Logo Gepardec IT Services GmbH
Kontakt

DORA: Sichere Softwareentwicklung und Compliance umsetzen

Was du als technischer Leiter über DORA wissen musst.

Die DORA-Verordnung (EU) 2022/2554 stellt strenge Anforderungen an die digitale Resilienz in der Finanzbranche. Auch wenn die Verordnung primär Finanzunternehmen betrifft, hat sie erhebliche Auswirkungen auf die Softwareentwicklung und IT-Infrastruktur – insbesondere für:

  • Softwareentwicklungsleiter und IT-Architekten, die für die Sicherheit von Systemen und Anwendungen verantwortlich sind
  • Unternehmen, die Individualsoftware für Banken, Versicherungen oder FinTechs entwickeln
  • Softwarelösungen mit Open-Source-Komponenten und externen Abhängigkeiten

 

Zielgruppe:

Jedes Unternehmen, das Software für regulierte Finanzdienstleister entwickelt oder betreibt, muss DORA einhalten. Dazu gehören insbesondere:

  • Softwareentwicklungsleiter und Softwarearchitekten, die Sicherheitsstandards definieren
  • DevOps-Teams, die CI/CD-Pipelines für Security optimieren müssen
  • Unternehmen mit Open-Source-Nutzung, da DORA detaillierte Anforderungen an die Software-Supply-Chain stellt

 

Warum ist das wichtig?

Ab Januar 2025 müssen betroffene Unternehmen nachweislich ihre digitalen Resilienzmaßnahmen implementieren. Verstöße gegen DORA können zu hohen Sanktionszahlungen und regulatorischen Einschränkungen führen.

Die wichtigsten DORA-Anforderungen für Softwareentwicklungsteams

1. Secure Software Development Lifecycle (SSDLC)

DORA erfordert einen strukturierten und dokumentierten Secure SDLC:

  • Security by Design & Secure by Default müssen in den Entwicklungsprozess integriert sein
  • Bedrohungsanalysen und Sicherheitsbewertungen sollten frühzeitig erfolgen
  • Code-Reviews und automatisierte Sicherheitsprüfungen (SAST/DAST) sind verpflichtend
  • Regelmäßige Penetrationstests und Sicherheitsüberprüfungen sind notwendig

 

2. Dependency Management & Software Bill of Materials (SBOM)

DORA verpflichtet Unternehmen zu vollständiger Transparenz über alle genutzten Software-Komponenten, einschließlich Open-Source-Bibliotheken.

  • Jede Software muss eine Software Bill of Materials (SBOM) enthalten.
    Mehr zu diesem Thema erfährt zu im Blog Artikel: Wegen Inventur geschlossen ?!?
  • Sicherheitslücken in Abhängigkeiten müssen automatisch erkannt und gepatcht werden
  • Automatisierte Dependency-Updates sind erforderlich, um Sicherheitsrisiken zu minimieren

Unser Auto-Update Service automatisiert das Patchen und Updaten von Individualsoftware und erfüllt damit eine zentrale DORA-Anforderung.
Mehr dazu hier:
→ Auto-Update Service für DORA-konformes Patch-Management

3. Vulnerability & Patch Management

DORA schreibt vor, dass kritische Sicherheitslücken innerhalb von 24 Stunden geschlossen werden müssen. Das bedeutet:

  • Automatische Security-Scans müssen in der CI/CD-Pipeline integriert sein
  • Zero-Day-Patching-Prozesse sind für produktive Umgebungen erforderlich
  • Regelmäßige Schwachstellenanalysen müssen durchgeführt werden

Ein effektives Patch-Management erfordert automatisierte Updates. Eine der bekanntesten Tools in diesem Bereich ist Renovate – mehr dazu in unserem Blog Artikel Renovate: Ein Must-Have für moderne Softwareprojekte

4. Incident Response für Software-Security

DORA schreibt vor, dass Sicherheitsvorfälle innerhalb von 24 Stunden an Behörden gemeldet werden müssen. Unternehmen müssen daher sicherstellen, dass ihre Software und Infrastruktur entsprechend vorbereitet sind.

  • Security Logging & Monitoring (SIEM) sollten zentralisiert werden
  • Intrusion Detection Systems (IDS) müssen Angriffe in Echtzeit erkennen
  • Incident Response-Pläne müssen regelmäßig getestet werden

Strafen & Konsequenzen bei Nichteinhaltung

DORA sieht empfindliche Strafen für Verstöße vor:

  • Unternehmen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes
  • Regulatorische Maßnahmen können dazu führen, dass IT-Systeme stillgelegt oder Software zurückgezogen wird
  • CISOs, CTOs und Softwareentwicklungsleiter können für fahrlässige Sicherheitsverstöße persönlich haftbar gemacht werden

Wie du DORA-Compliance in deiner Softwareentwicklung sicherstellst

  • Secure Software Development Lifecycle (SSDLC) umsetzen: Security von Anfang an in die Entwicklung integrieren
  • SBOM und Dependency-Management optimieren: Automatische Updates und Vulnerability Scans einführen
  • Incident Response vorbereiten: Logging, Monitoring und Reaktionspläne aufsetzen
  • Regelmäßige Audits & Penetrationstests durchführen: Sicherheitsüberprüfung als festen Bestandteil etablieren

 

Fazit: DORA betrifft deine Softwareentwicklung – handle jetzt

DORA stellt neue Anforderungen an technische Leiter, Softwareentwicklungsleiter und Architekten. Secure SDLC, SBOM, Patch-Management und Incident Response müssen technisch und organisatorisch umgesetzt werden, um Compliance sicherzustellen.

