Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Cyber-Resilienz

Von „Sind Sie geschützt?“ zu „Können Sie operieren?“ Warum Regulierungsbehörden Resilienz und nicht nur Kontrollen fordern

Raghu Nandakumara
Vizepräsident, Industriestrategie
Illumio Editorial
25Februar 2026
23 min. lesen
Porträtfoto von Phil Park
Phil Park, Leiter der Cybersicherheitsabteilung für Finanzdienstleistungen bei IBM

Jahrelang bereiteten sich Finanzinstitute auf aufsichtsrechtliche Prüfungen so vor, wie sich Studenten auf Prüfungen vorbereiten. Die Teams sammelten Dokumente, ordneten Kontrollen Frameworks zu und überprüften jeden Punkt auf der Liste.

Die Aufsichtsbehörden stellten eine einfache Frage: Sind Sie geschützt?

In meinem kürzlichen Gespräch mit Phil Park erschien mir diese Frage überholt.

Phil berät seit mehr als 25 Jahren Finanzinstitute in den Bereichen Cybersicherheit und regulatorische Risiken. Er arbeitete bereits in der Anfangszeit des Sarbanes-Oxley-Gesetzes mit Kunden zusammen und berät sie nun bei globalen Mandaten zur operativen Resilienz.  

In seiner jetzigen Funktion bei IBM unterstützt er große Banken in den USA, Europa und Asien bei der Bewältigung des aufsichtsrechtlichen Drucks und der Risiken neuer Technologien.

Er hat beobachtet, wie sich die Erwartungen im Laufe der Zeit verändert haben. Er glaubt, dass wir jetzt an einem klaren Wendepunkt stehen.

Globale Aufsichtsbehörden konzentrieren sich nicht mehr nur auf Kontrollprüfungen. Sie erwarten operative Stabilität. Die Aufsichtsbehörden begnügen sich nicht mit dem Nachweis, dass Richtlinien und Schutzmaßnahmen existieren. Sie wollen Beweise dafür, dass Sie Störungen bewältigen, Zwischenfälle eindämmen und kritische Dienste auch unter Belastung aufrechterhalten können.

Wie Phil erklärte, bedeutet Erfolg nicht mehr, ein Audit zu bestehen. Das bedeutet, dass Ihr Unternehmen auch dann weiterläuft, wenn die Kontrollmechanismen versagen.

Das Ende der Ära der Checklisten zur Einhaltung von Vorschriften

Vor zehn oder fünfzehn Jahren konzentrierten sich die meisten Cybersicherheits- und operationellen Risikoprogramme auf die Abdeckung von Kontrollmaßnahmen. Wenn Ihr Team über vorhandene Sicherheitsvorkehrungen, klare Richtlinien und ein ausgereiftes Programm verfügte, betrachteten die Aufsichtsbehörden Sie als gut vorbereitet.

Im Laufe der Zeit änderte sich dieser Standard. Die Aufsichtsbehörden beobachteten reale Vorfälle und stellten fest, dass papierbasierte Kontrollen unter Druck oft versagen.

„Die größte Veränderung bestand darin, dass sich die Frage von ‚Sind wir geschützt?‘ hin zu ‚Können wir auch in Krisenzeiten weiterarbeiten?‘ verschoben hat“, sagte Phil.

Angreifer attackieren den Finanzsektor mit Ransomware, Ausfällen von Drittanbietern, Fehlkonfigurationen in der Cloud und Kompromittierungen der Lieferkette. Viele der betroffenen Institutionen erfüllten die Compliance-Anforderungen. Sie haben die Prüfungen bestanden und alle Kriterien erfüllt.

Die Dienste funktionierten weiterhin nicht. Die Kunden spürten die Beeinträchtigung, und die Aktionäre verloren das Vertrauen.

Diese Ereignisse veränderten die regulatorischen Erwartungen. Rahmenwerke wie der Digital Operational Resilience Act (DORA) gehen davon aus, dass Cybervorfälle passieren werden. Die Regulierungsbehörden fragen nicht mehr, ob man Angriffe theoretisch verhindern kann. Sie fragen, ob Sie Ihre Widerstandsfähigkeit in der Praxis unter Beweis stellen können.

Phil beschrieb diesen Wandel als einen Übergang von statischer zu dynamischer Bewertung. Die Regulierungsbehörden blicken heute über das bloße Vorhandensein von Kontrollen hinaus. Sie untersuchen, wie sich Kontrollmechanismen in realen Szenarien bewähren und wie Führungskräfte reagieren, wenn Systeme versagen.

