Compliance & Standards
Cyberversicherungen 2025: Was Sie wirklich absichern
Jan Hörnemann8 Min.
Finanzaufsicht | Compliance
BaFin-Compliance:
BAIT, MaRisk und DORA
Banken und Finanzinstitute unterliegen den strengsten IT-Sicherheitsanforderungen in Deutschland: BAIT, MaRisk und seit Januar 2025 DORA definieren verbindliche Standards für IT-Governance, Informationssicherheit und digitale Betriebsstabilität. BaFin-Prüfungen nach §44 KWG können jederzeit angeordnet werden.
Zuletzt aktualisiert: März 2026
BaFin IT-Rundschreiben
BAIT + MaRisk
VAIT/KAIT/ZAIT aufgehoben; DORA seit 01/2025
VAIT aufgehoben
17.01.2025
KAIT und ZAIT ebenfalls aufgehoben
ENISA Finance Incidents
488
Gemeldete Vorfälle im EU-Finanzsektor (2023)
Banken mit Cyber-Vorfall
61 %
Laut EBA/ENISA Threat Landscape
Überblick
BaFin-Regulatorik im Überblick: Was für wen gilt
Die BaFin hat mehrere IT-spezifische Rundschreiben herausgegeben, die für unterschiedliche Institutstypen gelten. Seit Januar 2025 hat DORA den Regulierungsrahmen grundlegend verändert.
| Regelwerk | Anwendungsbereich | Status (Stand 2025) |
|---|---|---|
| BAIT Bankaufsichtliche Anforderungen an die IT | Kreditinstitute nach KWG | DORA-pflichtige Institute seit 17.01.2025 ausgetreten; für übrige Institute bis 31.12.2026 (FinmaDiG) |
| MaRisk Mindestanforderungen an das Risikomanagement | Kreditinstitute nach KWG | Weiterhin gültig (IT-Abschnitte ergänzt durch DORA) |
| DORA Digital Operational Resilience Act (EU 2022/2554) | Breites Finanzinstituts-Spektrum (direkt anwendbar) | In Kraft seit 17.01.2025 - Vorrang als EU-Verordnung |
| VAIT Versicherungsaufsichtliche Anforderungen an die IT | (ehemals Versicherungsunternehmen) | Aufgehoben seit 17.01.2025 - durch DORA ersetzt |
| KAIT Anforderungen für Kapitalverwaltungsgesellschaften | (ehemals Kapitalverwaltungsgesellschaften) | Aufgehoben seit 17.01.2025 - durch DORA ersetzt |
| ZAIT Zahlungsdiensteaufsichtliche Anforderungen an die IT | (ehemals Zahlungsdienstleister) | Aufgehoben seit 17.01.2025 - durch DORA ersetzt |
Transition
Was nach DORA gilt: Die neue Rechtslage seit Januar 2025
Mit Wirkung zum 17. Januar 2025 gilt DORA (Digital Operational Resilience Act, EU 2022/2554) unmittelbar für einen breiten Kreis von Finanzinstituten. Als EU-Verordnung ist DORA direkt anwendbar - ohne nationalen Umsetzungsakt.
DORA hat drei der bisherigen BaFin-IT-Rundschreiben vollständig aufgehoben: VAIT (Versicherungen), KAIT (Kapitalverwaltungsgesellschaften) und ZAIT (Zahlungsdienstleister) gelten nicht mehr. DORA-pflichtige Institute sind seit 17.01.2025 nicht mehr im BAIT-Anwenderkreis. Für Institute, die nicht unter DORA fallen, gilt BAIT bis 31.12.2026 (FinmaDiG).
Mehr zu den konkreten DORA-Anforderungen, dem Anwendungsbereich und dem IKT-Risikomanagement-Framework finden Sie auf unserer DORA-Themenseite.
DORA-Kernpflichten im Überblick
1
IKT-Risikomanagement-Framework
Vollständiges IKT-Risikoregister, Risikoklassifizierung, Kontrollmechanismen und Berichterstattung an Leitungsorgane. Leitungsorgane haften persönlich für ausreichende DORA-Compliance.
2
Meldung schwerwiegender IKT-Vorfälle
Dreistufige Meldepflicht: Erstmeldung innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend oder 24 Stunden nach Entdeckung (zwei alternative Auslöser, keine separaten Stufen), Zwischenbericht 72 Stunden nach Erstmeldung, Abschlussbericht 1 Monat danach.
3
TLPT - Threat-Led Penetration Testing
Für bedeutende Institute: regulatorisch vorgeschriebene, erweiterte Penetrationstests (Threat-Led Penetration Testing, TLPT) alle 3 Jahre nach TIBER-EU-Methodik.
