17.07.2025
München, Deutschland/Wien, Österreich – 17. Juli 2025 – Mit Inkrafttreten der EU-Verordnung zur digitalen operationellen Resilienz (DORA) Mitte Januar 2025 stehen Finanzinstitute unter Zugzwang: Sie müssen ihre IT-Sicherheit aufgrund der herrschenden Gefahrenlage entlang eines Katalogs an Maßnahmen auf einen zeitgemäßen Stand der Technik bringen. Eine aktuelle Studie von Veeam Software, dem weltweit führenden Anbieter für Datenresilienz nach Marktanteil, hat bei betroffenen Organisationen den Status Quo bei der Umsetzung abgefragt. Darin zeigt sich: Eine Mehrheit der deutschen Finanzdienstleister hält die hauseigene Resilienz noch nicht für ausreichend. 95 % der über 100 befragten deutschen Unternehmen sehen noch Verbesserungsbedarf, um die Anforderungen zu erfüllen.
Veeam und Censuswide fragten zudem exemplarisch eine Liste von neun Maßnahmen ab, die DORA vorschreibt, und wollte von den Befragten wissen, wie leicht oder schwer ihren Unternehmen die Umsetzung fiel. Es zeigte sich: Im Durchschnitt haben 28 % der Befragten diese Maßnahmen noch gar nicht implementiert.
Die von Censuswide im Juni 2025 durchgeführte Studie unter IT- und Compliance-Entscheidern bei Banken und Finanzdienstleistern in Deutschland, Frankreich, dem Vereinigten Königreich und den Niederlanden macht zudem deutlich: Obwohl die Länder in vielen Punkten auf einem ähnlichen Stand sind, unterscheidet sich Deutschland in einigen Aspekten von anderen europäischen Märkten – vor allem bei der schleppenden Umsetzung bestimmter Kernanforderungen und der empfundenen Belastung.
DORA als Priorität – aber noch viele Baustellen
Die große Mehrheit der deutschen Befragten bestätigt, dass DORA inzwischen hohe strategische Bedeutung hat:
- 92 % sehen DORA heute als wichtigere Priorität als noch vor dem Stichtag am 17. Januar.
- 45 % nennen DORA sogar die wichtigste digitale Resilienz-Priorität für die nächsten 12 Monate – höher als in UK, Frankreich oder den Niederlanden.
Trotz dieser hohen Priorisierung kämpfen die Finanzinstitute weiterhin mit der Umsetzung:
- 35 % der deutschen Unternehmen haben Incident Reporting noch nicht implementiert – der höchste Wert im Ländervergleich (UK: 14 %, FR: 21 %, NL: 24 %)
- 27 % der deutschen Befragten hängen bei der Etablierung von Recovery- und Kontinuitätstests noch hinterher(UK: 15 %, FR: 22 %, NL: 30 %)
- Ähnlich kritisch: 28 % haben noch keine digitalen Resilienztests durchgeführt (UK: 15 %, FR: 22 %, NL: 25 %)
- 25 % der Befragten aus Deutschland fehlen noch Integritätsprüfungen der Backups und eine sichere Datenwiederherstellung (UK: 14 %, FR: 20 %, NL: 24 %)
Ein weiterer bedenklicher Aspekt: Diese Daten repräsentieren die Antwortmöglichkeit, dass die Maßnahmen noch nicht implementiert sind. Zu den obigen Zahlen können jedoch für jedes Land etwa ein bis drei Prozentpunkte addiert werden, wenn man Befragte einbezieht, die sogar angaben, dass die Umsetzung der jeweiligen Maßnahmen noch nicht mal geplant ist.
Deutsche Banken spüren Begleiterscheinungen von DORA stark
Befragte aus Deutschland berichten häufig von negativen Begleiterscheinungen bei der Umsetzung der DORA-Maßnahmen. Sie sind mit diesen jedoch nicht allein, wie der Vergleich zeigt:
- 43 % empfinden eine gestiegene Belastung und Stress in ihren Teams – der zweithöchste Wert unter den befragten Ländern (UK: 40 %, FR: 35 %, NL: 46 %)
- 38 % sehen höhere Kosten, die von ihren ICT-Dienstleistern aufgrund von DORA an sie weitergegeben werden (UK: 37 %, FR: 38 %, NL: 35 %)
- Auch die transparente Einsicht in die eigene Resilienz wird kritisch gesehen: 39 % der deutschen Unternehmen sagen, sie brauchen „signifikante Verbesserungen“, da sie nur begrenzte Einblicke in ihre Resilienz haben (UK: 32 %, FR: 44 %, NL: 56 %)
Third-Party Oversight und knappe Budgets sind Stolpersteine
Ein besonderes Problem stellt für deutsche Unternehmen das Management von Drittanbietern dar: Obwohl „Third-Party Oversight“, (sprich der Domino-Effekt von IT-Sicherheitslücken bei Geschäftspartnern, die sich auf andere/das eigene Unternehmen auswirken) von nur 20 % noch nicht implementiert ist, betrachten 29 % diese Anforderung als besonders schwierig umzusetzen. Die Ursachen könnten in der fehlenden Transparenz über die komplexen Lieferketten liegen.