Wie weit ist dein Unternehmen mit der Umsetzung von DORA? Welche Maßnahmen nutzt ihr bereits für sichere Softwareentwicklung?

Du möchtest DORA für deine Individualsoftware umsetzen?

Wir helfen dir bei der praktischen Umsetzung deiner Updates deiner Individualsoftware.

Kontaktiere uns für ein kostenloses Erstgespräch!

Quellen

  1. DORA-Verordnung (EU) 2022/2554
  2. NIST Cybersecurity Framework & Secure Software Development Framework (SSDF)
  3. ISO/IEC 27034
  4. EU financial entities cybersecurity upgrade: DORA is now alive and kicking
  5. OWASP Software Assurance Maturity Model (SAMM)

Relevante Blog Posts

Software-Modernisierung

{KI-gestützte Testgenerierung}: Die besten Tools für Software-Modernisierung

Eine hohe Testabdeckung ist essenziell, um Software zuverlässig weiterzuentwickeln. Besonders bei Software-Modernisierung oder der Migration von Legacy-Software können KI-gestützte Tools helfen, Testfälle automatisiert zu generieren. Doch welche Tools liefern wirklich gute Ergebnisse? Wir haben GitHub Copilot, Diffblue Cover, JetBrains AI Assistant und weitere getestet – mit spannenden Erkenntnissen! Erfahre, wie KI die Testautomatisierung verbessern kann und wo man besser manuell nachjustiert. 🔍✨

Auto-Update Service / Cloud Native / Events & Meetups / Software-Modernisierung

Cloud Native Meetup Linz #2

Im Februar war es wieder soweit – am 26.02.2025 haben sich Entwickler:innen, DevOps-Spezialist:innen und IT-Interessierte versammelt, um sich über aktuelle Trends und Best Practices im Cloud-Native-Bereich auszutauschen.

Auch dieses Mal dürften wir uns auf zwei hochkarätige Speaker freuen: Christoph Ruhsam, Tech Lead für das Auto-Update Service bei Gepardec und Damjan Gjurovski, CTO bei Posedio, teilten ihr Wissen über moderne Automatisierungstechniken in CI/CD-Pipelines sowie Zero Trust Security in Cloud-Native-Architekturen.

Auto-Update Service / Events & Meetups / Software-Modernisierung

Webinar: Deine Individual-Software up-to-date halten? So geht's!

Cloud Native / Software-Modernisierung

{Wegen Inventur geschlossen?!?}

Bei der Erstellung von Software-Anwendungen ist es fast unabdingbar, dass man auf bestehende 3rd-Party-Libraries zurückgreifen muss. Selbst triviale Web-Anwendungen weisen mittlerweile Abhängigkeiten auf Libraries im mittleren zweistelligen Bereich auf.

Doch das Einbinden von externen Libraries bringt auch Risiken mit sich, da durch deren Nutzung unbeabsichtigt Sicherheitslücken in die eigene Anwendung integriert werden können.

Man muss nicht weit in die Vergangenheit blicken, um Beispiele für Anwendungen und Unternehmen zu finden, die von solchen Problemen betroffen waren (z.B. Equifax 2017, Log4J 2021).

Vorfälle wie diese haben dazu geführt, dass Software-Hersteller ein größeres Augenmerk auf die verwendeten Software-Dependencies und die Software-Supply-Chain ihrer Applikationen richten.

Auto-Update Service / Events & Meetups / OpenShift - Kubernetes

Vienna DevOps Meetup 01/2025: Auto-Updating Dependencies & Building a Kubernetes Packet Manager

Rückblick auf unser ViennaDevOps Meetup vom 28.01.25.

Erstes Meetup im Jahr – und wir sind direkt mit voller Power gestartet! Dieses Mal durften wir das ViennaDevOps Meetup in unserer Wiener Steppe hosten. Über 60 Anmeldungen zeigen: Die Community ist hungrig auf spannende DevOps-Insights.

 

Events & Meetups / Software-Modernisierung

OOP 2025: Update or Die - Wie IT-Führungskräfte ihre Software sicher und compliant halten

Mit neuen Anforderungen wie NIS2, dem DORA (Digital Operational Resilience Act) und dem Cyber Resilience Act (CRA) stehen IT-Führungskräfte vor einer wachsenden Herausforderung: Software muss kontinuierlich aktualisiert werden, um sicher und compliant zu bleiben. Doch während Updates in der IT-Infrastruktur längst Standard sind, tun sich viele Entwicklungsteams schwer damit, Updates nahtlos in ihren Software Development Lifecycle (SDLC) zu integrieren.

Warum ist das so? Und wie kannst du als CTO, IT-Leiter:in oder Software-Architekt:in sicherstellen, dass deine Software nicht nur up-to-date bleibt, sondern auch langfristig effizient weiterentwickelt werden kann?

In diesem Beitrag zeigen wir, warum kontinuierliche Updates entscheidend sind, welche Herausforderungen es gibt und welche Lösungen helfen, den Update-Prozess zu automatisieren.

WordPress Cookie Plugin von Real Cookie Banner