Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Gesamtzahl der Tests:
485,773,462
737,046
130,956

EU-DORA-Compliance

Die EU-Digital Operational Resilience Act (DORA) verpflichtet Finanzinstitute, die Resilienz ihrer IKT-Systeme zu testen. Erfahren Sie, wie ImmuniWeb die Schwachstellenanalysen und Penetrationstests gemäß DORA unterstützt.

Lesezeit:8 Min. Aktualisiert:8. Juli 2025
Einhaltung des EU-Gesetzes über digitale operative Resilienz (DORA)
Bitte füllen Sie die unten rot markierten Felder aus.

Talk to a Specialist about
EU Digital Operational Resilience Act (DORA) Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Einhaltung des EU-Gesetzes über digitale operative Resilienz (DORA)

Was ist die EU-DORA?

DORA schafft einen einheitlichen, EU-weiten Rahmen für die digitale operative Widerstandsfähigkeit von Finanzunternehmen. Es basiert auf fünf Säulen: IKT-Risikomanagement, Meldung von IKT-bezogenen Vorfällen, Tests der digitalen operativen Widerstandsfähigkeit, IKT-Drittanbieter-Risikomanagement und Informationsaustausch.

Der Testbereich ist zentral für die Anwendungssicherheit: Unternehmen müssen ein Programm zur Prüfung der Resilienz durchführen, das Schwachstellenanalysen und Penetrationstests umfasst, und die wichtigsten Unternehmen müssen erweiterte Threat-Led Penetration Testing (TLPT) durchführen.

Sehen Sie, wie ImmuniWeb die DORA-Resilienztests unterstützt – Schwachstellenanalysen und Penetrationstests Ihrer Finanzanwendungen. Fordern Sie eine Demo an · oder führen Sie einen kostenlosen Community Edition Test durch.

Who Must Comply with DORA?

DORA gilt im gesamten Finanzsektor der EU:

  • Finanzinstitute – Banken, Versicherer, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Krypto-Asset-Dienstleister, Handelsplätze und mehr.
  • Kritische IKT-Drittanbieter, die dem Finanzsektor dienen und einem Aufsichtsregime unterliegen.
  • Entitäten unterschiedlicher Größe – wobei der Verhältnismäßigkeitsgrundsatz auf kleinere Entitäten angewandt wird.

Die von diesen Einrichtungen betriebenen Web-, Mobil- und API-Anwendungen fallen eindeutig in den Anwendungsbereich der DORA-Resilienztests.

Wichtige DORA-Anforderungen an die Anwendungssicherheit

Der DORA-Pfeiler „Digital Operational Resilience Testing“ treibt die Anwendungssicherheitsarbeit voran:

  • Resilience Testing Programm (Artikel 24–25): Regelmäßige Tests von ICT-Systemen, einschließlich Vulnerability Assessments, Scans und Penetration Testing, mit Behebung der festgestellten Mängel.
  • Bedrohungsorientierte Penetrationstests (Articles 26-27): Fortgeschrittene, intelligenzgesteuerte Penetrationstests (basierend auf TIBER-EU) für bedeutende Einrichtungen, mindestens alle drei Jahre.
  • IKT-Risikomanagement & Drittanbieterrisiken: : Identifizieren und schützen Sie IKT-Assets, einschließlich solcher, die von Providern betrieben werden.

DORA Resilience-Testing Requirements in Depth

Digital Operational Resilience Testing (Articles 24-25)

DORA verlangt ein risikobasiertes Testprogramm, das IKT-Systeme und -Anwendungen abdeckt, einschließlich Schwachstellenanalysen, Scans und Penetrationstests. Für internetexponierte Finanzanwendungen bedeutet dies regelmäßige Web- und Mobile Penetrationstests und Scans, inklusive Remediation und Retesting.

Bedrohungsgetriebene Penetrationstests (Artikel 26–27)

Significant financial entities must perform advanced Threat-Led Penetration Testing - realistic, intelligence-led attacks against live production systems, based on the TIBER-EU framework, at least every three years. Manual, expert-led penetration testing is core to meeting this requirement.

Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind

Die Schwachstellen, die das Testprogramm von DORA in Finanzanwendungen aufdecken soll, entsprechen stark den OWASP Top 10:

  • Broken Access Control — Benutzer erreichen Daten oder Aktionen, die sie nicht erreichen sollten.
  • Kryptografische Ausfälle – schwache oder fehlende Verschlüsselung, die sensible Daten exponiert.
  • Injektion — SQL-, Befehls- oder sonstige Injektionen durch nicht validierte Eingaben.
  • Insecure Design — fehlende Sicherheitskontrollen durch Design, nicht nur durch Bugs.
  • Sicherheitsmiskonfiguration — Standard-, unvollständige oder unsichere Konfiguration.
  • Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
  • Identification & Authentication Failures —weak login, session or credential handling.
  • Software- und Datenintegritätsfehler — nicht vertrauenswürdige Updates, unsichere CI/CD-Pipelines.
  • Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
  • Server-Side Request Forgery (SSRF) — Der Server wird dazu verleitet, bösartige Anfragen zu stellen.

Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.

