Damit ein Dienstleisterausfall nicht zum Geschäftsausfall wird

So gelingen Banken & Co. DORA-konforme Ausstiegspläne.

veröffentlicht am 16.03.2026 | Lesezeit: ca. 5 Minuten
Lena Frank
Lena Frank

Keyfacts:

  • Der Digital Operational Resilience Act (DORA) zwingt Finanzinstitute, externe Dienstleister jederzeit wechseln zu können, ohne kritische oder wichtige Funktionen zu gefährden.
  • In vielen Instituten gibt es bislang kaum belastbare Pläne für diese Situation, dabei tritt der Ernstfall meist unangekündigt ein.
  • Ein einheitliches Rahmenwerk für den Ausstieg schafft Klarheit über Risiken, Kosten und Umsetzbarkeit für alle kritischen IKT-Drittdienstleister.

Cyberangriffe, geopolitische Spannungen oder die Insolvenz eines zentralen IKT-Drittdienstleisters: Die letzten Jahre haben gezeigt, wie verletzlich auch robuste Finanzinstitute in ihrem Geschäftsbetrieb sein können. Der Digital Operational Resilience Act (DORA) reagiert darauf mit einer klaren Botschaft: Digitale Belastbarkeit muss planbar sein, auch wenn ein IKT-Drittdienstleister ausfällt.

Die europäische Finanzaufsicht hat auf diesen Zusammenhang auch mit einer Liste der als kritisch einzustufenden IKT-Drittanbieter reagiert. Die Institute müssen aber selbst im Blick haben, welche Funktionen und Prozesse im Betrieb gemäß DORA als kritisch oder wichtig einzustufen sind.

Doch zwischen regulatorischem Anspruch und praktischer Umsetzung klafft oft eine Lücke. Das Auslagerungsmanagement ist einer der Knackpunkte bei der Umsetzung von DORA , so die Erfahrungen aus dem ersten Jahr der DORA-Umsetzung. Seit Anfang 2025 verlangt DORA von Finanzinstituten, sogenannte Ausstiegspläne (auch Exit-Pläne genannt) vorzuhalten – und das nicht nur für wesentliche Auslagerungen, sondern auch für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen.

Viele Finanzinstitute merken erst jetzt, dass ein funktionierender Ausstiegsplan nicht nur eine formale Pflicht ist – er ist ein wichtiger Baustein dafür, auch im Ernstfall die Geschäfte weiterführen zu können.

In jedem Fall stabil bleiben: Der Ausstieg kann geplant oder ad-hoc nötig sein

Ob geplanter Ausstieg oder Krisenfall: Professionelle Exit-Pläne decken beide Fälle ab und definieren Szenarien, die den geordneten Ausstieg ebenso ermöglichen wie das Bewältigen einer akuten Krise. Blicken wir zunächst auf die Unterschiede der beiden Szenarien:

Kontrollierte Beendigung: Das Unternehmen steuert den Ausstieg bewusst. Es bleibt ausreichend Zeit, um taktisch zu handeln – aufgrund von Kosten, Qualitätsproblemen oder einer strategischen Neuausrichtung.

Notfall-Beendigung: Der IKT-Drittdienstleister fällt plötzlich weg, zum Beispiel aufgrund einer Insolvenz, wegen eines Cybervorfalls oder geopolitischer Entwicklungen. Trotz Zeitdrucks muss alles reibungslos funktionieren. Der Exit-Plan dient hier als Sicherheitsnetz – sofort einsetzbar, handlungsorientiert und kontinuitätssichernd. Aufgrund der krisenhaften Situation sind auch die Notfallpläne des Business Continuity Management (BCM) zu berücksichtigen und die Kollegen einzubinden.

Ob geplant oder ad-hoc: Ausstiegspläne für die Zusammenarbeit mit IKT-Dienstleistern sollten darauf abzielen, das Ziel effektiv umzusetzen und dabei variabel zu sein. Einen strukturierten Ansatz dafür bietet das folgende Rahmenwerk aus drei Bausteinen.

