Logo Gepardec IT Services GmbH
Kontakt

DORA: Sichere Softwareentwicklung und Compliance umsetzen

Was du als technischer Leiter über DORA wissen musst.

Die DORA-Verordnung (EU) 2022/2554 stellt strenge Anforderungen an die digitale Resilienz in der Finanzbranche. Auch wenn die Verordnung primär Finanzunternehmen betrifft, hat sie erhebliche Auswirkungen auf die Softwareentwicklung und IT-Infrastruktur – insbesondere für:

  • Softwareentwicklungsleiter und IT-Architekten, die für die Sicherheit von Systemen und Anwendungen verantwortlich sind
  • Unternehmen, die Individualsoftware für Banken, Versicherungen oder FinTechs entwickeln
  • Softwarelösungen mit Open-Source-Komponenten und externen Abhängigkeiten

 

Zielgruppe:

Jedes Unternehmen, das Software für regulierte Finanzdienstleister entwickelt oder betreibt, muss DORA einhalten. Dazu gehören insbesondere:

  • Softwareentwicklungsleiter und Softwarearchitekten, die Sicherheitsstandards definieren
  • DevOps-Teams, die CI/CD-Pipelines für Security optimieren müssen
  • Unternehmen mit Open-Source-Nutzung, da DORA detaillierte Anforderungen an die Software-Supply-Chain stellt

 

Warum ist das wichtig?

Ab Januar 2025 müssen betroffene Unternehmen nachweislich ihre digitalen Resilienzmaßnahmen implementieren. Verstöße gegen DORA können zu hohen Sanktionszahlungen und regulatorischen Einschränkungen führen.

Die wichtigsten DORA-Anforderungen für Softwareentwicklungsteams

1. Secure Software Development Lifecycle (SSDLC)

DORA erfordert einen strukturierten und dokumentierten Secure SDLC:

  • Security by Design & Secure by Default müssen in den Entwicklungsprozess integriert sein
  • Bedrohungsanalysen und Sicherheitsbewertungen sollten frühzeitig erfolgen
  • Code-Reviews und automatisierte Sicherheitsprüfungen (SAST/DAST) sind verpflichtend
  • Regelmäßige Penetrationstests und Sicherheitsüberprüfungen sind notwendig

 

2. Dependency Management & Software Bill of Materials (SBOM)

DORA verpflichtet Unternehmen zu vollständiger Transparenz über alle genutzten Software-Komponenten, einschließlich Open-Source-Bibliotheken.

  • Jede Software muss eine Software Bill of Materials (SBOM) enthalten.
    Mehr zu diesem Thema erfährt zu im Blog Artikel: Wegen Inventur geschlossen ?!?
  • Sicherheitslücken in Abhängigkeiten müssen automatisch erkannt und gepatcht werden
  • Automatisierte Dependency-Updates sind erforderlich, um Sicherheitsrisiken zu minimieren

Unser Auto-Update Service automatisiert das Patchen und Updaten von Individualsoftware und erfüllt damit eine zentrale DORA-Anforderung.
Mehr dazu hier:
→ Auto-Update Service für DORA-konformes Patch-Management

3. Vulnerability & Patch Management

DORA schreibt vor, dass kritische Sicherheitslücken innerhalb von 24 Stunden geschlossen werden müssen. Das bedeutet:

  • Automatische Security-Scans müssen in der CI/CD-Pipeline integriert sein
  • Zero-Day-Patching-Prozesse sind für produktive Umgebungen erforderlich
  • Regelmäßige Schwachstellenanalysen müssen durchgeführt werden

Ein effektives Patch-Management erfordert automatisierte Updates. Eine der bekanntesten Tools in diesem Bereich ist Renovate – mehr dazu in unserem Blog Artikel Renovate: Ein Must-Have für moderne Softwareprojekte

4. Incident Response für Software-Security

DORA schreibt vor, dass Sicherheitsvorfälle innerhalb von 24 Stunden an Behörden gemeldet werden müssen. Unternehmen müssen daher sicherstellen, dass ihre Software und Infrastruktur entsprechend vorbereitet sind.

  • Security Logging & Monitoring (SIEM) sollten zentralisiert werden
  • Intrusion Detection Systems (IDS) müssen Angriffe in Echtzeit erkennen
  • Incident Response-Pläne müssen regelmäßig getestet werden

Strafen & Konsequenzen bei Nichteinhaltung

DORA sieht empfindliche Strafen für Verstöße vor:

  • Unternehmen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes
  • Regulatorische Maßnahmen können dazu führen, dass IT-Systeme stillgelegt oder Software zurückgezogen wird
  • CISOs, CTOs und Softwareentwicklungsleiter können für fahrlässige Sicherheitsverstöße persönlich haftbar gemacht werden

Wie du DORA-Compliance in deiner Softwareentwicklung sicherstellst

  • Secure Software Development Lifecycle (SSDLC) umsetzen: Security von Anfang an in die Entwicklung integrieren
  • SBOM und Dependency-Management optimieren: Automatische Updates und Vulnerability Scans einführen
  • Incident Response vorbereiten: Logging, Monitoring und Reaktionspläne aufsetzen
  • Regelmäßige Audits & Penetrationstests durchführen: Sicherheitsüberprüfung als festen Bestandteil etablieren

 

Fazit: DORA betrifft deine Softwareentwicklung – handle jetzt

DORA stellt neue Anforderungen an technische Leiter, Softwareentwicklungsleiter und Architekten. Secure SDLC, SBOM, Patch-Management und Incident Response müssen technisch und organisatorisch umgesetzt werden, um Compliance sicherzustellen.

