Umfassender DORA-Leitfaden für Data in Use

Die EU-Finanzregulierung (DORA, RTS/ITS) zum Schutz von Daten während der aktiven Verarbeitung.

Das Kernproblem: Die unsichtbare Schwachstelle

DORA verlangt von Finanzinstituten, Daten in allen Zuständen zu schützen. Während Verschlüsselung von Daten im Ruhezustand und bei der Übertragung Standard ist, stellt der Schutz während der aktiven Verarbeitung eine neue Herausforderung dar.

💾

Data at Rest

Gespeicherte Daten auf Festplatten, SSDs oder in Datenbanken. Üblicherweise durch Festplatten- oder Datenbankverschlüsselung geschützt.

↔️

Data in Transit

Daten, die über ein Netzwerk übertragen werden. Üblicherweise durch Protokolle wie TLS/SSL geschützt.

⚙️

Data in Use

Entschlüsselte Daten im RAM oder in der CPU zur aktiven Verarbeitung. Hier liegen sie im Klartext vor und sind das primäre Ziel fortgeschrittener Angriffe.

Die Regulatorische Landschaft

Die EU schafft durch eine mehrstufige Gesetzgebung einen harmonisierten Rahmen. DORA (Level 1) setzt die Prinzipien fest, während detaillierte Standards (Level 2) die konkrete Umsetzung definieren. Hier ist der Zusammenhang am Beispiel von "Data in Use":

Level 1

📜 DORA-Verordnung

Die strategische Vorgabe: DORA legt das grundsätzliche Ziel fest.

Beispiel: "Finanzunternehmen müssen die Sicherheit von Daten auch während der Verarbeitung (Data in Use) gewährleisten."

Level 2

🔬 RTS (Delegierte Verordnung)

Das "Was": Die RTS definieren die konkreten technischen Kriterien und Methoden.

Beispiel: "Schutz bedeutet, es müssen Technologien wie Confidential Computing genutzt werden, die den Speicher verschlüsseln und einen kryptographischen Nachweis (Attestierung) ermöglichen."

Level 2

📋 ITS (Durchführungsverordnung)

Das "Wie": Die ITS sorgen für einheitliche Formate und Prozesse.

Beispiel: "Der Attestierungsbericht aus dem RTS muss im standardisierten JSON-Format gemäß Anhang X vorgelegt werden."

Technische Lösungswege

Es gibt zwei grundlegende Ansätze zum Schutz von "Data in Use". Confidential Computing ist heute praxistauglich, während Homomorphe Verschlüsselung einen Blick in die Zukunft bietet.

Homomorphe Verschlüsselung: Der Blick in die Zukunft

Der "heilige Gral" der Kryptografie. Erlaubt mathematische Operationen direkt auf verschlüsselten Daten, ohne diese jemals zu entschlüsseln. Das Ergebnis ist ebenfalls verschlüsselt und kann nur vom Schlüsselbesitzer gelesen werden.

Herausforderung: Performance

Operationen sind heute noch um viele Größenordnungen langsamer als bei unverschlüsselten Daten, was den Einsatz auf Nischen beschränkt.

Führende Bibliotheken & Unternehmen
Microsoft SEAL

Eine führende Open-Source-Bibliothek (C++, C#, Python), die sich als Standard für Forscher und Entwickler etabliert hat. Sie bietet zugängliche Implementierungen der BFV- und CKKS-Schemata, ideal für exakte Berechnungen oder Machine-Learning-Anwendungen auf verschlüsselten Daten.

IBM HElib

Eine Pionier-Bibliothek von IBM (C++), bekannt für ihre hohe Performance und fortschrittliche Optimierungen wie "Ciphertext Packing". Sie gilt als sehr leistungsstark, aber auch komplexer, und ist eine bevorzugte Wahl für tiefgehende kryptographische Forschung.

Zama

Ein Spezialist für die Anwendung von homomorpher Verschlüsselung in den Bereichen KI und Blockchain. Zama entwickelt eine Tool-Suite, die es ermöglicht, Machine-Learning-Modelle (z.B. aus Scikit-learn) direkt auf verschlüsselten Daten auszuführen und so vertrauliche KI zu realisieren.

Enveil

Kommerzieller Anbieter der "ZeroReveal"-Plattform, die es Organisationen erlaubt, Daten sicher zu durchsuchen und zu analysieren, ohne sie zu entschlüsseln. Ein typischer Anwendungsfall ist der Abgleich sensibler Daten zwischen Banken zur Bekämpfung von Finanzkriminalität.