Wenn es zu Umbrüchen kommt, ist die Technologie nicht der einzige Prüfstein.

Phil stellte eines klar. Moderne Regulierungsbehörden blicken über technische Kontrollen hinaus.

„Die Regulierungsbehörden achten weniger auf Perfektion, weil sie wissen, dass Perfektion unmöglich ist“, sagte Phil. „Was ihnen wichtiger ist, ist die Qualität der Reaktion, wenn etwas schiefgeht.“

Wenn ein Vorfall eintritt, untersuchen die Aufsichtsbehörden Ihre Reaktion in Echtzeit. Sie untersuchen:

  • Wie schnell und klar Teams das Problem eskalieren
  • Ob sich die Führungskräfte bei wichtigen Entscheidungen einig sind
  • Ob Silos die Koordination verlangsamen
  • Wie gut Sie mit Aufsichtsbehörden, Kunden und dem Vorstand kommunizieren.
  • Ob Sie kritische Serviceabhängigkeiten verstehen

Resilienz beruht nicht allein auf Firewalls oder Erkennungstools. Das zeigt sich darin, wie Ihr Unternehmen während eines Sicherheitsvorfalls reagiert.

Möglicherweise verfügen Sie über einen detaillierten Notfallplan. Doch wenn eine Person die Eskalation kontrolliert, entstehen schnell Lücken.  

Die Probleme verschärfen sich, wenn Rechts- und Sicherheitsteams während einer Krise aneinandergeraten. Verzögerungen nehmen zu, wenn Teams über Schweregrade streiten, anstatt zu handeln.

Die Regulierungsbehörden erwarten keine Perfektion mehr. Sie wissen, dass es zu Sicherheitslücken kommen wird. Bewertet wird, wie gut Sie unter Stress funktionieren.

Die regulatorische Kontrolle verlagert sich von Kontrollmaßnahmen hin zu Ergebnissen.

In der früheren, von Konformität geprägten Ära hatte die Erzählung Gewicht. Wenn Sie Ihre Sicherheitsmaßnahmen klar beschrieben und eine strukturierte Unternehmensführung aufgezeigt hatten, waren die Aufsichtsbehörden oft zufrieden.

Dieser Standard hat sich geändert.

„Die größte Diskrepanz sehe ich darin, dass sich viele Unternehmen auf die Rahmenwerke und Heatmaps verlassen, während die Aufsichtsbehörden konkrete Maßnahmen und Ergebnisse sehen wollen“, sagte Phil.

Er betonte, dass die Beweislage mittlerweile wichtiger sei als die Erklärung. Die Vorgesetzten bitten Sie um konkrete Nachweise, darunter:

  • Ergebnisse aus Szenariotests und Simulationsübungen
  • Aufzeichnungen über vergangene Störungen und die von Ihnen ergriffenen Maßnahmen zu deren Behebung
  • Der Beweis, dass die Failover-Prozesse wie geplant funktionieren
  • Echtzeit-Rückverfolgbarkeit zwischen kritischen Diensten und den Systemen, die sie unterstützen

Man kann nicht mehr behaupten, dass ein Plan existiert. Sie müssen nachweisen, dass Sie es getestet und auf Grundlage der gewonnenen Erkenntnisse verbessert haben.

Realistische Übungen decken in der Praxis viele Schwächen in der Resilienz auf. Annahmen sind falsch. Service-Maps weisen Lücken in Bezug auf wichtige Abhängigkeiten auf. Eskalationspfade offenbaren Entscheidungsengpässe.

Die Aufsichtsbehörden sehen diese Erkenntnisse oft als Zeichen von Reife, nicht von Schwäche. Sie erwarten von Ihnen, dass Sie Schwächen eingestehen und diese schnell beheben.

Die Meldepflichten werden immer umfangreicher und schneller.

Neben dem Aufbau operativer Widerstandsfähigkeit müssen Sie Sicherheitsvorfälle melden.

In den USA unterliegen Finanzinstitute der Aufsicht der Bundesbankenaufsicht, den staatlichen Behörden, den Offenlegungsvorschriften der Securities and Exchange Commission (SEC) und den Branchenrichtlinien. In Europa setzt DORA strenge Fristen für die Meldung schwerwiegender Vorfälle im Bereich der Informations- und Kommunikationstechnologie (IKT).

