Kryptografische Resilienz: DORA macht sichere Zertifikate zur Pflicht

Kryptografische Resilienz: DORA macht sichere Zertifikate zur Pflicht

Zertifikatsregister wird zur Schlüsselkomponente der Cybersicherheit in Finanzinstituten

veröffentlicht am 29.07.2025 | Lesezeit: ca. 5 Minuten
Julian Krautwald
Julian Krautwald
Daniel Schulz-Sembten
Daniel Schulz-Sembten
Pablo Schmücker
Pablo Schmücker

Keyfacts:

  • Kryptografische Resilienz beschreibt die Fähigkeit, kryptografische Verfahren auch in einer sich wandelnden Bedrohungslandschaft dauerhaft sicher, verfügbar und anpassbar zu gestalten.
  • Mit der EU-Verordnung DORA wird die sichere Verwaltung kryptografischer Assets zur regulatorischen Pflicht für Finanzunternehmen.
  • Ein zentrales Zertifikatsregister schafft Transparenz und Kontrolle über eingesetzte digitale Zertifikate – inklusive automatischer Überwachung und Warnung bei Ablauf.

Die fortschreitende Digitalisierung und die zunehmende Vernetzung von Finanzdienstleistern, zum Beispiel durch die Financial Data Access-Verordnung (FiDA), erhöhen das Risiko für Cyberangriffe und Systemausfälle. Ein zentraler Baustein zur Absicherung digitaler Prozesse sind kryptografische Algorithmen – also mathematische Verfahren zur Verschlüsselung, Authentifizierung und für die digitale Signatur. Der sichere Umgang mit kryptografischen Verfahren und deren Bestandteilen ist also von großer Bedeutung für Finanzinstitute, denn die Verfahren gewährleisten die Vertraulichkeit und Integrität von sensiblen Informationen.

Die EU-Verordnung DORA (Digital Operational Resilience Act) verpflichtet Finanzunternehmen dazu, ihre digitale Widerstandsfähigkeit zu stärken. Ziel ist es, sich wirksam gegen Cyberrisiken zu schützen, Angriffe aktiv abzuwehren und sich im Fall erfolgreicher Attacken rasch zu erholen. Dazu gehört auch die zuverlässige Verwaltung kryptografischer Assets wie digitaler Zertifikate, deren Verlust oder Fehlfunktion schwerwiegende Folgen haben kann.

Einsatz von Kryptografie in Finanzinstituten

Kryptografie ist heute in nahezu allen sicherheitsrelevanten IT-Systemen fest verankert. Sie schützt sensible Daten vor unbefugtem Zugriff und stellt sicher, dass Informationen nicht manipuliert werden können und nur autorisierte Parteien Zugriff auf geschützte Systeme erhalten.

Im Alltag von Finanzinstituten begegnet uns Kryptografie in vielen Formen: bei der Verschlüsselung von E-Mails oder gespeicherten Dateien, bei der Absicherung von Netzwerkverbindungen über HTTPS oder VPN, bei der Authentifizierung von Benutzer:innen über digitale Zertifikate oder beim Signieren von Transaktionen und Dokumenten.

Ein besonders wichtiger Anwendungsbereich ist die Verwaltung digitaler Identitäten. Digitale Zertifikate ermöglichen die eindeutige Zuordnung von Personen und IKT-Assets. Digitale Signaturen tragen zur Integrität von Daten bei, indem sie Manipulationen erschweren. Diese Vielzahl an Anwendungsfällen verdeutlicht, wie zentral Kryptografie für die Informationssicherheit von Banken und Co. geworden ist.

Kritische kryptografische Assets und ihre Risiken

Mit der zunehmenden Nutzung kryptografischer Technologien steigt auch die Zahl der kryptografischen Assets – also aller digitalen Objekte, die im Rahmen von Verschlüsselung, Authentifizierung oder Signatur verwendet werden. Dazu zählen vor allem:

Kryptografische Schlüssel

Kryptografische Schlüssel

Sie sind die Grundlage der Verschlüsselung – eine geheime Zeichenfolge, die zur Ver- und Entschlüsselung von Informationen verwendet wird.

Digitale Zertifikate

Digitale Zertifikate

Sie bestätigen die Identität eines Nutzers oder Systems. Sie basieren auf kryptografischen Schlüsseln und werden in der Regel von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.

Public Key Infrastructure (PKI)

Public Key Infrastructure (PKI)

Das organisatorische und technische System zur Erstellung, Verteilung und Verwaltung digitaler Zertifikate. Es bildet das Rückgrat für Vertrauen und Sicherheit in IT-Infrastrukturen.

Typische Risiken im Umgang mit diesen Assets sind:

Regulatorische Anforderungen durch DORA

Mit DORA gibt es neben der Kritikalität der beschriebenen Risiken nun auch einen regulatorischen Treiber, sich systematisch mit dem Thema auseinanderzusetzen. Die Verordnung verpflichtet Finanzunternehmen ausdrücklich dazu, kryptografische Assets systematisch zu verwalten und deren Sicherheit kontinuierlich zu gewährleisten.

Gemäß Artikel 9 sowie den dazugehörigen technischen Regulierungsstandards (RTS) – insbesondere Artikel 7, 12 und 15 – müssen Organisationen ein vollständiges, aktuelles Verzeichnis aller kryptografischen Zertifikate und deren Speichergeräte führen, sofern diese kritische oder wichtige Funktionen unterstützen.