So gehen Sie DORA-Resilienztests mit ImmuniWeb an

  1. 1. Kartieren Sie Ihre IKT-Assets. Inventarisieren Sie internetexponierte Finanz-Apps und APIs mit ImmuniWeb Discovery.
  2. 2. Führen Sie Schwachstellenanalysen (Art. 24-25) mit Neuron Scanning durch.
  3. 3. Penetration test web and mobile applications with On-Demand and MobileSuite.
  4. 4. Unterstützung von TLPT (Art. 26–27) durch expertengeführte, intelligence-gestützte manuelle Tests.
  5. 5. Remediate and retest with actionable, zero-false-positive reports.
  6. 6. Testen Sie kontinuierlich mit Continuous in CI/CD, um die Widerstandsfähigkeit aktuell zu halten.

So hilft Ihnen ImmuniWeb bei der DORA-Compliance.

ImmuniWeb unterstützt den DORA-Pfeiler für Resilienztests mit den von der Verordnung geforderten Schwachstellenanalysen und Penetrationstests.

Anforderung Was erforderlich ist ImmuniWeb-Produkte
Resilienz-Tests (Art. 24–25) Schwachstellenanalysen, Scans und Penetrationstests. On-Demand, Neuron, Continuous
TLPT (Art 26-27) Fortgeschrittene, bedrohungsgetriebene Penetrationstests. On-Demand, MobileSuite
IKT-Assets und Drittanbieterrisiken Kartierung und Überwachung der externen Angriffsfläche. Discovery (ASM / Dark Web)

ImmuniWeb On-Demand und MobileSuite führen manuelle Web- und Mobile-Penetrationstests durch (einschließlich Unterstützung für TLPT-ähnliche Engagements); Neuron und Neuron Mobile bieten automatisiertes Scanning; Continuous integriert Tests in CI/CD; und Discovery kartiert Ihre Angriffsfläche für ICT- und Drittanbietersrisiken.

DORA im Vergleich zu internationalen Frameworks

Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:

Framework Aspekt der Anwendungssicherheit Wie ImmuniWeb abbildet
EU-DORA Resilienztests: Schwachstellenanalysen, Penetrationstests, TLPT Web/mobile pentest, scanning, ASM, TLPT support
EU NIS 2 Risikomanagementmaßnahmen gemäß Artikel 21 Dieselben Tests decken beide ab
ISO/IEC 27001 Anhang A technische Kontrollen Tests als Kontrollnachweis
PCI DSS 4.0.1 Req 6 & Req 11 Web app pentest + scanning

Penetrationstests vs. Security Scanning

Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.

Compliance-Checkliste (Anwendungssicherheit)

  • Inventar der internetexponierten Finanz-Apps und APIs
  • Regelmäßig durchgeführte Schwachstellenanalysen und -scans (Art. 24–25)
  • Penetrationstests für Web- und mobile Anwendungen
  • Bedrohungsorientierte Penetrationstests für erhebliche Unternehmen (Art. 26–27)
  • Findings remediated and re-tested; evidence retained
  • In CI/CD integrierte Tests für anhaltende Resilienz
  • Überwachung der ICT-Drittanbieter- und Angriffsflächenrisiken

Warum DORA-Compliance wichtig ist

DORA unterliegt der direkten Aufsicht der Finanzaufsichtsbehörden, und die zuständigen Behörden können bei Nichteinhaltung Verwaltungsmaßnahmen und Bußgelder verhängen. Resilienztests sind eine ausdrückliche, wiederkehrende Verpflichtung – und keine unverbindliche Übung.

Da Web-, Mobil- und API-Anwendungen eine primäre Angreifungsfläche für Finanzinstitute darstellen, ist ein nachweisbares Testing einer der direktesten Wege, DORAs Testing-Pillar zu erfüllen und das operationale Risiko zu verringern.

Häufig gestellte Fragen

  • Q
    Was ist die EU-DORA?
    A
    Der Digital Operational Resilience Act, Verordnung (EU) 2022/2554, der das IKT-Risikomanagement im EU-Finanzsektor harmonisiert und seit dem 17. Januar 2025 gilt.
  • Q
    Wer unterliegt der DORA?
    A
    Finanzinstitute (Banken, Versicherer, Wertpapierfirmen, Zahlungsinstitute, Krypto-Asset-Dienstleister und weitere) sowie kritische externe IKT-Dienstleister.
  • Q
    Was schreibt DORA für Tests vor?
    A
    Ein Programm zur Prüfung der digitalen operativen Widerstandsfähigkeit, das Schwachstellenanalysen und Penetrationstests sowie bedrohungsorientierte Penetrationstests für wesentliche Unternehmen umfasst.
  • Q
    Was ist TLPT unter DORA?
    A
    Threat-Led Penetration Testing – fortschrittliche, intelligenzgesteuerte Tests an Live-Systemen basierend auf TIBER-EU, die für bedeutende Einrichtungen mindestens alle drei Jahre vorgeschrieben sind.
  • Q
    Wie unterstützt ImmuniWeb Sie bei DORA?
    A
    Durch die Bereitstellung von Schwachstellenanalysen sowie Web- und Mobile-Penetrationstests (einschließlich Unterstützung für TLPT-ähnliche Maßnahmen) und durch die Kartierung der IKT-Angriffsfläche.
  • Q
    Wann trat DORA in Kraft?
    A
    17. Januar 2025.
Bitte füllen Sie die unten rot markierten Felder aus.

Talk to a Specialist about
EU Digital Operational Resilience Act (DORA) Compliance

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.
Sprechen Sie mit einem Experten