Man kann nicht erst auf eine Krise warten, um seine Reaktion zu planen. Sie müssen das Reporting in Governance-Prozesse, Arbeitsabläufe und Eskalationswege integrieren, bevor ein Vorfall eintritt.

Organisationen, die dies gut handhaben, erstellen klare Berichtsrichtlinien. Sie testen Kommunikationsprotokolle und sorgen dafür, dass die Dokumentation leicht zugänglich ist. Sie koordinieren sich verzögerungsfrei und ohne Verwirrung zwischen den Teams für Recht, Cybersicherheit, Compliance und Risikomanagement.

Man kann nicht mitten in einem laufenden Gefecht Fakten sammeln und auf deren Richtigkeit hoffen. Die Aufsichtsbehörden erwarten schnelle, konsistente und genaue Berichte. Sie erwarten außerdem, dass Ihre Kontoführung über verschiedene Zuständigkeitsbereiche hinweg einheitlich bleibt, selbst wenn mehrere Behörden denselben Vorfall überprüfen.

KI: Neue Werkzeuge, dieselbe Disziplin

Künstliche Intelligenz birgt neue Risiken für moderne Umgebungen.

Bedrohungsakteure nutzen KI bereits, um überzeugendere Social-Engineering-Kampagnen zu erstellen und Malware in großem Umfang zu automatisieren. Gleichzeitig integrieren viele Organisationen KI-Agenten in kritische Geschäftsprozesse.

Phil warnte davor, dass die zentralen Sicherheitsherausforderungen unverändert bleiben. Viele Unternehmen setzen KI-Plattformen ein, ohne klare Governance, starke Identitätskontrollen oder vollständige Transparenz hinsichtlich Assets und Datenflüssen.

KI ersetzt keine soliden Sicherheitsgrundlagen. In vielen Fällen verstärkt es schwache Kontrollmechanismen und unklare Eigentumsverhältnisse.

Die rasante Einführung von KI macht grundlegende betriebliche Disziplin wichtiger denn je.

Was bedeutet „bestanden“ heutzutage überhaupt noch, um die Compliance-Anforderungen der Finanzbranche zu erfüllen?

Diese neue Ära der Aufsicht bringt eine harte Wahrheit mit sich. Es gibt keine klare Ziellinie.

In einem auf Checklisten basierenden Modell bedeutete Compliance, dass man die erforderlichen Aufgaben erledigte. Sie haben die Anforderungen erfüllt und sind weitergekommen.

In einem auf Resilienz basierenden Modell verschiebt sich der Erfolg. Das hängt davon ab, wie gut Sie unter realem Stress funktionieren.

Phil erklärte, dass Annahmen in Krisenzeiten oft nicht zutreffen. Ihre wahre Einsatzbereitschaft zeigt sich darin, wie schnell und effektiv Ihr Team reagiert.

Wie Phil es ausdrückte: „Jeder hat einen Plan, bis man einen Schlag ins Gesicht bekommt.“

Heute definieren Regulierungsbehörden ein durchgehendes Verhalten, nicht Perfektion. Sie erwarten von Ihnen, dass Sie Schwächen eingestehen, praktische Abhilfepläne skizzieren und stetige Verbesserungen aufzeigen. Sie wollen Disziplin, die in die täglichen Abläufe integriert ist, keine Heldentaten in letzter Minute.

Vorgesetzte erwarten keine fehlerfreien Systeme. Sie erwarten ausgereifte Organisationen, die sich im Voraus vorbereiten, transparent agieren und Verantwortung übernehmen, wenn Lücken auftreten.

Cyberrisiken sind heute operative Modellrisiken

Dieser Wandel spiegelt eine größere Wahrheit wider. Cyberrisiken sind nicht mehr allein Sache der IT-Abteilung.

Viele Organisationen ordnen CISOs mittlerweile höher in der Hierarchie ein. Die Vorstände tragen auch die direkte Verantwortung für die Folgen von Cyberangriffen.

Die Regulierungsbehörden blicken über die Kontrollrahmen hinaus. Sie überprüfen Betriebsmodelle, Entscheidungsprozesse und wie Teams im gesamten Unternehmen mit Risiken umgehen.

Resilienz ist heute eine zentrale Geschäftskompetenz. Es prägt Ihre Planung, Ihre Investitionen und Ihre Reaktion auf Störungen.

Wer Cybersicherheit als isolierte technische Funktion betrachtet, wird in diesem Umfeld Schwierigkeiten haben.

