DORA · Digital Operational Resilience Act · Finanzsektor

DORA-Pentest:
Resilienznachweis für den Finanzsektor

DORA gilt seit 17. Januar 2025 — die Übergangsfrist ist abgelaufen, Nachweise werden aktiv geprüft.

Seit Januar 2025 ist DORA in Kraft. Banken, Versicherungen, Zahlungsdienstleister und deren IT-Dienstleister müssen die digitale Betriebsstabilität regelmäßig technisch nachweisen. Unser Penetrationstest liefert genau diesen Nachweis — nach Art. 25 und 26 DORA, auditierbar und direkt verwendbar.

Jetzt DORA-Pentest anfragen Betroffene Unternehmen ansehen
Art. 25 & 26 DORA abgedeckt Bericht in 5 Werktagen Kostenloses Erstgespräch
Was DORA von euch fordert
Regelmäßige Sicherheitstests
Art. 25 DORA schreibt jährliche Tests der digitalen Betriebsstabilität vor — Penetrationstests sind das anerkannte Nachweismittel.
Dokumentierter Testnachweis
Euer Bericht muss Findings, Risikobewertungen und Maßnahmen enthalten — direkt verwendbar für BaFin-Audits und interne Compliance.
Lieferkette im Blick
DORA erstreckt sich auf kritische IT-Dienstleister. Auch als IT-Dienstleister einer Bank könnt ihr DORA-pflichtig sein.
Kein TLPT erforderlich
TLPT (Threat-Led Penetration Testing) gilt nur für systemrelevante Großbanken. Für alle anderen reicht ein strukturierter Pentest nach Art. 25 & 26.
Unser DORA-Pentest-Bericht ist für BaFin-Audits, interne Compliance-Nachweise und Geschäftsführungs-Reporting direkt verwendbar.
DORA erklärt

Was ist DORA und wen betrifft es?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten gilt. Sie verpflichtet Finanzunternehmen und deren kritische IT-Dienstleister, die digitale Betriebsstabilität systematisch zu testen und nachzuweisen. DORA ersetzt und vereinheitlicht die bisher fragmentierten nationalen Anforderungen — und hat damit direkten Einfluss auf über 22.000 Unternehmen allein in der EU.

DORA gilt seit 17. Januar 2025 — die Übergangsfrist ist abgelaufen, Nachweise werden aktiv geprüft.

Die Verordnung gilt direkt, ohne nationales Umsetzungsgesetz — BaFin und EZB prüfen die Einhaltung.

Auch IT-Dienstleister, Cloud-Anbieter und Rechenzentren können DORA-pflichtig sein, wenn sie kritische Funktionen für Finanzunternehmen erbringen.

Art. 25 vs. Art. 26 DORA

Welche DORA-Anforderung gilt für euch?

Merkmal Art. 25 DORA Art. 26 DORA (TLPT)
Zielgruppe Alle DORA-pflichtigen Unternehmen Systemrelevante Großinstitute
Testtyp Penetrationstest / VA TLPT (TIBER-EU-Framework)
Häufigkeit Jährlich Alle 3 Jahre
Unsere Leistung Vollständig abgedeckt Nicht unser Angebot
Aufwand Überschaubar, planbar Sehr hoch, akkreditiertes Team
Der überwiegende Teil des Marktes — Banken, Versicherungen, Zahlungsdienstleister, Fintechs, IT-Dienstleister — fällt unter Art. 25 DORA. Genau hier setzt unser Pentest an.
Wer ist betroffen?

DORA gilt für diese Unternehmen im Finanzsektor

DORA erfasst nahezu die gesamte Finanzbranche und deren IT-Dienstleister. Wenn euer Unternehmen in einem der folgenden Bereiche tätig ist, seid ihr sehr wahrscheinlich DORA-pflichtig.

🏦Banken & Kreditinstitute
🛡️Versicherungen & Rückversicherer
💳Zahlungsdienstleister
📈Wertpapierfirmen
💼Investmentfonds & Asset Manager
Krypto-Dienstleister (MiCA)
📱Fintechs & Neobanken
💻Kritische IT-Dienstleister
📊Börsen & Handelsplätze

Was droht bei fehlenden DORA-Nachweisen?

