Redgate Test Data Manager

Improve your release quality and reduce your risk, with the flexibility to fit your workflow

Redgate Flyway

Automate database deployments across teams and technologies

Redgate Monitor

Understand server performance in an instant with fast deep-dive analysis

See all our products

Overview

Redgate's end-to-end Database DevOps solutions

Protect

Reliable test data management, automating repetition out of the process

Automate

Automate and accelerate your database change management workflow

Monitor

Monitor your cross-database, multi-platform estate to ensure optimal performance
NEW REPORT 2025 State of database landscape cover

2025 State of the Database Landscape − download the report

Redgate Blog

21 October 2024
21 October 2024

Was ist DORA, und was bedeutet das für Datenbanken?

Digital Operational Resilience Act
Der Digital Operational Resilience Act ist eine EU-Verordnung zur Stärkung der operationalen Resilienz von Finanzinstituten und deren IT-Dienstleistern. Die Verordnung schreibt robuste Schutzmaßnahmen für IKT-Systeme gegen Störungen und Cyber-Bedrohungen vor.

Ist Ihnen in der letzten Zeit schon einmal DORA zu Ohren gekommen? Gemeint ist hier der Digital Operational Resilience Act – nicht zu verwechseln mit DevOps Research and Assessment (DORA). Mit der nahenden Umsetzungsfrist gewinnt diese Verordnung zunehmend an Bedeutung.

Was ist der Digital Operational Resilience Act?

DORA ist ein neues, umfassendes EU-Regelwerk zur Stärkung der operativen Resilienz bzw. Widerstandsfähigkeit von Finanzinstituten und deren Dienstleistern innerhalb der Europäischen Union. Die Verordnung verpflichtet diese Institutionen, ihre IKT-Systeme durch robuste Maßnahmen gegen Störungen und Cyber-Bedrohungen zu schützen.

Wie wirkt sich das auf die Datenbank aus?

Infolge des Wachstums und der Zunahme wichtiger Finanzdienstleistungen ist die Resilienz von IT-Systemen wichtiger denn je. Das Datenvolumen wächst besonders durch neue Entwicklungen in KI (Künstliche Intelligenz) und ML (Maschinelles Lernen) kontinuierlich, die auf Daten als Treibstoff angewiesen sind. DORA schafft einen regulatorischen Rahmen, der Finanzinstitute befähigt, Betriebsstörungen und Cyber-Bedrohungen zu widerstehen und sich davon zu erholen.

Wie genau wirkt sich DORA auf die Datenbank aus?

Kurz gesagt, Ihre Datenbanken könnten als kritische Informations- und Kommunikationstechnologie (IKT) eingestuft werden. Ein Ausfall oder eine Störung könnte daher Ihre Fähigkeit zum effektiven und sicheren Arbeiten erheblich beeinträchtigen.

Wer ist davon betroffen?

Finanzunternehmen und IKT-Dienstleister innerhalb der EU sowie Anbieter, die von außerhalb der EU Unterstützung leisten. Zu den betroffenen Organisationen zählen:

  • Banken
  • Versicherungsunternehmen
  • Kreditgeber
  • Zahlungsdienstleister
  • Anbieter von Krypto-Assets
  • Kreditratingagenturen
  • Rentenanbieter
  • Investmentfirmen
  • FinTech-Unternehmen
  • Crowdfunding-Dienstleister
  • IKT-Drittanbieter für Finanzorganisationen

Wann tritt die Verordnung in Kraft?

Die EU hat DORA im November 2022 verabschiedet. Bis zum 17. Januar 2025 müssen alle Finanzunternehmen die Vorgaben erfüllen und nachweisen können. Dies umfasst die Durchführung von Audits, die Vorfallsmeldung und den Nachweis funktionierender Risikomanagement-Systeme. Die Botschaft ist klar: Die Vorbereitungen müssen jetzt beginnen, nicht erst zum Stichtag.