Wer Resilienz in Führung, Tagesgeschäft, Lieferantenüberwachung und strategische Entscheidungen einbaut, wird gestärkt daraus hervorgehen. Sie werden besser auf behördliche Auflagen und reale Vorfälle vorbereitet sein.

Hören Sie sich die vollständige Folge von „The Segment: A Zero Trust Leadership Podcast“ an auf Apple Podcasts, Spotify, oder Unsere Website.

Raghu Nandakumara
Vizepräsident, Industriestrategie
Illumio Editorial
25Februar 2026
23 min. lesen
Banken & Finanzdienstleistungen
Einhaltung
Kontaktiere uns
Aktie

Verwandte Artikel

Warum die Grundlagen der Sicherheit der am meisten vernachlässigte Aspekt bei der Einführung einer Zero-Trust-Strategie sind
Cyber-Resilienz

Warum die Grundlagen der Sicherheit der am meisten vernachlässigte Aspekt bei der Einführung einer Zero-Trust-Strategie sind

Erfahren Sie, warum die Grundlagen der Sicherheit der am meisten vernachlässigte Aspekt von Zero Trust sind und wie die korrekte Umsetzung dieser Grundlagen darüber entscheidet, ob Sicherheitslücken außer Kontrolle geraten oder eingedämmt bleiben.

Mehr lesen
Cyber-Resilienz
CBEST-Themenbericht 2025: Was die Daten über die Cybersicherheit im Finanzdienstleistungssektor aussagen
Cyber-Resilienz

CBEST-Themenbericht 2025: Was die Daten über die Cybersicherheit im Finanzdienstleistungssektor aussagen

Erfahren Sie, wie CBEST 2025 versteckte Cyber-Schwachstellen in britischen Finanzinstituten aufdeckt und warum die Eindämmung von Sicherheitsverletzungen so wichtig ist, wenn Angreifer sich nach einem Angriff frei bewegen können.

Mehr lesen
Banken & Finanzdienstleistungen
Neuer FinCEN-Ransomware-Bericht: Banken müssen das Wesentlichkeitsrisiko eindämmen
Eindämmung von Ransomware

Neuer FinCEN-Ransomware-Bericht: Banken müssen das Wesentlichkeitsrisiko eindämmen

Entdecken Sie den neuesten Ransomware-Bericht von FinCEN und erfahren Sie, warum Banken Wesentlichkeitsrisiken managen und Maßnahmen zur Eindämmung von Sicherheitsvorfällen einsetzen müssen, um Offenlegung und negative Folgen zu verhindern.

Mehr lesen
Banken & Finanzdienstleistungen
Eindämmung von Ransomware
Was Common Criteria ist und wie man sich zertifizieren lässt
Cyber-Resilienz

Was Common Criteria ist und wie man sich zertifizieren lässt

Illumio Core hat eine weitere wichtige staatliche Sicherheitszertifizierung namens Common Criteria erhalten. Illumio war der erste Anbieter von Unternehmenssicherheit, der von der National Information Assurance Partnership (NIAP) zertifiziert wurde

Mehr lesen
Keine Artikel gefunden.
Mehr Cyberangriffe, Lähmung von Zero-Trust-Analysen und Cloud-Sicherheit
Cyber-Resilienz

Mehr Cyberangriffe, Lähmung von Zero-Trust-Analysen und Cloud-Sicherheit

Andrew Rubin, CEO und Mitbegründer von Illumio, spricht über die Lähmung der Arbeitsbelastung und darüber, wie traditionelle Sicherheitstools den heutigen katastrophalen Angriffen nicht standhalten können

Mehr lesen
Cloud-Sicherheit
Reaktion auf Vorfälle
So sichern Sie sich vor der neuen Sicherheitslücke TCP Port 135
Cyber-Resilienz

So sichern Sie sich vor der neuen Sicherheitslücke TCP Port 135

Eine Möglichkeit, den TCP-Port 135 auszunutzen, um Remote-Befehle auszuführen, führte zu einer Schwachstelle an Port 445, die es erforderlich machte, Port 135 zu sichern, um die TCP-Sicherheit zu gewährleisten.

Mehr lesen
Keine Artikel gefunden.

Erleben Sie Illumio Insights noch heute

Erfahren Sie, wie KI-gestützte Beobachtbarkeit Ihnen hilft, Gefahren schneller zu erkennen, zu verstehen und einzudämmen.
Testen Sie Illumio Insights