Asset.Desk, ITAM & CMDB: Die Formel für Ihre DORA-Compliance
Wie Asset-Management die Basis für IKT-Risikomanagement und Auditierbarkeit schafft.
1. Was ist die DORA-Verordnung?
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die seit dem 17. Januar 2025 gilt und die digitale Widerstandsfähigkeit im Finanzsektor vereinheitlicht und stärkt. Sie verpflichtet Finanzinstitute (Banken, Versicherungen etc.) und kritische IKT-Dienstleister, ihre Systeme und Prozesse gegen Cyber-Bedrohungen und Betriebsstörungen abzusichern.
Im Kern fordert DORA eine lückenlose Kontrolle und ein proaktives Management aller digitalen Risiken. Das ist ohne vollständige Transparenz über die eigene IT-Landschaft unmöglich. Genau hier wird professionelles IT Asset Management (ITAM) zur strategischen Notwendigkeit – die fundamentale Frage lautet: „Was müssen wir schützen?“ Die Antwort liefert eine zentrale Configuration Management Database (CMDB).
2. DORA-Artikel im Detail: Umsetzung mit Asset.Desk
Asset.Desk unterstützt die Erfüllung zentraler DORA-Anforderungen, indem es eine verlässliche Datengrundlage bereitstellt.
| DORA-Artikel | Kernanforderung der Verordnung | Technische Umsetzung mit Asset.Desk |
|---|---|---|
| Art. 9 ICT Asset Management |
Führung eines detaillierten und aktuellen Registers aller IKT-Assets. | Die automatisierte Inventarisierung und die CMDB bilden das geforderte ICT Asset Register. Beispiel: Ein Auditor fragt nach Server X – Standort, Konfiguration und verantwortlicher Admin sind in Sekunden nachweisbar. |
| Art. 10 ICT Risk Management |
Identifizierung und Klassifizierung kritischer IKT-gestützter Geschäftsfunktionen und Assets. | Klassifizierung nach Kritikalität und Abbildung von Abhängigkeiten in der CMDB. Beispiel: Der Server des Kernbankensystems ist „hochkritisch“ und wird im Incident-Prozess priorisiert. |
| Art. 28 Third-Party Risk |
Informationsregister zu allen Verträgen mit IKT-Drittdienstleistern. | Vertragsmanagement verknüpft Lieferanten, SLAs und Verträge direkt mit Assets. Beispiel: Beim neuen Cloud-Dienstleister werden betroffene Daten, Vertrag und Ausstiegsstrategie am Lieferanten-Objekt hinterlegt. |
| Art. 41 Reporting Framework |
Berichtsfähigkeit gegenüber Behörden (z. B. BaFin) und Auditierbarkeit. | Revisionssichere Historisierung und flexibles Reporting liefern auf Knopfdruck Audit-Trails. Beispiel: Nachweis aller Konfig-Änderungen an kritischen Systemen im letzten Quartal per Export. |
3. Abgrenzung: Wo die Software hilft und wo die Organisation gefragt ist
Keine Software stellt allein DORA-Compliance her. DORA erfordert ein Zusammenspiel aus technischer Datengrundlage und organisatorischen Prozessen. Die Übersicht zeigt die Abgrenzung:
| DORA-Anforderung | Beitrag ITAM (Asset.Desk) | Beitrag ITSM (HEINZELMANN) | Organisatorische Aufgabe |
|---|---|---|---|
| Asset-Verzeichnis führen | ✅ Kernfunktion. Vollständiges Register. | 🟠 Unterstützend. Datennutzung in Tickets. | ❌ |
| Risiken bewerten | ✅ Kernfunktion. Kritikalitäts-Klassifizierung. | 🟠 Unterstützend. Priorisierung nach Kritikalität. | ✅ Definition der Risikostrategie. |
| Incidents managen | 🟠 Unterstützend. Asset-Kontext. | ✅ Kernfunktion. Ende-zu-Ende Incident-Prozess. | ✅ Meldewege & Verantwortlichkeiten. |
| Resilienz-Tests | 🟠 Liste der zu testenden Systeme. | 🟠 Dokumentation der Test-Changes. | ✅ Planung & Durchführung (z. B. Pen-Tests). |
| Krisenmanagement & BCP | 🟠 Daten zu kritischen Assets für die BCP-Planung. | 🟠 Incident-Steuerung bei BCP-Aktivierung. | ✅ Business Continuity Plan & Kommunikation. |
| Informationsaustausch (Art. 45) | ❌ Kein direkter Beitrag. | ❌ Kein direkter Beitrag. | ✅ Teilnahme an branchenspezifischen Austauschplattformen. |
4. Fazit: Technische Rechenschaftspflicht
DORA ist eine Verordnung der Kontrolle und des Nachweises. Asset.Desk liefert die Datenbasis, die Finanzinstitute benötigen, um dieser Rechenschaftspflicht gerecht zu werden. Verwalten Sie Ihre IT-Landschaft transparent, nachvollziehbar und auditierbar – DORA-konform.
5. Häufig gestellte Fragen (FAQ)
Was bedeutet ICT/IKT im DORA-Kontext?
IKT (engl. ICT) steht für Informations- und Kommunikationstechnologie. Der Begriff erweitert die klassische IT (Server, Software) um Kommunikation (Netzwerke, Telefonie, Cloud-Verbindungen). DORA nutzt ihn, um klarzustellen, dass die gesamte digitale Infrastruktur resilient sein muss.
Ist Asset.Desk eine „DORA-zertifizierte“ Software?
Nein. DORA zertifiziert keine Tools, sondern bewertet Prozesse von Finanzunternehmen. Asset.Desk ist jedoch ein wesentliches Werkzeug, das die technische Datengrundlage für DORA-Konformität liefert.
Reicht Asset.Desk allein für DORA-Compliance?
Asset.Desk liefert die unverzichtbare ITAM-Datenbasis. Für vollständige DORA-Compliance benötigen Sie zusätzlich gesteuerte Prozesse (z. B. Incident/Change im HEINZELMANN Service.Desk) sowie unternehmensweite Richtlinien und Governance.
Sichern Sie das Fundament Ihrer DORA-Strategie
Gern zeigen wir Ihnen im Rahmen einer Live-Session die praktische Umsetzung mit Asset.Desk – inklusive CMDB, Klassifizierung und Audit-Trail.
Rechtlicher Hinweis: Asset.Desk unterstützt technische und organisatorische Aspekte der DORA-Umsetzung. Für die vollständige Einhaltung sind ergänzende interne Maßnahmen erforderlich (z. B. Richtlinien, Meldeprozesse, Audits und Governance-Strukturen).