Wie verändert sich die Rolle des Business Continuity Management? #45

Mit Stefanie Fekonja (KPMG) spricht Christian Rings (Münchener Hyp) bei uns im Podcast über Geschäftsfortführungs- und Notfallpläne, über Bedrohungslagen und Krisensituationen und die Zukunft des BCM in Zeiten von DORA.

Jetzt anhören.

Ein Rahmenwerk für belastbare Exit-Strategien nach DORA: drei Bausteine

1. Steuerung und Verantwortlichkeiten: den Exit-Plan verankern

Ein belastbarer Ausstiegsplan beginnt mit klaren Zuständigkeiten: Wer trägt die Verantwortung, wer entscheidet im Krisenfall, wer aktiviert den Plan? Die zentrale Steuerung (Governance) wird typischerweise im Zentralen Auslagerungsmanagement (ZAM), auch Third Party Risk Management (TPRM) genannt, verankert.

Damit auf einen Exit-Plan im Normalbetrieb ebenso wie im Ausnahmefall Verlass ist, sollten folgende drei Erfolgsfaktoren beachtet werden:

  • Regulatorische Klarheit: Einbindung von DORA, EBA-Guidelines und MaRisk-Anforderungen in das interne Regelwerk, um eventuelle Rückfragen für die Motivation hinter den Exit-Plänen beantworten zu können.
    ,,
  • Definierte Rollen und Eskalationspfade: Wer bewertet, wer eskaliert und wer kommuniziert? Wer das festlegt, schafft eindeutige Zuständigkeiten und stärkt das Verantwortungsgefühl für die einzelnen Prozessschritte.
    ,,
  • Verzahnung mit BCM und IT-Risikomanagement: Das Vorgehen im Fall des Ausstiegs wird mit diesen beiden Bereichen verzahnt. Das stellt sicher, dass Risiken systematisch adressiert und Geschäftsprozesse widerstandsfähig gestaltet werden

2. Operationalisierung und Dokumentation: Vergleichbarkeit schaffen

Die Ausarbeitung des konkreten Exit-Plans beginnt damit, die betroffenen Verträge sauber zu identifizieren und zu klassifizieren. Dabei ist zu klären, welche IKT-Dienstleistungen als wesentlich einzustufen sind und an welchen Stellen technische oder rechtliche Abhängigkeiten bestehen. Erst dann folgt die eigentliche Dokumentation – über standardisierte Templates, die in allen Organisationseinheiten identisch genutzt werden.

Als gute Praxis hat sich erwiesen, gemeinsame Kick-offs und Q&A-Sessions mit Vertragsverantwortlichen und dem ZAM/TPRM abzuhalten. Solche Termine helfen dabei, alle Beteiligten, insbesondere die Vertragsverantwortlichen, ins Boot zu holen und Missverständnisse frühzeitig zu vermeiden. Das spart am Ende Zeit und Nacharbeiten.

Im nächsten Schritt sollten die relevanten Vertragsunterlagen, Service-Level-Agreements und Schnittstellenübersichten zentral bereitgestellt werden – das schafft Transparenz und gewährleistet die Nachvollziehbarkeit. Um die Vergleichbarkeit und die Zusammenarbeit mit Prüfern zu erleichtern, ist ein einheitlicher Qualitätsrahmen für den ganzen Vorgang hilfreich. So wird aus einem dezentralen Prozess ein steuerbares, prüfbares System.

3. Integration und Szenario-Fähigkeit: Exit-Planung als Teil der Resilienz-Architektur

Ein Exit-Plan darf nicht für sich allein stehen, er muss in den Prozessen zur Stärkung der Resilienz aufgehen. Dafür sind folgende Schritte nötig:

  • Abstimmung mit dem BCM: Indem Exit- und Notfallmaßnahmen ineinandergreifen, wird Doppelarbeit vermieden, und die Handlungsfähigkeit in Krisensituationen wird sichergestellt.
    ,,
  • Einbindung der IT: Welche Systeme, Schnittstellen und Datenflüsse sind betroffen? Wer diese Frage beantwortet, identifiziert technische Risiken frühzeitig und gewährleistet, dass der Plan umsetzbar ist.
    ,,
  • Szenario-basierte Betrachtung: Sind es zum Beispiel geopolitische Ereignisse oder Cloud-Risiken, die einen Exit auslösen könnten? Wer das klärt, ermöglicht vorausschauendes Handeln und vermeidet Überraschungen im Ernstfall.