4
IKT-Drittparteienmanagement
Vollständiges Register aller IKT-Drittdienstleister, Risikoklassifizierung, vertragliche DORA-Mindestanforderungen, Ausstiegsstrategien. Kritische IKT-Dienstleister werden direkt von der EBA/ESMA/EIOPA beaufsichtigt.
§44 KWG
BaFin-IT-Prüfungen: Was geprüft wird
BaFin-Sonderprüfungen nach §44 KWG können jederzeit angeordnet werden. Die IT-Prüfungsschwerpunkte sind klar definiert - eine strukturierte Vorbereitung ist möglich und empfehlenswert.
IT-Governance
- IT-Strategie und Dokumentation (BAIT AT 1)
- IT-Organisationsstrukturen und Verantwortlichkeiten
- IT-Berichterstattung an Leitungsorgane
- IT-Budgetsteuerung und Ressourcenplanung
Informationsrisikomanagement
- Vollständiges Risikoregister aller IT-Systeme
- Risikoklassifizierung nach Kritikalität
- Regelmäßige Risikobewertung und -aktualisierung
- Risikoberichte an Vorstand und Aufsichtsrat
Informationssicherheitsmanagement
- ISMS-Dokumentation und Richtlinien
- Regelmäßige Penetrationstests (BAIT AT 7.3)
- Schwachstellenscans und Patch-Management
- Security-Awareness-Schulungen
Auslagerungsmanagement
- Vollständiges Auslagerungsregister (§25b KWG)
- Risikoklassifizierung aller IT-Auslagerungen
- Vertragliche Mindestanforderungen (Exit, Audit, SLA)
- Laufendes Auslagerungscontrolling
Notfall- und Business-Continuity
- Notfallkonzept für kritische IT-Systeme
- Regelmäßige BCP/DR-Tests und -Dokumentation
- Recovery Time Objectives (RTO) und -Objectives (RPO)
- Kommunikationspläne bei IT-Störungen
Berechtigungsmanagement
- Rollenbasierte Zugriffskontrolle (RBAC)
- Privileged Access Management (PAM)
- Regelmäßige Berechtigungsreviews
- Lückenlose Protokollierung privilegierter Zugriffe
Häufige BaFin-Findings: Unzureichende Dokumentation der IT-Risikoklassifizierung, fehlende oder veraltete Penetrationstestberichte, mangelhaftes Auslagerungscontrolling ohne regelmäßige Lieferantenaudits, fehlende BCP-Tests, unvollständige Berechtigungsreviews und fehlende Eskalationswege bei Sicherheitsvorfällen.
Bedrohungslage
Cyberbedrohungen im Finanzsektor: ENISA-Daten
Der Finanzsektor ist das bevorzugte Ziel von Cyberkriminellen weltweit. Laut ENISA Threat Landscape for the Finance Sector 2024 wurden in der EU 488 signifikante Sicherheitsvorfälle im Finanzbereich dokumentiert - mit deutlich steigender Tendenz.
Die BaFin-Meldepflichten erfassen nur einen Bruchteil der tatsächlichen Vorfälle - die Dunkelziffer ist erheblich. Finanzinstitute sind nicht nur attraktive Ziele wegen des direkten finanziellen Schadens, sondern auch wegen der systemischen Risiken: Ein erfolgreicher Angriff auf eine große Bank kann das gesamte Finanzsystem destabilisieren.
DORA hat die Meldepflichten und Reaktionszeiten deshalb erheblich verschärft: Die Erstmeldung muss innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend oder spätestens 24 Stunden nach Entdeckung erfolgen - gefolgt von Zwischenbericht (72 Stunden) und Abschlussbericht (1 Monat).
Finanzsektor-Cybersicherheit in Zahlen
600+
BaFin-gemeldete IKT-Vorfälle pro Jahr (Schätzung, Dunkelziffer höher)
488
Signifikante ENISA-Vorfälle im EU-Finanzsektor (2023)
58 %
DDoS-Angriffe als häufigster Angriffstyp gegen Finanzinstitute
61 %
Banken, die in den letzten 3 Jahren einen signifikanten Cyber-Vorfall erlebt haben
65 %
Ransomware-Quote bei erfolgreichen Angriffen auf Finanzinstitute
4 h / 24 h
DORA-Erstmeldefrist: 4 h nach Klassifizierung als schwerwiegend oder 24 h nach Entdeckung (Art. 20 DORA)
Quellen: ENISA Threat Landscape for the Finance Sector 2024; EBA Risk Assessment Report 2024; BaFin-Jahresbericht 2024.
„BaFin-IT-Prüfungen sind keine Überraschung - die Prüfungsschwerpunkte sind bekannt. Was ich in der Praxis immer wieder sehe: Institute, die Penetrationstests und Dokumentationsreviews regelmäßig durchführen, bestehen diese Prüfungen problemlos. Der Aufwand für kontinuierliche Compliance ist ein Bruchteil des Aufwands für eine reaktive Krisenbereinigung.“
Oskar Braun
ISO 27001 Lead Auditor (IRCA-zertifiziert) · AWARE7 GmbH
Warum AWARE7 für BaFin-Compliance
Was uns von anderen Anbietern unterscheidet
Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter - mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.