DORA Anforderungen an Daten in Verwendung

DORA: Relevante Anforderungen für die Verschlüsselung von Daten in Verwendung ("Data in Use")

Stelle im Dokument Relevante Anforderung / Kommentar
Verordnung (EU) 2022/2554 (DORA)
Artikel 9 Absatz 2 Finanzunternehmen müssen hohe Standards für die Vertraulichkeit von Daten aufrechterhalten, "unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden".
Artikel 9 Absatz 4 Buchstabe d Finanzunternehmen müssen Leit- und Richtlinien für "kryptografische Kontrollen" und das Management kryptografischer Schlüssel erstellen. Dies ist grundlegend für die Absicherung von Daten in allen Zuständen.
Artikel 15 Absatz 1 Buchstabe a Die ESA sind ermächtigt, technische Regulierungsstandards (RTS) für die Wahrung der Datenvertraulichkeit zu entwickeln, "einschließlich kryptografischer Techniken".
Artikel 35 Absatz 1 Buchstabe d Ziffer i Die federführende Überwachungsbehörde kann Empfehlungen zur Anwendung spezifischer IKT-Anforderungen abgeben, insbesondere in Bezug auf "Verschlüsselung".
Delegierte Verordnung (EU) 2024/1774 (RTS zu IKT-Sicherheit)
Erwägungsgrund (9) Finanzunternehmen sollen Daten, "die gerade verwendet werden, entsprechend verschlüsseln, soweit erforderlich". Die "Komplexität der Verschlüsselung in Verwendung befindlicher Daten" wird anerkannt.
Artikel 6 Absatz 2 Buchstabe b Die Richtlinie für Verschlüsselung muss Vorschriften zur "Verschlüsselung von Daten, die gerade verwendet werden, soweit erforderlich" enthalten.
Artikel 6 Absatz 2 letzter Satz Ist eine "Verschlüsselung gerade verwendeter Daten nicht möglich", müssen diese Daten in einer getrennten und geschützten Umgebung oder durch gleichwertige Maßnahmen verarbeitet werden.
Artikel 7 Dieser gesamte Artikel widmet sich dem detaillierten "Management kryptografischer Schlüssel" über ihren gesamten Lebenszyklus, was eine Voraussetzung für die effektive Verschlüsselung von "Data in Use" ist.
Artikel 12 Absatz 2 Buchstabe d Datenaufzeichnungssysteme müssen geschützt werden, "unabhängig davon, ob diese Daten gespeichert sind oder gerade übermittelt oder verwendet werden".
Artikel 23 Absatz 3 Aufzeichnungen anomaler Aktivitäten sind zu schützen, "unabhängig davon, ob diese Daten gespeichert sind oder gerade übermittelt oder verwendet werden".
Delegierte Verordnung (EU) 2025/295 (RTS zur Überwachung)
Artikel 2 Absatz 2 Buchstabe g & h Kritische IKT-Drittdienstleister müssen Informationen über ihre IKT-Sicherheit und Maßnahmen zur Gewährleistung des Datenschutzes bereitstellen, insbesondere über "Verschlüsselungsverfahren".
Durchführungsverordnung (EU) 2025/302 (ITS zu schweren IKT-Vorfällen)
Anhang II, Datenfeld 4.3 "Verschlüsselung und Kryptografie" wird als eine mögliche Ursache für schwerwiegende IKT-Vorfälle gelistet, was sich auch auf "Data in Use" auswirken kann.
DORA: Kompensatorische Kontrollen

Kompensatorische Kontrollen unter DORA

Die Notwendigkeit, Daten zu schützen, umfasst gemäß Verordnung (EU) 2022/2554 Daten, die "gespeichert sind oder gerade verwendet oder übermittelt werden" [CELEX_32022R2554_DE_TXT.pdf, Artikel 9(2)(d)]. Die Delegierte Verordnung (EU) 2024/1774 erkennt an, dass die "Verschlüsselung in Verwendung befindlicher Daten" komplex sein kann und in solchen Fällen "andere geeignete und verhältnismäßige Maßnahmen für IKT-Sicherheit" zu ergreifen sind [CELEX_32024R1774_DE_TXT.pdf, Erwägungsgrund (9)].