In der Praxis führt dieses integrierte Vorgehen zu einer echten Szenario-Fähigkeit, das heißt: Der Plan ist nicht nur da, sondern er funktioniert auch unter Druck.

Kontinuierliches Testen und Lernen: Stabilität als Prozess

Ein Exit-Plan ist nur so gut wie seine Umsetzbarkeit. DORA und die EBA fordern daher auch ausdrücklich regelmäßige Tests, um das Funktionieren in der Praxis sicherzustellen.

Beispiele dafür sind:

  • Schreibtischtests: Simulation eines konkreten Ausstiegsszenarios („Table-top exercise“). So werden Prozesse, Rollen und Eskalationspfade praxisnah geprüft und potenzielle Lücken frühzeitig erkannt.
    ,,
  • Testmigrationen: Praktische Probeläufe für Providerwechsel oder Re-Integration. Sie bestätigen die technische Umsetzbarkeit und zeigen eventuelle Herausforderungen auf.
    ,,
  • Lessons Learned Workshops: Ableitung von Verbesserungsmaßnahmen nach Simulationen – dadurch fließen Erfahrungen systematisch zurück in den Plan und erhöhen seine Wirksamkeit.

Dieses Plus macht den Unterschied, denn Exit-Planung wird so zu einem lernenden System: kontinuierlich verbessert, angepasst und gestärkt.

Eine Exit-Planung als Grundlage für strategische Handlungsfreiheit

Wie gut ist Ihr Unternehmen wirklich vorbereitet, wenn ein IKT-Dienstleister ausfällt? Mit einem getesteten Exit-Plan lässt sich diese Frage nicht nur theoretisch, sondern in der Praxis beantworten. Ein solcher Exit-Plan ist kein Papiertiger, sondern ein Ausdruck organisatorischer Reife.

Finanzunternehmen, die sich vorbereiten, gewinnen nicht nur Compliance-Sicherheit, sondern strategische Handlungsfreiheit. Aus regulatorischer Pflicht wird ein Wettbewerbsvorteil: Resilienz mit Substanz.

Dieser Text entstand unter Mitarbeit von Matthias Greeß.

Das könnte Sie auch interessieren

Konfigurationsdatenbank, CMDB, KI-Systeme
Cloud und Cyber Security

KI-Systeme sicher und DORA-konform in der Konfigurationsdatenbank steuern

17.02.2026 | ca. 4 Minuten Lesezeit

Wie Finanzinstitute KI‑Systeme lebenszyklusorientiert in der CMDB abbilden.

Axel Luckhardt
Axel Luckhardt
Lars Laakmann
Lars Laakmann
Maximilian Hartmann
Maximilian Hartmann
Geschäftsfrau gibt Handschlag und lächelt dabei
Finance und Risk

Wie Institute systematisch hunderte IKT-Verträge an DORA anpassen

16.10.2025 | ca. 3 Minuten Lesezeit

In drei Phasen zu erfolgreichen Vertragsverhandlungen

Matthias Lüger
Matthias Lüger
Luca di Benedetto
Luca di Benedetto
Matthias Greeß
Matthias Greeß
DORA zwingt Finanzunternehmen zum gemeinsamen Blick auf Risiken
Regulatorik und Compliance

DORA zwingt Finanzunternehmen zum gemeinsamen Blick auf Risiken

03.05.2023 | ca. 3 Minuten Lesezeit

Gedanken zu einer Governance nach DORA

Julian Dersch
Julian Dersch
Nicolas Täuber
Nicolas Täuber
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.