Kernelemente von DORA

  1. IKT-Risikomanagement: Finanzunternehmen müssen ein umfassendes Rahmenwerk zur Identifizierung, Bewertung und Minderung von IKT-Risiken etablieren.
  2. Vorfallsmeldung: Größere IKT-bezogene Vorfälle müssen den Behörden gemeldet werden. Dies erfordert effektive Prozesse für transparente Vorfallsbehandlung und Erkenntnisgewinnung.
  3. Tests zur operationalen Resilienz: Regelmäßige Tests der IKT-Systeme und -Prozesse, um deren Widerstandsfähigkeit gegen Störungen und Wiederherstellungsfähigkeit zu gewährleisten. Durch Penetrationstests und Schwachstellenanalysen soll eine nachhaltige digitale operationale Resilienz erreicht werden.
  4. Drittanbieter-Management: Externe IKT-Dienstleister müssen DORA-konform sein. Dies umfasst Due-Diligence-Prüfungen, Performance-Monitoring und die Sicherstellung, dass vertragliche Vereinbarungen den Vorgaben von DORA entsprechen.
  5. Governance: DORA unterstreicht die Bedeutung robuster Governance-Strukturen, Informationsaustausch und Aufsichtsmechanismen. Finanzinstitute sind verpflichtet, klar definierte Rollen und Verantwortlichkeiten für das IKT-Risikomanagement und die regulatorische Compliance zu etablieren.

Welche Bedeutung hat dies für die Datenbank?

Datenbankadministratoren, Mitarbeiter in der Datensicherheit und IT-Sicherheitsbeauftragte sind das Rückgrat für den Schutz und die Leistungsfähigkeit der Unternehmensdaten. Die neue DORA-Verordnung verlangt von ihnen einen proaktiven Ansatz: Sie müssen klare Strukturen schaffen, um Zwischenfälle schnell zu erkennen, einzustufen und zu melden – und natürlich auch, um Risiken von vornherein zu minimieren.

  1. IKT-Risikomanagement: Die DORA-Verordnung legt fest, wie Unternehmen mit IKT-Risiken umgehen müssen. Datenbankentwickler müssen ihre Systeme umfassend vor Cyberbedrohungen schützen. Dazu gehören Verschlüsselung und strikte Zugangskontrollen sowie die Einstufung wichtiger Assets, ein durchdachtes Patch-Management und regelmäßige Sicherheitsprüfungen.
  2. Vorfallmanagement und Reporting: Oft sind es Datenbankentwickler und Sicherheitsbeauftragte, die als Erste Auffälligkeiten oder Sicherheitsverstöße entdecken. DORA verlangt hier ganz klar: Vorfälle müssen schnell erkannt, bearbeitet und gemeldet werden. Eine lückenlose Dokumentation von der ersten Entdeckung bis zur Lösung des Problems ist hier Pflicht.
  3. Operationale Resilienz: Einer der Kernforderungen von DORA ist es, dass Datenbanken auch bei Störungen zuverlässig laufen. Entscheidend sind Backup und Wiederherstellung. Diese Verfahren müssen regelmäßig getestet und überprüft werden, damit im Ernstfall alle Daten schnell wieder verfügbar sind. Zusätzlich muss das Entwicklerteam für die DB durch regelmäßige Belastungs- und Leistungstests mögliche Schwachstellen aufspüren und beseitigen.
  4. Compliance: Das Datenbankmanagement muss den strengen DORA-Vorgaben entsprechen. Das bedeutet: Klare Regeln für den Umgang mit Daten und ein durchdachtes Vorfallmanagement sind Pflicht. Eine enge Abstimmung zwischen Datenbankadministratoren und IT- sowie Compliance ist dabei unerlässlich, um ein integriertes IKT-Risikomanagement zu gewährleisten.
  5. Drittanbieter-Management: Die Auslagerung von Datenbankbetreuung und -wartung an externe Dienstleister ist in unserer Branche weit verbreitet. DORA verpflichtet Unternehmen jedoch, Anbieter zu kontrollieren und die Einhaltung aller Standards sicherzustellen. Konkret bedeutet das: regelmäßige Prüfungen, kontinuierliches Leistungsüberwachung und die Anpassung der Verträge an die DORA-Vorgaben.