BaFin-Maßnahmen: Die BaFin kann bei fehlenden Nachweisen Auflagen erteilen, den Geschäftsbetrieb einschränken oder Bußgelder verhängen.
Bußgelder bis 10 Mio. €: Für Finanzunternehmen sieht DORA Bußgelder von bis zu 10 Millionen Euro oder 5% des Jahresumsatzes vor.
Persönliche Haftung: Geschäftsführer und Vorstände haften persönlich für die Einhaltung der DORA-Anforderungen — mit bis zu 1 Mio. € Bußgeld.
Reputationsschäden: Sicherheitsvorfälle ohne nachgewiesene Schutzmaßnahmen gefährden Banklizenz, Kundenvertrauen und Geschäftspartnerschaften.
Prüfbereiche

Diese DORA-Anforderungen testen wir technisch

Art. 25 DORA definiert konkrete Anforderungen an Umfang und Inhalt der Sicherheitstests. Unser Pentest deckt alle relevanten Bereiche ab und mappt jeden Befund direkt auf die entsprechenden DORA-Artikel.

ART. 25 DORA

Netzwerk- & Systemsicherheit

Segmentierung, Firewall-Konfigurationen, exponierte Dienste und privilegierte Zugänge — wir prüfen, ob euer Netzwerk den Anforderungen der digitalen Betriebsstabilität standhält.

Art. 25 DORA · Infrastruktur-Pentest
ART. 25 DORA

Zugriffsmanagement & Identitäten

Active Directory, privilegierte Konten, MFA-Durchsetzung und laterale Bewegungsmöglichkeiten — zentrale Angriffsvektoren im Finanzsektor.

Art. 25 DORA · AD-Pentest
ART. 25 DORA

Anwendungssicherheit

Web-Applikationen, Banking-Portale, APIs und interne Tools: wir testen auf OWASP Top 10 und finanzsektor-spezifische Schwachstellen.

Art. 25 DORA · Web-App-Pentest
ART. 25 DORA

Physische Sicherheit

Zutrittskontrolle zu Serverräumen, Rechenzentren und sensiblen Bereichen — physische Angriffsvektoren sind auch unter DORA relevant.

Art. 25 DORA · Physical Pentest
ART. 25 DORA

Social Engineering & Awareness

Phishing, Vishing und Pretexting gegen eure Mitarbeiter — menschliche Schwachstellen sind der häufigste Einstiegspunkt für Angreifer im Finanzsektor.

Art. 25 DORA · Social Engineering
ART. 25 DORA

Drittparteien & IKT-Lieferkette

DORA schreibt explizit die Überprüfung kritischer IT-Dienstleister vor. Wir prüfen Remote-Zugänge, API-Schnittstellen und Drittanbieter-Integrationen.

Art. 25 DORA · Supply Chain
Unser Vorgehen

So läuft euer DORA-Pentest ab

Wir begleiten euch von der Scope-Definition bis zum auditfähigen Bericht — strukturiert, termingerecht und vollständig auf die DORA-Artikel gemappt.

SCHRITT 01

Scope-Definition & DORA-Mapping

Gemeinsame Festlegung der zu testenden Systeme, Anwendungen und Prozesse. Wir identifizieren vorab, welche DORA-Artikel für euren Scope relevant sind.

SCHRITT 02

Reconnaissance & Angriffsplanung

OSINT über euer Unternehmen, Netzwerk-Footprinting und Planung realistischer Angriffspfade — so wie echte Angreifer im Finanzsektor vorgehen.

SCHRITT 03

Technischer Penetrationstest

Manuelle Tests nach vereinbartem Scope: Infrastruktur, Active Directory, Web-Applikationen, physische Sicherheit und Social Engineering.

SCHRITT 04

Auswertung & DORA-Artikel-Mapping

Alle Findings werden direkt auf die entsprechenden DORA-Artikel gemappt — für maximale Auditfähigkeit bei BaFin und internen Revisoren.

SCHRITT 05

Bericht & Übergabe

Detaillierter Pentest-Bericht mit CVSS-Bewertungen, DORA-Mapping, priorisierten Maßnahmenempfehlungen und Executive Summary für Vorstand und Geschäftsführung.

