DORA Firewall Compliance: Was Finanzinstitute 2026 dokumentieren mu00fcssen
Seit dem 17. Januar 2025 ist DORA verbindlich. Der Digital Operational Resilience Act (EU 2022/2554) betrifft Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und deren ICT-Dienstleister in der gesamten EU. Wer Firewall-Regeln ohne formalen Prozess anpasst, riskiert bei der naechsten Pruefung durch BaFin oder EZB ein boeses Erwachen. Dieser Leitfaden erklaert, was DORA Firewall Compliance konkret bedeutet, welche Artikel Ihre Netzwerksicherheit betreffen und wie Sie Ihre Dokumentation pruefungssicher aufstellen.
Was ist DORA und warum betrifft es Ihre Firewalls?
DORA ist keine weitere Richtlinie, die national umgesetzt werden muss — es ist eine EU-Verordnung. Sie gilt unmittelbar in allen Mitgliedsstaaten. Das Ziel: Finanzinstitute sollen operativ widerstandsfaehig gegenueber ICT-Stoerungen sein. Cyberangriffe, Systemausfaelle, Fehlkonfigurationen — alles, was den Geschaeftsbetrieb gefaehrden kann, faellt unter DORA.
Firewalls sind dabei ein zentrales Element. Sie schuetzen kritische Finanzsysteme vor unberechtigtem Zugriff, segmentieren Netzwerke zwischen Handelsplattformen und Kundendatenbanken und kontrollieren den Datenfluss zu externen Partnern. Jede Aenderung an einer Firewall-Regel kann die Sicherheitslage Ihres Instituts veraendern — und genau das will DORA lueckenlos dokumentiert sehen.
Wer faellt unter DORA?
- Kreditinstitute: Banken, Sparkassen, Genossenschaftsbanken
- Versicherungen: Erst- und Rueckversicherer, Pensionsfonds
- Wertpapierfirmen: Broker, Vermoegensverwalter, Fondsgesellschaften
- Zahlungsdienstleister: PSPs, E-Geld-Institute, Kontoinformationsdienste
- ICT-Drittanbieter: Cloud-Dienstleister, Managed-Service-Provider, Softwareanbieter fuer den Finanzsektor
Besonders der letzte Punkt ist wichtig: Wenn Sie als IT-Dienstleister Firewalls fuer ein Finanzinstitut betreiben, gelten die DORA-Anforderungen auch fuer Sie. Die BaFin kann ueber das Institut hinaus direkt bei kritischen ICT-Drittanbietern pruefen.
DORA-Artikel und ihre Bedeutung fuer Firewalls
DORA umfasst 64 Artikel in fuenf Kernbereichen. Nicht alle betreffen Firewalls direkt, aber mehrere Artikel haben unmittelbare Auswirkungen auf Ihr Change Management. Die folgende Tabelle zeigt die relevantesten Anforderungen:
| DORA-Artikel | Thema | Firewall-Anforderung |
|---|---|---|
| Art. 5-6 | ICT-Risikomanagement-Rahmen | Firewalls muessen als kritische ICT-Assets inventarisiert und bewertet werden |
| Art. 7 | ICT-Systeme und -Protokolle | Alle Netzwerkverbindungen und Datenfluesse dokumentieren, Firewall-Regeln kartieren |
| Art. 8 | Identifizierung kritischer Funktionen | Zuordnung von Firewall-Regeln zu kritischen Geschaeftsfunktionen und -prozessen |
| Art. 9 | Schutz und Praevention | Firewall-Policies als Teil der Schutzmassnahmen, Zugriffskontrolle, Netzwerksegmentierung |
| Art. 10 | Erkennung anomaler Aktivitaeten | Firewall-Logs muessen anomale Zugriffsmuster erkennen und melden koennen |
| Art. 12 | Backup und Wiederherstellung | Firewall-Konfigurationen muessen gesichert und wiederherstellbar sein |
| Art. 14 | Kommunikation | Interne Meldepflichten bei kritischen Firewall-Aenderungen an die Geschaeftsleitung |
| Art. 28-30 | ICT-Drittanbieter-Risiko | Vertragliche Sicherstellung, dass Drittanbieter Firewall-Changes dokumentieren und melden |
Die fuenf Saeulen der DORA Firewall Compliance
1. Formaler Change-Management-Prozess
DORA verlangt, dass jede Aenderung an ICT-Systemen einem definierten Prozess folgt. Fuer Firewalls heisst das: Kein Regelwerk wird angepasst, ohne dass ein Antrag gestellt, geprueft, genehmigt und dokumentiert wird. Der Prozess muss klar definieren, wer einen Change beantragen darf, wer ihn genehmigt und wer ihn umsetzt — eine strikte Funktionstrennung.