Thema Kontrollbereich Konkrete Anforderung / Maßnahme
Getrennte und geschützte Umgebungen Physische und logische Trennung Das Konzept basiert auf Isolation und strengen Kontrollen:
  • IKT-Systeme zur Wiederherstellung gesicherter Daten müssen von ihrem Quellsystem "physisch und logisch getrennt" und "sicher vor unbefugtem Zugriff oder IKT-Manipulationen geschützt" sein [CELEX_32022R2554_DE_TXT.pdf, Artikel 12(4)].
  • Die IKT-Infrastruktur für die Netzanbindung muss so konzipiert sein, dass sie "sofort getrennt oder segmentiert werden kann", um eine "Ansteckung" zu minimieren [CELEX_32022R2554_DE_TXT.pdf, Artikel 10(1)(b)].
  • Bei der Trennung sind alle Komponenten, einschließlich Konten, Daten oder Verbindungen, zu berücksichtigen [CELEX_32024R1774_DE_TXT.pdf, Artikel 8(2)(b)(v), Artikel 13(1)(a)].
  • In "Nichtproduktionsumgebungen" dürfen nur "anonymisierte, pseudonymisierte oder randomisierte Produktionsdaten gespeichert werden" [CELEX_32024R1774_DE_TXT.pdf, Artikel 16(5)(a)].
  • Finanzunternehmen müssen die "Integrität und Vertraulichkeit von Daten in Nichtproduktionsumgebungen schützen" [CELEX_32024R1774_DE_TXT.pdf, Artikel 16(5)(b)].
Strenge Zugangskontrollen Die IKT-Sicherheitsrichtlinien müssen Zugriffsrechte nach dem "Grundsatz ‚Kenntnis nur, wenn nötig‘", "Nutzungsnotwendigkeit" und "minimalen Berechtigung" festlegen, auch für Fern- und Notfallzugang [CELEX_32024R1774_DE_TXT.pdf, Artikel 21(a)].
Aufgabentrennung Richtlinien müssen die "Abtrennung der Aufgaben" vorsehen, um ungerechtfertigten Zugang oder die Umgehung von Kontrollen zu verhindern [CELEX_32024R1774_DE_TXT.pdf, Artikel 21(b)].
Regelmäßige Überprüfung Die Angemessenheit der Klassifizierung von Informations- und IKT-Assets sowie der dazugehörigen Dokumentation ist mindestens einmal jährlich zu überprüfen [CELEX_32022R2554_DE_TXT.pdf, Artikel 8(1)].
Gleichwertige und andere IKT-Sicherheitsmaßnahmen Umfassender IKT-Risikomanagementrahmen Finanzunternehmen müssen einen "soliden und dokumentierten IKT-Risikomanagementrahmen errichten und aufrechterhalten" [CELEX_32022R2554_DE_TXT.pdf, Artikel 6(1)], der kontinuierlich verbessert wird [CELEX_32022R2554_DE_TXT.pdf, Artikel 6(2)]. Er muss Mechanismen für ein "rasches, effizientes und umfassendes Management des IKT-Risikos" beschreiben [CELEX_32022R2554_DE_TXT.pdf, Artikel 6(1)].
Datensicherheit und -schutz
  • Richtlinien, Verfahren, Protokolle und Tools zum Schutz von Informationen, die "übermittelt werden", sind zu entwickeln und zu implementieren [CELEX_32024R1774_DE_TXT.pdf, Artikel 14(1)].
  • Maßnahmen zum Schutz von "Datenaufzeichnungssystemen und -informationen vor Manipulation, Löschung und unbefugtem Zugriff" sind für "gespeicherte, übermittelte oder gegebenenfalls gerade verwendete Daten" vorzusehen [CELEX_32024R1774_DE_TXT.pdf, Artikel 12(2)(d)].
  • Maßnahmen zur Verhinderung von "Datenverlust und Datenlecks bei Systemen und Endgeräten" sind zu implementieren [CELEX_32024R1774_DE_TXT.pdf, Artikel 18(2)(d)].
Kapazitäts- und Leistungsmanagement Verfahren zur Ermittlung der IKT-Systemkapazitätsanforderungen, Ressourcenoptimierung und Überwachung zur Verbesserung der Verfügbarkeit und Effizienz sind zu implementieren [CELEX_32024R1774_DE_TXT.pdf, Artikel 9(1), Artikel 9(2)].
Schwachstellen- und Patch-Management
  • Verfahren für das Schwachstellen-Management sind zu entwickeln, zu dokumentieren und zu implementieren [CELEX_32024R1774_DE_TXT.pdf, Artikel 10(1)], um relevante Informationsressourcen zu ermitteln und zu aktualisieren [CELEX_32024R1774_DE_TXT.pdf, Artikel 10(2)(a)].
