Die DORA-Deadline: Warum Zertifikate des Hyperscalers nicht mehr für das Audit reichen

In den letzten Jahren war die Strategie vieler Fintechs klar: „Managed first". Wer schnell wachsen will, nutzt die fertigen Bausteine der großen US-Hyperscaler - von Kubernetes über Datenbanken bis hin zum Identity Management. Technisch ist das brillant, denn es beschleunigt die Produktentwicklung massiv. Doch regulatorisch hat sich das Spielfeld mit dem Inkrafttreten von DORA (Digital Operational Resilience Act) im Januar 2025 grundlegend geändert.

Viele Unternehmen wiegen sich in falscher Sicherheit, weil ihr Cloud-Anbieter hunderte Zertifikate (ISO, SOC2 etc.) vorlegt. Doch für die Aufsicht ist das nur die halbe Wahrheit.

1. Die Verantwortungs-Lücke

Ein weit verbreiteter Irrtum ist, dass ein zertifizierter Infrastruktur-Anbieter automatisch eine zertifizierte Anwendung bedeutet. DORA stellt jedoch die digitale operationale Resilienz des Finanzunternehmens selbst in den Mittelpunkt.

Prüfer fragen heute nicht mehr nur: „Ist das Rechenzentrum sicher?", sondern:

• „Wie stellen Sie sicher, dass Sie bei einem Ausfall des Providers innerhalb von Stunden wieder arbeitsfähig sind?" (Exit-Strategie)
• „Wie verhindern Sie, dass ein technischer Fehler beim Provider Ihr gesamtes Geschäft lahmlegt?" (Konzentrationsrisiko)
• „Können Sie lückenlos nachweisen, wer wann welche Änderung an der Produktionsumgebung vorgenommen hat?" (Auditierbarkeit)

Zertifikate des Hyperscalers bestätigen, dass die „Hardware und das RZ" in Ordnung sind. Sie sagen nichts darüber aus, ob Ihr spezifisches Setup resilient oder gar migrierbar ist.

2. Das Problem der „Proprietären Fesseln"

Wer tief in die Ökosysteme der Hyperscaler eintaucht, nutzt oft Dienste, die es so nur dort gibt. Das Ergebnis ist ein Vendor Lock-in, der eine reale Exit-Strategie (wie von DORA gefordert) unmöglich macht. Wenn ein Wechsel zu einem anderen Anbieter zwölf Monate dauern würde, existiert faktisch kein Exit-Plan - und das ist ein erhebliches Prüfungsrisiko.

Um DORA-konform zu sein, muss die Architektur „wahlfrei" werden. Das bedeutet den Einsatz von offenen Standards (Kubernetes, Open Source Datenbanken, herstellerneutrales IAM), die sowohl in der Cloud als auch On-Premises funktionieren.

3. Nachweisbarkeit statt Dokumentation

Bisher reichte es oft, Compliance-Konzepte in PDFs zu beschreiben. DORA fordert jedoch den Nachweis im Betrieb.

• Es reicht nicht zu sagen, dass man Backups macht; man muss automatisierte Restore-Tests nachweisen.
• Es reicht nicht zu sagen, dass man Patches einspielt; man muss eine lückenlose Software-Lieferkette (SBOM/CVE-Scans) belegen.

In einem Audit ist heute die zentrale Frage: „Zeigen Sie mir das Systemprotokoll dazu" statt „Zeigen Sie mir das Konzept dazu".

Fazit: Souveränität als neue Business-Metrik

Für Fintechs ist Souveränität kein ideologisches Thema mehr, sondern eine harte Geschäftsgrundlage. Wer seine Abhängigkeiten reduziert und seine Prozesse so automatisiert, dass Audit-Nachweise quasi als Abfallprodukt des Betriebs abfallen, spart nicht nur Zeit bei der nächsten Prüfung, sondern gewinnt das Vertrauen großer Bankpartner zurück.

Im nächsten Teil schauen wir uns an, wie eine Architektur aussehen muss, die eine echte Exit-Strategie ermöglicht, ohne die Agilität der Cloud zu opfern.

FAQ

Gilt DORA nur für Banken? Nein. DORA gilt für fast alle Finanzunternehmen in der EU sowie für deren kritische IKT-Drittdienstleister. Das bedeutet: Wenn Sie Software an Banken oder Versicherungen liefern, sind Sie über die Lieferkette direkt betroffen.

Muss ich jetzt den Hyperscaler verlassen? Nicht zwingend. Aber Sie müssen die Art und Weise ändern, wie Sie ihn nutzen. Sie müssen die Kontrolle über die Plattform-Ebene (Kubernetes, Datenbank-Management, Security) zurückgewinnen, um jederzeit „umzugsfähig" zu sein.

Was ist das größte Risiko bei einem DORA-Audit? Fehlende Nachvollziehbarkeit bei Änderungen (Change Management). Wer „schnell mal manuell" in der Cloud-Konsole etwas anpasst, hat im Audit verloren. GitOps ist hier die technologische Antwort.

Wie unterstützt ayedo bei der DORA-Compliance? Wir bauen für Sie ein souveränes Infrastruktur-Backbone auf Basis offener Standards. Wir automatisieren die Audit-Trails (Logging, Secrets, Deployments) so, dass Sie die geforderten Nachweise auf Knopfdruck exportieren können, statt sie händisch zusammenzusuchen.