Wie weit ist dein Unternehmen mit der Umsetzung von DORA? Welche Maßnahmen nutzt ihr bereits für sichere Softwareentwicklung?

Du möchtest DORA für deine Individualsoftware umsetzen?

Wir helfen dir bei der praktischen Umsetzung deiner Updates deiner Individualsoftware.

Kontaktiere uns für ein kostenloses Erstgespräch!

Quellen

  1. DORA-Verordnung (EU) 2022/2554
  2. NIST Cybersecurity Framework & Secure Software Development Framework (SSDF)
  3. ISO/IEC 27034
  4. EU financial entities cybersecurity upgrade: DORA is now alive and kicking
  5. OWASP Software Assurance Maturity Model (SAMM)

Relevante Blog Posts

Gruppenfoto beim ERFA-Treffen von Gepardec und ITcluster zur Zukunft von Software-Updates
Auto-Update Service / Events & Meetups / Software-Modernisierung

Alte Software, neue Haftung?

Es gibt Dinge, die niemand besonders gern macht. Steuererklärung. Reifenwechsel. Und – ganz oben auf der Liste vieler Entwickler:innen – Software-Updates.

Dabei sind genau diese Updates heute entscheidend. Nicht für irgendeinen Schönheitsfehler. Sondern für’s Überleben. Klingt dramatisch? Vielleicht. Aber wenn man sich anschaut, was aktuell passiert – Cyberangriffe, neue Gesetze, steigende Anforderungen – dann wird klar: Wer nicht regelmäßig pflegt, verliert. Im schlimmsten Fall alles.

Studienvorschau Software-Modernisierung im Fokus
Auto-Update Service / Software-Modernisierung

Software-Modernisierung im Fokus: Warum du jetzt aktiv werden solltest

Code ist kein Beiwerk – er ist dein Wettbewerbsvorteil. In einer Zeit, in der Innovation über den Erfolg deines Unternehmens entscheidet, ist es keine Frage mehr, OB du modernisierst – sondern WIE. In diesem Beitrag erfährst du, worauf es ankommt, wenn du deinen Code zukunftssicher machen willst – basierend auf echten Erfahrungen und klaren Learnings aus der Praxis. Zusätzlich kannst du dir gratis die Studie  „Software-Modernisierung im Fokus“ herunterladen 👇

Stilisierte Visualisierung eines Netzwerks mit dem Schriftzug GEPHI – abstrahiertes Titelbild zur Netzwerkanalyse.
Auto-Update Service / Cloud Native / Software-Modernisierung

Visualize IT: Komplexe Softwarearchitekturen sichtbar machen mit Gephi

Wie macht man komplexe Legacy-Software sichtbar?
In unserem neuesten Learning-Friday-Projekt haben wir mit dem Visualisierungstool Gephi gearbeitet – und zeigen, wie man damit Architektur, Abhängigkeiten und Zyklen in großen Softwaresystemen auf einen Blick erkennt.

Mit Beispielen, Tipps & einem praktischen Cookbook!

Software-Modernisierung

KI-gestützte Testgenerierung: Die besten Tools für Software-Modernisierung

Eine hohe Testabdeckung ist essenziell, um Software zuverlässig weiterzuentwickeln. Besonders bei Software-Modernisierung oder der Migration von Legacy-Software können KI-gestützte Tools helfen, Testfälle automatisiert zu generieren. Doch welche Tools liefern wirklich gute Ergebnisse? Wir haben GitHub Copilot, Diffblue Cover, JetBrains AI Assistant und weitere getestet – mit spannenden Erkenntnissen! Erfahre, wie KI die Testautomatisierung verbessern kann und wo man besser manuell nachjustiert. 🔍✨

Auto-Update Service / Cloud Native / Events & Meetups / Software-Modernisierung

Cloud Native Meetup Linz #2

Im Februar war es wieder soweit – am 26.02.2025 haben sich Entwickler:innen, DevOps-Spezialist:innen und IT-Interessierte versammelt, um sich über aktuelle Trends und Best Practices im Cloud-Native-Bereich auszutauschen.

Auch dieses Mal dürften wir uns auf zwei hochkarätige Speaker freuen: Christoph Ruhsam, Tech Lead für das Auto-Update Service bei Gepardec und Damjan Gjurovski, CTO bei Posedio, teilten ihr Wissen über moderne Automatisierungstechniken in CI/CD-Pipelines sowie Zero Trust Security in Cloud-Native-Architekturen.

Auto-Update Service / Events & Meetups / Software-Modernisierung

Webinar: Deine Individual-Software up-to-date halten? So geht's!

WordPress Cookie Plugin von Real Cookie Banner