  • Verfahren für das Patch-Management sind zu implementieren, um Patches und Aktualisierungen zu ermitteln, zu bewerten, zu testen und einzuführen [CELEX_32024R1774_DE_TXT.pdf, Artikel 10(3)].
IKT-Betriebssicherheit und Überwachung
  • Richtlinien und Verfahren für das Management der IKT-Vorgänge müssen festlegen, wie IKT-Assets betrieben, überwacht, kontrolliert und wiederhergestellt werden [CELEX_32024R1774_DE_TXT.pdf, Artikel 8(1)].
  • Mechanismen zur "umgehenden Erkennung anomaler Aktivitäten, darunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle" sind einzurichten [CELEX_32022R2554_DE_TXT.pdf, Artikel 10(1); CELEX_32024R1774_DE_TXT.pdf, Artikel 23(2)].
  • Ereignisse müssen umfassend protokolliert werden [CELEX_32024R1774_DE_TXT.pdf, Artikel 12(2)(c)].
  • Finanzunternehmen müssen alle relevanten Informationen über anomale Aktivitäten "automatisch oder manuell aufzeichnen, analysieren und auswerten" [CELEX_32024R1774_DE_TXT.pdf, Artikel 23(2)(d)].
IKT-Geschäftsfortführungspläne und Wiederherstellung
  • "Angemessene IKT-Geschäftsfortführungspläne" sind zu erstellen, zu pflegen und "regelmäßig zu testen", insbesondere in Bezug auf ausgelagerte kritische oder wichtige Funktionen [CELEX_32022R2554_DE_TXT.pdf, Artikel 11(4)].
  • IKT-Reaktions- und Wiederherstellungspläne müssen "rasch, angemessen und wirksam reagieren" und "Schäden begrenzen" [CELEX_32022R2554_DE_TXT.pdf, Artikel 11(3)].
  • Die Pläne müssen "Alternativen erwägen", wenn primäre Maßnahmen nicht durchführbar sind [CELEX_32024R1774_DE_TXT.pdf, Artikel 26(2)(c)(i)].
  • Kontinuitätsmaßnahmen zur Minderung von Ausfällen bei IKT-Drittdienstleistern sind zu prüfen und durchzuführen [CELEX_32024R1774_DE_TXT.pdf, Artikel 39(2)(f)].
Tests der digitalen operationalen Resilienz
  • Finanzunternehmen müssen "erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis bedrohungsorientierter Penetrationstests (TLPT)" durchführen, wenn sie die Kriterien erfüllen, mindestens alle drei Jahre [CELEX_32022R2554_DE_TXT.pdf, Artikel 26(1)].
  • Die Testergebnisse und Erkenntnisse aus IKT-Vorfällen müssen in den IKT-Risikobewertungsprozess einfließen [CELEX_32022R2554_DE_TXT.pdf, Artikel 6(2)(h); CELEX_32024R1774_DE_TXT.pdf, Artikel 28(5)(c)].
Management von IKT-Drittparteienrisiken
  • Finanzunternehmen (ausgenommen Kleinstunternehmen) müssen eine Strategie für das IKT-Drittparteienrisiko beschließen und regelmäßig überprüfen [CELEX_32022R2554_DE_TXT.pdf, Artikel 28(2)].
  • Ein "Informationsregister" aller vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen von IKT-Drittdienstleistern ist zu führen und zu aktualisieren [CELEX_32022R2554_DE_TXT.pdf, Artikel 28(3); DURCHFÜHRUNGSVERORDNUNG (EU) 2024/2956_DE_TXT.pdf, Erwägungsgrund (1)].
  • Bei der Vergabe von Unteraufträgen ist die gesamte Kette der Unterauftragnehmer zu identifizieren [CELEX_32025R0532_DE_TXT.pdf, Erwägungsgrund (1)].
  • Es ist sicherzustellen, dass vertragliche Vereinbarungen mit Unterauftragnehmern die Erfüllung der Verpflichtungen aus der Verordnung ermöglichen [CELEX_32025R0532_DE_TXT.pdf, Artikel 3(1)(c)].
  • Verträge müssen Zugangs-, Inspektions- und Auditrechte durch das Finanzunternehmen oder beauftragte Dritte sowie die zuständigen Behörden enthalten [CELEX_32022R2554_DE_TXT.pdf, Artikel 30(3)(e)(i); OJ_L_202401773_DE_TXT.pdf, Artikel 3(6)(d)].
Informationsaustausch Finanzunternehmen werden ermutigt, Informationen und Erkenntnisse über Cyberbedrohungen und Schwachstellen auszutauschen, um ihre digitale operationale Resilienz zu stärken [CELEX_32022R2554_DE_TXT.pdf, Erwägungsgrund (34), Artikel 45(1)(a)].