DORA: EU verschärft Cyberschutz für Banken drastisch

Die neuen EU-Regeln greifen tief in die digitale Infrastruktur der Finanzbranche ein. Hintergrund: Banken werden zur Hauptzielscheibe raffinierter Cyberattacken.

Das Digital Operational Resilience Act (DORA) ist seit Januar 2025 in Kraft und markiert den bislang umfassendsten Regulierungseingriff in die IT-Sicherheit europäischer Banken. Parallel dazu bereitet Brüssel mit der Payment Services Directive 3 (PSD3) die nächste Verschärfung vor.

Der Zeitpunkt ist kein Zufall: Europas Finanzinstitute stehen unter digitalem Dauerbeschuss.

Banken im Fadenkreuz: Fast jeder zweite Angriff

Die Zahlen der EU-Cybersicherheitsbehörde ENISA sprechen eine klare Sprache: 46 Prozent aller gemeldeten Cyberangriffe auf Finanzdienstleister treffen Banken. Von Januar 2023 bis Juni 2024 analysierte ENISA 488 öffentlich bekannte Vorfälle.

Die Angriffsmuster werden dabei immer raffinierter. DDoS-Attacken, Datenpannen, Social Engineering und Ransomware bilden das Arsenal der Cyberkriminellen. Besonders perfide: KI-gestützte Phishing-Kampagnen, die selbst Experten täuschen können.

Warum ist das Problem so brisant? Die Europäische Zentralbank stuft Cybersicherheit mittlerweile als oberste Priorität ein.

Neue Betrugsmasche: Fake-Apps täuschen Millionen

Cyberkriminelle setzen auf immer ausgefeiltere Methoden. In Tschechien, Ungarn und Georgien kursieren Progressive Web Applications (PWAs), die Banking-Apps perfekt nachahmen. Diese Fake-Anwendungen umgehen App-Store-Controls und infizieren sowohl Android- als auch iOS-Geräte.

Eine andere Betrugsmasche nutzt Schwachstellen in Industrie-Routern: SMS-Phishing-Kampagnen geben sich als Behörden oder Postdienste aus und erreichen Nutzer in Schweden, Italien und Belgien.

Der Trend zur Industrialisierung zeigt sich in Phishing-as-a-Service-Kits – schlüsselfertige Betrugslösungen für Kriminelle ohne technische Expertise.

Anzeige: Übrigens: Wer sich vor Fake-Banking-Apps, KI-Phishing und SMS-Betrug schützen möchte, findet schnelle Hilfe im kostenlosen Sicherheitspaket für Android. Es führt in einfachen Schritten durch die 5 wichtigsten Schutzmaßnahmen – ohne teure Zusatz-Apps und ideal für WhatsApp, Online-Shopping, PayPal und Online-Banking. Stärken Sie jetzt den Schutz Ihres Smartphones, bevor die nächste Betrugswelle anrollt. Kostenlosen Android-Sicherheitsratgeber herunterladen

DORA setzt neue Maßstäbe

Seit dem 17. Januar 2025 gelten die DORA-Regeln vollumfänglich. Die Verordnung erfasst 20 verschiedene Arten von Finanzunternehmen und harmonisiert erstmals europaweit die Standards für digitale Widerstandsfähigkeit.

Die Kernpfeiler von DORA:
– Umfassende IT-Risikomanagement-Systeme
– Meldepflicht für schwerwiegende IT-Störungen
– Regelmäßige digitale Belastungstests
– Strenge Kontrolle von IT-Dienstleistern und Cloud-Anbietern

Was macht DORA so durchschlagend? Anders als frühere Richtlinien schafft die Verordnung einen bindenden, einheitlichen Rahmen für alle Marktteilnehmer.

PSD3: Die nächste Verschärfungswelle

Die EU plant bereits den nächsten Regulierungsschritt. PSD3 und die neue Payment Services Regulation (PSR) sollen dem Zahlungsbetrug den Kampf ansagen.

Geplante Neuerungen:
– Informationsaustausch zwischen Zahlungsdienstleistern bei Betrugsverdacht
– Verschärfte Authentifizierungsregeln für Kunden
– Erweiterte Erstattungsrechte für Betrugsopfer
– Permission Dashboards für bessere Datenkontrolle

Warum diese Eile? Sofortzahlungen zeigen deutlich höhere Betrugsraten als herkömmliche Überweisungen, wie die Europäische Bankenaufsicht EBA wiederholt festgestellt hat.

Erfolg gibt den Regulierern recht

Die starke Kundenauthentifizierung (SCA) aus der PSD2-Richtlinie zeigt bereits Wirkung. Gemeinsame Berichte von EBA und EZB bestätigen: SCA-geschützte Transaktionen weisen deutlich niedrigere Betrugsraten auf.

Schwachstellen bleiben jedoch bei grenzüberschreitenden Zahlungen in Regionen ohne SCA-Pflicht. Hier sollen DORA und PSR die Lücken schließen.

Banken vor Milliardeninvestitionen

Die DORA-Umsetzung erfordert massive Investitionen in digitale Infrastruktur, Mitarbeitertraining und Drittanbieter-Risikomanagement. Bis Anfang 2025 müssen Finanzunternehmen Register für IT-Drittanbieter-Vereinbarungen erstellen.

Für PSD3 und PSR laufen die Trilog-Verhandlungen zwischen Parlament, Rat und Kommission. Die Durchsetzung wird für 2026 oder 2027 erwartet.

Das Ziel ist klar: eine neue Grundlinie für Online-Banking-Sicherheit in einer zunehmend digitalisierten Finanzwelt.