Auch im Bereich Finanzierung sieht es in den Börsen einiger deutscher Finanzdienstleister knapp aus: Fast 30 % der Befragten empfinden die Umsetzung der DORA-Maßnahmen mit dem bereitgestellten Geld als herausfordernd. Die gute Nachricht jedoch: Für 50 % der Befragten sind die Maßnahmen mit den existierenden Ressourcen „leicht implementierbar“.
Matthias Frühauf, Regional Vice President EMEA Central bei Veeam, ordnet die Ergebnisse ein:
„Es stimmt mich zuversichtlich, dass DORA in Deutschland hohe Priorität genießt und auch, dass einem Großteil der Befragten das Geld für die Umsetzung mehr als ausreicht. Trotzdem zeigt sich, dass viele Unternehmen noch mit grundlegenden Anforderungen kämpfen. DORA fordert Unternehmen heraus, ihre Datenresilienz kontinuierlich zu verbessern, und Deutschland spürt diese Belastung stark“, so Frühauf. „Es jetzt als tröstend zu empfinden, dass es anderen Finanzdienstleistern in Europa ähnlich geht, wäre jedoch angesichts der heutigen Gefahrenlage absurd. Denn die Ergebnisse der Umfrage sollten vielmehr dazu motivieren, als gutes Beispiel voranzugehen. Am Ende des Tages geht es nur um eins: Sensible Kundendaten vor Cyberkriminellen zu schützen - vor allem im Finanzsektor. Und das klappt nur, wenn man alle zur Verfügung stehenden Mittel moderner IT-Sicherheit und Datenresilienz ausschöpft und kompromisslos umsetzt.“
Wie Veeam auf dem Weg zur Datenresilienz untersützt
Als Reaktion auf den wachsenden Bedarf an strukturierten Resilienzstrategien haben Veeam und McKinsey Anfang dieses Jahres das branchenweit erste Data Resilience Maturity Model (DRMM) vorgestellt. Das Veeam DRMM basiert auf umfangreichen Untersuchungen und Erkenntnissen von über 500 Führungskräften aus den Bereichen IT, Sicherheit und Betrieb und wurde durch reale Kundenergebnisse validiert. Dieses Framework ermöglicht es Unternehmen, ihre Datenresilienz mithilfe eines funktionsübergreifenden Ansatzes zu bewerten, der IT, Sicherheit und Compliance in einer einheitlichen Strategie integriert. Es bietet einen klaren Fahrplan zur Verbesserung der Resilienz und zur Einhaltung von Vorschriften wie DORA.
Über die Veeam DORA Confidence Survey
Censuswide hat diese Umfrage im Auftrag von Veeam zwischen dem 5. und 11. Juni 2025 durchgeführt. An der Umfrage nahmen 404 leitende IT-Entscheidungsträger/Compliance-Verantwortliche von Finanzdienstleistungsunternehmen/Banken mit mehr als 500 Mitarbeitern in Großbritannien, Frankreich, Deutschland und den Niederlanden teil, davon 104 aus Deutschland. Obwohl Großbritannien kein EU-Mitgliedstaat ist, wurde es aufgrund seiner bedeutenden Geschäftsbeziehungen zu EU-Ländern, die unter die DORA fallen, in die Umfrage einbezogen. Ein zusätzliches Kriterium stellte sicher, dass alle Befragten aus Großbritannien für Unternehmen tätig waren, die derzeit unter die DORA fallen. Die Studie war national repräsentativ.
---
Die Umfrageergebenisse für den gesamten EMEA-Raum finden Sie hier:
https://www.veeam.com/company/press-release/96-percent-of-emea-financial-services-organizations-believe-they-need-to-improve-their-resilience-to-meet-dora-requirements.html
Über Veeam SoftwareVeeam®, der weltweite Marktführer im Bereich Data Resilience, ist der Meinung, dass jedes Unternehmen in der Lage sein sollte, nach einer Störung mit dem Vertrauen und der Kontrolle über alle Daten weiterzumachen, wann und wo auch immer sie benötigt werden. Veeam nennt dies absolute Ausfallsicherheit, und wir sind fokussiert, innovative Wege zu entwickeln, um unseren Kunden zu helfen, dies zu erreichen.
Die Lösungen von Veeam wurden speziell für die Ausfallsicherheit von Daten entwickelt und umfassen Datensicherung, Datenwiederherstellung, Datenfreiheit, Datensicherheit und Datenintelligenz. Mit Veeam haben IT- und Sicherheitsverantwortliche die Gewissheit, dass ihre Anwendungen und Daten in ihren Cloud-, virtuellen, physischen, SaaS- und Kubernetes-Umgebungen geschützt und immer verfügbar sind.
Mit Hauptsitz in Seattle und Niederlassungen in mehr als 30 Ländern schützt Veeam weltweit über 550.000 Kunden, darunter 67 Prozent der Global 2000, die sich auf Veeam verlassen, um ihre Unternehmen am Laufen zu halten. Absolute Ausfallsicherheit beginnt mit Veeam. Erfahren Sie mehr unter
www.veeam.com oder folgen Sie Veeam auf LinkedIn
@veeam-software und X
@veeam.