DORA-Verordnung: Deutsche Banken rüsten digital auf
Deutsche Finanzinstitute stemmen doppelte Herausforderung: EU-weite Cybersicherheitsstandards nach DORA und Echtzeit-Zahlungen mit Namensprüfung treffen auf KI-gestützte Cyberkriminalität mit Milliardenschäden.
Deutsche Banken durchleben 2025 die größte Sicherheitsrevolution seit einem Jahrzehnt. Zwei EU-Verordnungen – die Digital Operational Resilience Act (DORA) und die Instant Payments Regulation (IPR) – zwingen über 3.600 Finanzinstitute zu beispiellosen Umrüstungen. Gleichzeitig eskaliert die Bedrohung durch KI-gestützte Cyberkriminalität.
Die neue Realität trifft das deutsche Bankenwesen mit voller Wucht: Während Institute ihre IT-Systeme nach EU-Standard absichern müssen, entwickeln Kriminelle mit künstlicher Intelligenz immer raffiniertere Angriffsmethoden. Diese doppelte Herausforderung verändert fundamental, wie Millionen Deutsche künftig online banking betreiben.
BaFin übernimmt die Cyber-Kontrolle
Seit dem 17. Januar 2025 gilt DORA als einheitlicher EU-Rahmen für Cybersicherheit im Finanzsektor. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt nun mehr als 3.600 deutsche Finanzunternehmen – von Großbanken bis zu Investmentfirmen und kritischen IT-Dienstleistern.
DORA ersetzt schrittweise nationale Regelungen wie die Bankaufsichtlichen Anforderungen an die IT (BAIT), um Doppelstrukturen zu vermeiden. Die Kernelemente sind weitreichend: Institute müssen ihre gesamte IT-Infrastruktur gegen Störungen und Bedrohungen wappnen. Besonders brisant: Alle größeren IT-Vorfälle sind künftig direkt an die BaFin zu melden.
Eine Revolution bringt die neue EU-weite Aufsicht über kritische IT-Drittanbieter wie Cloud-Plattformen. Erstmals unterliegen auch externe Dienstleister direkten regulatorischen Anforderungen – ein Novum, das die Konzentration auf wenige große Anbieter wie Microsoft oder Amazon Web Services adressiert.
Echtzeit-Zahlungen mit Namenscheck
Parallel revolutioniert die Instant Payments Regulation das deutsche Zahlungswesen. Seit dem 9. Januar 2025 müssen alle deutschen Banken rund um die Uhr Echtzeit-Überweisungen empfangen können. Der nächste Meilenstein folgt bereits am 9. Oktober: Dann müssen sie auch das Senden von Sofortüberweisungen anbieten.
Das Herzstück der neuen Sicherheit ist der „Verification of Payee“-Service: Ab Oktober prüfen Banken zwingend, ob der Empfängername zur angegebenen IBAN passt. Bei Abweichungen warnt das System die Kunden – ein direkter Schutz vor Betrug und Fehlüberweisungen.
Anzeige: Passend zum Thema Online-Banking-Sicherheit: Viele Android-Nutzer übersehen entscheidende Schutzschritte. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Maßnahmen, mit denen Sie Ihr Smartphone für Banking, WhatsApp, PayPal und Online-Shopping absichern – ohne teure Zusatz-Apps, Schritt für Schritt. Jetzt das kostenlose Android‑Sicherheitspaket sichern
Diese Maßnahme zielt auf das wachsende Problem der „Authorized Push Payment“-Betrügereien, bei denen Opfer manipuliert werden, Geld an Kriminelle zu überweisen.
KI-Kriminalität kostet 178 Milliarden Euro
Der Regulierungsschub erfolgt vor dramatischem Hintergrund: Cyberangriffe verursachten 2024 laut Bitkom-Studie Schäden von 178,6 Milliarden Euro in der deutschen Wirtschaft. Die BaFin identifiziert Cyber-Vorfälle als Schlüsselrisiko für 2025.
Besonders alarmierend: Kriminelle nutzen zunehmend künstliche Intelligenz für hyperpersonalisierte Phishing-Kampagnen und Social Engineering. Deepfake-Technologie ermöglicht täuschend echte Stimmen- und Videoimitate von Geschäftsführern oder Vertrauenspersonen.
Neue Betrugsformen wie „Quishing“ – gefälschte QR-Codes zum Datendiebstahl – nehmen rasant zu. Die technologische Aufrüstung der Angreifer bedeutet: Während Banken höhere Sicherheitsmauern errichten, entwickeln Verbrecher gleichzeitig ausgefeiltere Umgehungsstrategien.
Anzeige: Übrigens: Quishing, Phishing und gefälschte App-Benachrichtigungen treffen vor allem Smartphones. Der Gratis-Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ zeigt leicht verständlich, wie Sie Ihre Daten und Ihr Online‑Banking zuverlässig schützen – inklusive Checklisten und praxiserprobter Einstellungen. Kostenlos herunterladen und Android jetzt absichern
Banken kämpfen an zwei Fronten
Deutsche Finanzinstitute stehen vor einer beispiellosen Doppelbelastung: Einerseits müssen sie Milliardeninvestitionen in Technologie und Personal stemmen, um DORA und IPR zu erfüllen. Andererseits bekämpfen sie Cyberkriminelle, die mit staatlicher Raffinesse operieren.
Die BaFin fokussiert sich verstärkt auf Systemrisiken durch die Abhängigkeit von wenigen großen IT-Anbietern. DORA soll genau diese Konzentrationsgefahr entschärfen. Der Erfolg hängt nicht nur von einzelnen Banken ab, sondern von der Stärke der gesamten digitalen Lieferkette.
Die Übergangsphase ist komplex und fehleranfällig – doch unvermeidbar für ein resilienteres Finanzsystem.
Ausblick: Neue Normalität im Dauerkampf
2025 wird als Wendejahr für Online-Banking-Sicherheit in Deutschland eingehen. Die vollständige IPR-Umsetzung im Oktober, insbesondere der Namenscheck bei Überweisungen, verspricht spürbare Verbesserungen für Verbraucher.
Ende 2026 verschwindet die nationale BAIT-Verordnung endgültig zugunsten der EU-weiten DORA-Standards. Die BaFin wird ihre Aufsicht über IT-Drittanbieter intensivieren und aus Vorfallsmeldungen ein umfassendes Lagebild der Cyber-Bedrohungen entwickeln.
Für Bankkunden bedeutet das eine Zukunft mit robusteren, standardisierten Schutzmaßnahmen. Doch das Katz-und-Maus-Spiel zwischen Finanzinstituten und Cyberkriminellen geht weiter – mit KI als Schlüsselwaffe auf beiden Seiten.