22.000+
betroffene Unternehmen in der EU
Seit Jan. 2025
DORA in Kraft — keine Übergangsfrist mehr
10 Mio. €
maximales Bußgeld für Finanzunternehmen
Jährlich
Pflicht zur Überprüfung nach Art. 25
DORA-Pentest Report · Finanzinstitut GmbH DORA-konform ✓
Exponiertes Admin-Interface ohne MFA
Art. 25 DORA
Active Directory: Kerberoastable Accounts
Art. 25 DORA
Banking-Portal: SQL-Injection in Suchfeld
Art. 25 DORA
Phishing: 38% der Mitarbeiter betroffen
Art. 25 DORA
VPN: Veraltete TLS-Version (1.1)
Art. 25 DORA
Serverraum: Tailgating ohne Gegenwehr
Art. 25 DORA
DORA Art. 25 & 26 gemappt Digital Operational Resilience Act (EU) 2022/2554
Unsere Leistungen

DORA-Pentests aus einer Hand

Wir kombinieren alle relevanten Angriffsvektoren zu einem ganzheitlichen DORA-Assessment — von der Infrastruktur bis zum menschlichen Faktor, alles Art. 25-gemappt.

Infrastruktur & Active Directory

Netzwerksegmentierung, Firewall-Konfigurationen, Active Directory-Sicherheit und Remote-Zugänge: technisch nachgewiesen und direkt auf DORA Art. 25 gemappt.

Mehr erfahren

Web App & API Pentest

Banking-Portale, Kundenapplikationen und interne APIs: wir testen auf OWASP Top 10 und finanzsektor-spezifische Schwachstellen wie Session Hijacking und unsichere Direktzugriffe.

Mehr erfahren

Social Engineering & Physical

Phishing-Simulationen, Vishing und physische Zutrittstests: wir prüfen, ob eure Mitarbeiter und Zugangskontrollsysteme realen Angriffen standhalten.

Mehr erfahren
Häufige Fragen

DORA & Penetrationstest — eure Fragen

Sehr wahrscheinlich ja. DORA gilt für nahezu alle regulierten Finanzunternehmen in der EU: Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen, Fintechs, Krypto-Dienstleister und kritische IT-Dienstleister dieser Unternehmen. Die vollständige Liste findet sich in Art. 2 DORA.
Nein — TLPT (Threat-Led Penetration Testing nach TIBER-EU) ist nur für systemrelevante Finanzinstitute verpflichtend, die direkt von der EZB oder BaFin als bedeutend eingestuft werden. Der überwiegende Teil des Marktes fällt unter Art. 25 DORA, wo ein strukturierter Penetrationstest ausreicht.
Art. 25 DORA schreibt jährliche Tests vor. Wir empfehlen zusätzlich Tests nach wesentlichen Änderungen an eurer IT-Infrastruktur, nach Sicherheitsvorfällen oder nach der Einführung neuer Systeme und Anwendungen.
Die Kosten richten sich nach Scope, Unternehmensgröße und gewünschten Testmodulen. Nach einem kostenlosen Erstgespräch erhaltet ihr ein transparentes Festpreisangebot — in der Regel innerhalb von 24 Stunden.
Ja. DORA verpflichtet Finanzunternehmen, auch ihre kritischen IT-Dienstleister zu überprüfen. Gleichzeitig können IT-Dienstleister, die kritische Funktionen für Finanzunternehmen erbringen, selbst als kritische IKT-Drittdienstleister eingestuft werden und eigenen Anforderungen unterliegen.
Art. 25 DORA fordert Tests aller IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen. In der Praxis umfasst das Kernbanksysteme, Zahlungsinfrastrukturen, Kundenportale, interne Netzwerke und Remote-Zugänge.

Bereit für euren DORA-Pentest?

In 30 Minuten besprechen wir euren DORA-Scope, klären welche Systeme getestet werden müssen und ihr erhaltet ein unverbindliches Festpreisangebot — kostenlos.

Jetzt kostenloses Erstgespräch buchen hello@access-granted.de

Über Access Granted

Adresse
Albert-Einstein-Straße 1, 95028 Hof
E-Mail
hello@access-granted.de
Telefon
+49 9281 5918506

Nützliche Links

Pentest Portfolio

Think like an Attacker, Act as a Partner

© AccessGranted X GmbH