In der Praxis bedeutet das: Schluss mit schnellen Anpassungen ueber die Firewall-Konsole. Jede Regel braucht eine Geschaeftsbegründung, eine Risikoeinschaetzung und eine formale Freigabe, bevor sie umgesetzt wird. Das klingt aufwaendig — ist aber genau das, was Pruefer sehen wollen.
Praxis-Tipp: Definieren Sie klare Risikokategorien fuer Firewall-Changes. Niedrigrisiko-Aenderungen (z.B. temporaere Regeln mit Ablaufdatum) koennen in einem vereinfachten Verfahren genehmigt werden. Hochrisiko-Aenderungen (z.B. neue Internetzugaenge oder Aenderungen an DMZ-Regeln) brauchen ein erweitertes Pruefungsverfahren mit mehreren Genehmigern.
2. Lueckenloser Audit-Trail
Artikel 5 und 6 DORA verlangen einen vollstaendigen ICT-Risikomanagement-Rahmen. Fuer Firewalls bedeutet das: Jede Aenderung muss nachvollziehbar protokolliert werden — wer hat was, wann, warum und mit wessen Genehmigung geaendert. Dieser Audit-Trail muss manipulationssicher sein und darf nicht nachtraeglich veraendert werden koennen.
BaFin-Pruefer fragen gezielt nach der Historie bestimmter Regeln. Sie waehlen z.B. eine Any-Any-Regel oder eine Ausnahme und wollen den gesamten Lebenszyklus sehen: Antrag, Risikoanalyse, Genehmigung, Umsetzung, Test, Review. Wenn Sie das nicht in wenigen Minuten liefern koennen, haben Sie ein Problem.
3. Genehmigungsworkflows mit Funktionstrennung
DORA schreibt vor, dass die Person, die einen Change beantragt, nicht dieselbe sein darf, die ihn genehmigt oder umsetzt. Das Vier-Augen-Prinzip ist Pflicht. In groesseren Instituten brauchen kritische Aenderungen sogar ein Sechs-Augen-Prinzip mit zusaetzlicher Freigabe durch das Risikomanagement oder die Compliance-Abteilung.
In der Realitaet sieht es bei vielen Instituten anders aus: Der Firewall-Administrator bekommt eine Anfrage per E-Mail, setzt die Regel um und dokumentiert es nachher — wenn ueberhaupt. Das ist unter DORA nicht mehr akzeptabel. Sie brauchen ein System, das Genehmigungsworkflows erzwingt, nicht nur empfiehlt.
4. Test und Validierung
Artikel 24-27 DORA behandeln das Testen der digitalen operativen Resilienz. Fuer Firewalls heisst das: Aenderungen muessen vor der Produktivschaltung getestet werden. Der Test muss dokumentieren, dass die Regel das tut, was sie soll — und nichts, was sie nicht soll.
Das umfasst sowohl funktionale Tests (Wird der gewuenschte Traffic erlaubt?) als auch Sicherheitstests (Oeffnet die Regel unbeabsichtigte Zugangswege?). Besonders bei komplexen Regelwerken mit Hunderten von Regeln ist eine automatische Risikoanalyse vor der Umsetzung Gold wert.
5. Reporting und Meldepflichten
DORA fuehrt strenge Meldepflichten ein. ICT-bezogene Vorfaelle muessen innerhalb von 4 Stunden an die BaFin gemeldet werden (Erstmeldung), gefolgt von einem Zwischenbericht innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Wenn eine Firewall-Fehlkonfiguration zu einem Sicherheitsvorfall fuehrt, starten diese Fristen sofort.
