit der Cloud mitwächst
Wie lässt sich das Cloud-Risiko im Kontext von DORA in den Griff bekommen? Viele Unternehmen betreiben ihre Workloads parallel in lokalen Umgebungen und in der Cloud, etwa bei Amazon Web Services, Azure oder der Google Cloud Platform. Dabei entstehen Sicherheitslücken. Erschwerend kommt hinzu, dass laut einer Studie der Cloud Security Alliance nur 23 Prozent der Unternehmen vollständige Transparenz über ihre Cloud-Umgebungen haben - ein Zustand, der angesichts regulatorischer Anforderungen alarmierend ist.
Allein eine einzige kompromittierte virtuelle Maschine, ob durch gestohlene Zugangsdaten, Fehlkonfigurationen oder ungepatchte Dienste, kann sich schnell zu einem umgebungsübergreifenden Vorfall ausweiten. Besonders gefährlich sind sogenannte VM-Escape-Angriffe, bei denen sich Schadprogramme ihren Weg aus einer VM bahnen und das Host-Betriebssystem kompromittieren. Diese Technik wurde jüngst über VMware-ESXi-Sicherheitslücken demonstriert.
All das erfordert ein Umdenken im Risikomanagement. Unternehmen brauchen Laufzeitschutz, der solche Angriffe blockiert, problematische virtuelle Maschinen automatisch isoliert und Telemetriedaten für eine schnelle Eindämmung bereitstellt. Und das alles, ohne überproportionale Investitionen in neue proprietäre Sicherheitslösungen tätigen zu müssen.
Skalierbarkeit ist hier das Stichwort. Eine einheitliche Richtlinie für die gesamte Umgebung, ohne zusätzliche Komplexität und dabei volle Sichtbarkeit auf oft unsichtbare Cloud-Workloads. Das ist der Anspruch.
ESET Cloud Workload Protection: Schutz, der einfach funktioniert
Unternehmen mit begrenzten Sicherheitsressourcen, kleinen IT-Teams oder dem Wunsch nach einfach bedienbaren Lösungen müssen ihre bestehende Sicherheitsarchitektur nicht auf den Kopf stellen. Komplexe Anforderungen an Resilienz lassen sich auch ohne Komplikationen erfüllen.
ESET steht für schlanke Lösungen, die durch mehrere ineinandergreifende Sicherheitsschichten als geschlossenes System wirken. Flexibel, vom einfachen Malware-Schutz bis zur Abwehr komplexer Ransomware-Angriffe, durch intelligente Programmierung, Automatisierung und viel Arbeit hinter den Kulissen. Wer Beweise sucht, findet sie in den ESET Threat Intelligence-Feeds und Berichten. All diese Daten fließen kontinuierlich in die Erkennungs-Engines ein.
Angesichts der beschriebenen Herausforderungen, einer gefährlichen Cloud-Bedrohungslandschaft und regulatorischen Anforderungen, die Unternehmen in die Pflicht nehmen, ist eines klar: Wer so weitermacht wie bisher, handelt fahrlässig.
ESET geht deshalb mit dem neuen ESET Cloud Workload Protection-Modul (ECWP) über klassische Endpunkte hinaus. ECWP schützt virtuelle Maschinen in öffentlichen Cloud-Umgebungen und führt deren Daten in das XDR von ESET PROTECT ein. Das bereichert die Telemetrie erheblich, verbessert Erkennung und Reaktion und konsolidiert das Sicherheitsmanagement für Endpunkte und die Cloud in einer einzigen Oberfläche.
Der zentrale Vorteil: Ein zusätzlicher Schutzvektor wird abgedeckt und gleichzeitig ermöglicht ECWP die regelmäßige Validierung von Kontrollen sowie die Erstellung von Audit-Nachweisen für regulatorische Rahmenwerke wie NIST, CIS, HIPAA und PCI DSS. Also nicht nur für DORA.
Kein Aufpreis, kein Zusatzprodukt
Während Mitbewerber Cloud-Workload-Schutz meist als separates Produkt anbieten, ist ECWP ab ESET PROTECT Advanced in den regulären Abonnementplänen enthalten. Mehr Schutz zum gleichen Preis, auch für kleinere Unternehmen.
ECWP ergänzt das Cloud-Sicherheitsportfolio von ESET, zu dem bereits der Schutz von Produktivitäts-Apps durch ESET Cloud Office Security gehört. Weitere Cloud-Sicherheitslösungen sind bereits in Entwicklung.
Klarer Horizont
Die Cloud entwickelt sich zunehmend zu einem zentralen Bereich, der besondere Sicherheitsaufmerksamkeit erfordert. Die damit verbundenen Risiken werden häufig unterschätzt, doch aktuelle Vorfälle zeigen, dass sich das ändern muss. Führungskräfte beginnen sich langsam zu fragen, ob ihre Sicherheitsmaßnahmen noch ausreichen und ob das Konzept der Resilienz angesichts einer nicht abreißenden Bedrohungswelle überhaupt noch greift.
Diese Skepsis ist verständlich, doch wer frühzeitig auf präventive Maßnahmen setzt und auf die Expertise erfahrener Sicherheitsanbieter zurückgreift, schwebt langfristig auf Wolke sicher.