Darüber hinaus fordert DORA ein umfassendes Lifecycle-Management kryptografischer Assets – von der Erstellung über die Nutzung bis zum Widerruf. Alle relevanten Vorgänge müssen nachvollziehbar dokumentiert werden. Diese Anforderungen stellen viele Unternehmen vor organisatorische und technische Herausforderungen, insbesondere beim Aufbau unternehmensweiter Transparenz in Bezug auf eingesetzte Schlüssel und Zertifikate und der Integration von PKI-Prozessen in bestehende Sicherheitsarchitekturen.

Das Zertifikatsregister als zentrales Steuerungselement

Ein entscheidender Baustein zur Erfüllung der DORA-Anforderungen ist die Einführung eines zentralen Zertifikatsregisters. Ein solches Register ermöglicht die zentrale Erfassung und Verwaltung aller digitalen Zertifikate innerhalb der Organisation. Es schafft Transparenz über deren Verwendungszwecke, Gültigkeitszeiträume, Aussteller und aktuelle Statusinformationen – ein essenzieller Schritt zur Risikominimierung.

Besonders relevant ist dabei die Möglichkeit zur automatischen Erkennung und Überwachung von Zertifikaten in der gesamten IT-Infrastruktur. Moderne Zertifikatsregister können durch die Integration von Discovery-Tools kontinuierlich neue oder geänderte Zertifikate erfassen, Laufzeiten überwachen und bei drohenden Ablaufdaten automatisch Warnmeldungen generieren. Auf diese Weise lassen sich Ausfälle durch abgelaufene Zertifikate proaktiv verhindern.

Außerdem bringt das Zertifikatsregister weitere Funktionalitäten mit sich, die compliance-relevant sind: Es ermöglicht die revisionssichere Dokumentation sämtlicher relevanter Informationen und stellt sicher, dass alle regulatorischen Anforderungen hinsichtlich Nachvollziehbarkeit und Aktualität erfüllt sind. Auch die Durchführung von Audits und internen Reviews wird damit erheblich erleichtert.

Umsetzung in der Praxis

Die Einführung eines umfassenden Kryptomanagements, dass die Anforderungen von DORA erfüllt, sollte gut geplant sein. Folgende Punkte gilt es dabei zu beachten:

  1. Reifegradanalyse durchführen
    Den aktuellen kryptografischen Stand im Unternehmen erfassen, mit den Soll-Anforderungen abgleichen und Handlungsbedarfe identifizieren
  2. Roadmap entwickeln
    Maßnahmen, Verantwortlichkeiten und Zeitpläne festlegen, um die Umsetzung strukturiert voranzutreiben
  3. Zertifikatsregister einführen und Richtlinien anpassen
    Ein zentrales Register für Zertifikate aufbauen und bestehende Kryptorichtlinien an die regulatorischen Vorgaben anpassen
  4. Lifecycle-Management etablieren
    Prozesse für die Verwaltung kryptografischer Assets über ihren gesamten Lebenszyklus definieren
  5. Regelmäßige Kryptoreviews durchführen
    Verfahren und Richtlinien regelmäßig auf Aktualität, Sicherheit und Compliance überprüfen

Die Anforderungen von DORA machen deutlich: Kryptografische Assets sind nicht länger ein rein technisches Thema, sondern ein zentraler Bestandteil der unternehmensweiten IT-Governance. Finanzunternehmen, die ihre Zertifikate, Schlüssel und kryptografischen Infrastrukturen systematisch verwalten, erhöhen ihre Sicherheit, Verfügbarkeit und regulatorische Konformität.

Die Einführung eines zentralen Zertifikatsregisters bildet dabei die Grundlage für mehr Transparenz, Effizienz und Resilienz im digitalen Zeitalter.

Das könnte Sie auch interessieren

Mann tippt am Computer
Datenmanagement und KI

Mit Low-Code zum Informationsregister: So gelingt die DORA-Compliance

Mit Low-Code zum Informationsregister: So gelingt die DORA-Compliance

28.05.2025 | ca. 4 Minuten Lesezeit

Von der Idee bis zur Umsetzung: Ein moderner Ansatz für nachhaltige IT-Compliance.

Peter Hertlein
Peter Hertlein
Nikolaj Paramentic
Nikolaj Paramentic
Jakob Nutz
Jakob Nutz
DORA zwingt Finanzunternehmen zum gemeinsamen Blick auf Risiken
Regulatorik und Compliance

DORA zwingt Finanzunternehmen zum gemeinsamen Blick auf Risiken

DORA: Risiken im Blick

03.05.2023 | ca. 3 Minuten Lesezeit

Gedanken zu einer Governance nach DORA

Julian Dersch
Julian Dersch
Nicolas Täuber
Nicolas Täuber
Digital Operational Resilience Act, DORA, Europa, Hochhaus mit EU-Flagge
Regulatorik und Compliance

DORA ist da: EU macht Tempo bei Cyber-Resilienz

EU macht Tempo mit DORA

19.01.2023 | ca. 6 Minuten Lesezeit

"Digital Operational Resilience Act" (DORA) ist in Kraft getreten

Vaike Metzger
Vaike Metzger
Nadine Schmitz
Nadine Schmitz
Peter Hertlein
Peter Hertlein
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.