Darueber hinaus verlangt DORA regelmaessige Berichte an die Geschaeftsleitung ueber den Stand der ICT-Sicherheit. Firewall-Metriken — Anzahl der Changes, offene Risiken, ausstehende Reviews, abgelaufene Regeln — gehoeren in diese Berichte. Die Geschaeftsleitung muss nachweisen, dass sie informiert ist und Entscheidungen trifft.
Was BaFin-Pruefer bei Audits kontrollieren
Die BaFin hat im Kontext von DORA ihre Pruefungsschwerpunkte angepasst. Basierend auf den bisherigen BAIT-Pruefungen (Bankaufsichtliche Anforderungen an die IT) und den neuen DORA-Anforderungen koennen Sie folgende Pruefungspunkte erwarten:
Typische Pruefungsfragen
- ICT-Asset-Inventar: Sind alle Firewalls inventarisiert? Stimmen Firmware-Versionen, Support-Status und Verantwortlichkeiten?
- Change-Prozess: Gibt es einen dokumentierten Prozess? Wird er tatsaechlich eingehalten? Stichprobe von 10-20 Changes der letzten 12 Monate.
- Genehmigungsnachweise: Wer hat genehmigt? Gab es eine Risikoeinschaetzung? Ist die Funktionstrennung eingehalten?
- Regelwerk-Hygiene: Gibt es ungenutzte Regeln? Regeln ohne Ablaufdatum? Any-Any-Regeln ohne Geschaeftsbegründung?
- Backup und Recovery: Koennen Sie eine Firewall-Konfiguration innerhalb des definierten RTO wiederherstellen?
- Drittanbieter-Management: Wie stellen Sie sicher, dass Ihr Managed-Firewall-Dienstleister DORA-konform arbeitet?
Pruefer greifen sich typischerweise einzelne Regeln heraus und verfolgen sie zurueck bis zum urspruenglichen Antrag. Wenn Sie den Lebenszyklus einer Regel nicht lueckenlos zeigen koennen, wird das als Mangel festgehalten — unabhaengig davon, ob die Regel technisch korrekt ist.
DORA vs. BAIT vs. MaRisk: Was aendert sich?
Deutsche Finanzinstitute kennen bereits BAIT und MaRisk. DORA ersetzt diese nicht vollstaendig, aber erweitert die Anforderungen erheblich. Die wichtigsten Unterschiede:
| Aspekt | BAIT/MaRisk | DORA (neu) |
|---|---|---|
| Rechtsform | Verwaltungsanweisung (BaFin) | EU-Verordnung (direkt anwendbar) |
| Geltungsbereich | Nur Banken (BAIT) | Alle Finanzinstitute + ICT-Drittanbieter |
| ICT-Drittanbieter | Auslagerungsmanagement | Direkte Aufsicht bei kritischen Anbietern |
| Meldepflichten | Wesentliche Auslagerungen | 4h Erstmeldung, 72h Zwischenbericht |
| Resilienz-Tests | Empfohlen | Pflicht (TLPT alle 3 Jahre fuer grosse Institute) |
| Sanktionen | Verwaltungsrechtlich | Bis 1% des weltweiten Jahresumsatzes (taeglich) |
Wie Automatisierung Ihre DORA Compliance sichert
Die Realitaet: Die meisten Finanzinstitute verwalten Firewall-Changes mit einer Mischung aus Ticketsystemen, E-Mails, Excel-Tabellen und manueller Dokumentation. Das funktioniert im Alltag — aber nicht bei einer DORA-Pruefung. Pruefer erwarten lueckenlose, maschinenlesbare Audit-Trails, nicht zusammengesuchte E-Mail-Ketten.
Wo Automatisierung den Unterschied macht
- Automatischer Audit-Trail: Jeder Change wird mit Zeitstempel, Antragsteller, Genehmiger und Geschaeftsbegründung gespeichert — ohne manuellen Aufwand.