Wie Redgate Monitor helfen kann

  1. Verbessertes Security-Monitoring: Redgate Monitor ermöglicht ein umfassendes Security-Monitoring und Auditing. Datenbankadministratoren erhalten einen direkten Einblick in Benutzerzugriffsrechte sowie automatisierte SQL-Server-Konfigurationsprüfungen zur Gewährleistung der Compliance.
  2. Hochverfügbarkeitsarchitektur: Redgate Monitor integriert Load Balancer, die die betriebliche Ausfallsicherheit erhöhen. Dies gewährleistet eine kontinuierliche Überwachung und stärkt Anwendungen und Daten gegen Ausfälle.
  3. Data API: Redgate Monitor ermöglicht DBAs eine Verknüpfung von Monitoring-Daten mit anderen Anwendungen. Diese Integration optimiert die Berichterstattung bei gleichzeitig sicherem Austausch sensibler Informationen
  4. Proaktive Warnmeldungen: Dank konfigurierbarer Warnmeldungen unterstützt Redgate Monitor DBAs bei der frühzeitigen Erkennung und Minderung potenzieller Risiken sowie der Ursachenanalyse. Dies ermöglicht eine DORA-konforme Überwachung und Identifizierung ungewöhnlicher Aktivitäten.
  5. Identität und Klassifizierung: Die Gruppierungs- und Tagging-Features in Redgate Monitor ermöglichen eine übersichtliche Darstellung und Priorisierung von Ressourcen. Benutzer können Warnmeldungen effizient einrichten und Datenbankbestände systematisch verwalten.
  6. Patch-Management: Die Estate-Funktion von Redgate Monitor gewährleistet aktuelle Server-Patches, -Versionen und -Konfigurationen. Dadurch werden Sicherheitsrisiken reduziert, Systeminstabilität verhindert und schützt vor Datenverlust sowie Betriebsunterbrechungen.
  7. Reporting und Audit: Das zentrale Compliance-Dashboard von Redgate Monitor garantiert prüfungskonforme SQL Server-Konfigurationen und die kontinuierliche Einhaltung aller Compliance-Standards.

Fazit:

Der Digital Operational Resilience Act (DORA) markiert einen wichtigen Meilenstein für die digitale Sicherheit im EU-Finanzsektor. Das Regelwerk orientiert sich an den Prinzipien des DevOps Research and Assessment (DORA), die sich auf operationale Stabilität und Zuverlässigkeit fokussieren. Diese Ausrichtung umfasst kontinuierliche Optimierung, Minimierung von Ausfallzeiten, Verkürzung der Wiederherstellungszeit (MTTR), systematische Tests und Reporting sowie die effektive Vernetzung aller relevanten Stakeholder.

Für das Datenbankmanagement bedeutet dies die Implementierung einer proaktiven und ganzheitlichen Überwachungsstrategie. Auch wenn das Datenbank-Monitoring selbst nicht als kritische IKT eingestuft wird, können die überwachten Datenbanken diesen Status innehaben. Datenbankadministratoren, Mitarbeiter in der Datensicherheit und CISOs können durch das Verständnis und die Umsetzung der DORA-Vorgaben ihre Unternehmen optimal auf die Bewältigung und Überwindung datenbankbezogener Störfälle vorbereiten.

Testen Sie jetzt die Redgate Monitor Online-Demo oder starten Sie Ihre kostenlose 14-tägige Testversion mit vollem Funktionsumfang, um zu erfahren, wie Sie mit Redgate Monitor DORA-Compliance umsetzen.

Tools in this post

Redgate Monitor

Real-time multi-platform performance monitoring, with alerts and diagnostics

Find out more

You may also like

Bryony Ford

23 April 2025

Bryony Ford

23 April 2025

Blog

Redgate Summit Is Coming To New York, Dallas, and the Netherlands this Fall!

After an amazing Redgate Summit in London earlier this year, we’re thrilled to be bringing Redgate Summit to New York in August, Dallas in September, and Utrecht, the Netherlands in October!  This series aims to bring together data professionals who want to improve their skills and knowledge about Database DevOps, learn about moving to... Read more

New York

Dallas

The Netherlands