- Erzwungene Genehmigungsworkflows: Das System stellt sicher, dass kein Change ohne die erforderlichen Freigaben umgesetzt wird. Funktionstrennung ist eingebaut, nicht optional.
- Risikoanalyse vor Umsetzung: Automatische Pruefung, ob ein Change bestehende Sicherheitsrichtlinien verletzt oder Compliance-Anforderungen gefaehrdet.
- Regelwerk-Reviews: Automatische Erinnerungen fuer ablaufende Regeln und regelmaessige Reviews — kein Change geraet in Vergessenheit.
- Audit-Ready Reports: Berichte auf Knopfdruck fuer BaFin-Pruefer — Change-Historie, Genehmigungsverlaeufe, Regelwerk-Statistiken.
Ein spezialisiertes Firewall-Change-Management-Tool reduziert den Dokumentationsaufwand erheblich. Statt Stunden fuer die Vorbereitung eines Audits zu investieren, generieren Sie die benoetigten Berichte in Minuten. Das spart nicht nur Zeit — es reduziert auch das Risiko menschlicher Fehler bei der manuellen Dokumentation.
Checkliste: DORA Firewall Compliance in 10 Schritten
Ihre DORA-Checkliste
- 1. ICT-Asset-Inventar: Alle Firewalls erfassen — Hersteller, Modell, Firmware, Standort, Verantwortlicher.
- 2. Change-Prozess definieren: Formalen Prozess mit Rollen, Verantwortlichkeiten und Eskalationsstufen festlegen.
- 3. Genehmigungsworkflows einrichten: Vier-Augen-Prinzip technisch erzwingen, nicht nur dokumentieren.
- 4. Audit-Trail sicherstellen: Manipulationssichere Protokollierung aller Aenderungen aktivieren.
- 5. Geschaeftsbegründungen erzwingen: Kein Change ohne dokumentierte Begründung und Risikoeinschaetzung.
- 6. Regelwerk-Reviews planen: Mindestens quartalsweise Reviews aller aktiven Regeln etablieren.
- 7. Backup-Strategie pruefen: Firewall-Konfigurationen regelmaessig sichern und Wiederherstellung testen.
- 8. Drittanbieter einbinden: Vertragliche DORA-Anforderungen an Managed-Service-Provider kommunizieren.
- 9. Reporting aufsetzen: Regelmaessige Berichte an die Geschaeftsleitung ueber den Stand der Firewall-Sicherheit.
- 10. Testlauf durchfuehren: Internen Audit simulieren — koennen Sie jeden Change lueckenlos nachweisen?
Fazit: DORA macht dokumentierte Firewall-Aenderungen zur Pflicht
DORA Firewall Compliance ist kein Nice-to-have — es ist eine regulatorische Pflicht fuer jedes Finanzinstitut in der EU. Die Verordnung hebt die Anforderungen an das DORA ICT Risikomanagement auf ein neues Niveau: Lueckenlose Dokumentation, erzwungene Genehmigungsworkflows, automatische Audit-Trails und regelmaessiges Reporting sind keine optionalen Best Practices mehr, sondern pruefungsrelevante Pflichten.
Die gute Nachricht: Wer seine Firewall-Prozesse heute sauber aufstellt, profitiert nicht nur bei der naechsten BaFin-Pruefung. Strukturiertes Change Management reduziert Fehlkonfigurationen, beschleunigt die Fehlerbehebung und gibt Ihrem Team Sicherheit bei jeder Aenderung. DORA ist der Anlass — bessere Prozesse sind das Ergebnis.
Erfahren Sie, wie FwChange Finanzinstitute bei der automatisierten Firewall-Dokumentation unterstuetzt, oder starten Sie einen kostenlosen Firewall-Audit, um Ihre aktuelle Compliance-Lage zu pruefen.
See How Your Firewall Rules Score
Upload your config and get a free compliance report with shadow rule detection, conflict analysis, and optimization recommendations.
Stay Updated
Get firewall management tips, compliance guides, and product updates.
No spam. Unsubscribe anytime.