Forschung und Lehre als Fundament
Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI und BMBF. Unsere Studien analysieren Millionen von Websites und Zehntausende Phishing-E-Mails - publiziert auf ACM- und Springer-Konferenzen. Drei unserer Führungskräfte sind gleichzeitig Professoren an deutschen Hochschulen.
Digitale Souveränität - keine Kompromisse
Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.
Festpreis in 24h - planbare Projektzeiträume
Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.
Ihr fester Ansprechpartner - jederzeit erreichbar
Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.
Für wen sind wir der richtige Partner?
Mittelstand mit 50–2.000 MA
Unternehmen, die echte Security brauchen - ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.
IT-Verantwortliche & CISOs
Die intern überzeugend argumentieren müssen - und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.
Regulierte Branchen
KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA - wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.
Mitwirkung an Industriestandards
LLM
OWASP · 2023
OWASP Top 10 for Large Language Models
Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des international anerkannten OWASP LLM-Sicherheitsstandards.
BSI
BSI · Allianz für Cyber-Sicherheit
Management von Cyber-Risiken
Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).
Häufige Fragen zur BaFin-Compliance
Antworten auf die häufigsten Fragen zu BAIT, MaRisk, DORA-Transition und BaFin-IT-Prüfungen für Finanzinstitute.
Was ist BAIT und gilt es noch?
BAIT steht für "Bankaufsichtliche Anforderungen an die IT" und ist das IT-Sicherheitsrundschreiben der BaFin für Kreditinstitute nach KWG. DORA-pflichtige Institute sind seit 17.01.2025 nicht mehr im BAIT-Anwenderkreis. Für Institute, die nicht unter DORA fallen, gilt BAIT bis 31.12.2026 (FinmaDiG). DORA hat die VAIT (Versicherungen), KAIT (Kapitalverwaltungsgesellschaften) und ZAIT (Zahlungsdienstleister) vollständig aufgehoben. Unternehmen sollten prüfen, ob sie unter DORA fallen - in diesem Fall ist DORA das maßgebliche Regelwerk.
Was ist MaRisk und wie hängt es mit IT-Sicherheit zusammen?
MaRisk (Mindestanforderungen an das Risikomanagement) ist das umfassende BaFin-Rundschreiben für das Risikomanagement von Kreditinstituten. Es adressiert alle wesentlichen Risikoarten - darunter auch operationelle Risiken, zu denen IT-Risiken und Cyberrisiken zählen. MaRisk verlangt ein integriertes Risikomanagementsystem, das IT-Risiken als Teil der operationellen Risiken systematisch identifiziert, bewertet, steuert und überwacht. AT 7.2 MaRisk enthält spezifische Anforderungen an die technisch-organisatorische Ausstattung - darunter: angemessene IT-Systeme, Datensicherung, Notfallkonzepte und Berechtigungsmanagement. Mit DORA werden die IT-spezifischen Anforderungen zunehmend dort verankert, während MaRisk als allgemeines Risikomanagement-Rahmenwerk bestehen bleibt.
Welche BaFin-Rundschreiben betreffen IT-Sicherheit?
Die relevanten BaFin-Rundschreiben für IT-Sicherheit sind: BAIT (RS 10/2017): Bankaufsichtliche Anforderungen an die IT - für Kreditinstitute nach KWG; enthält Anforderungen zu IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Betrieb und Notfallmanagement. MaRisk (RS 05/2023 (BA), zuletzt aktualisiert 05/2024): Mindestanforderungen an das Risikomanagement; AT 7.2 adressiert technisch-organisatorische Ausstattung. SREP-Leitlinien der EBA: Europäische Anforderungen, die über MaRisk hinausgehen. DORA (ab 17.01.2025): Für DORA-Scope-Unternehmen ist DORA das vorrangige Regelwerk und hat VAIT, KAIT und ZAIT ersetzt. DORA-pflichtige Institute sind seit 17.01.2025 nicht mehr im BAIT-Anwenderkreis.
Was hat sich durch DORA an BAIT/VAIT/KAIT/ZAIT geändert?
Mit Inkrafttreten von DORA (Digital Operational Resilience Act, EU 2022/2554) am 17. Januar 2025 hat die BaFin VAIT (Versicherungsaufsichtliche Anforderungen an die IT), KAIT (Anforderungen für Kapitalverwaltungsgesellschaften) und ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT) vollständig aufgehoben. DORA-pflichtige Institute sind seit 17.01.2025 nicht mehr im BAIT-Anwenderkreis; für nicht-DORA-pflichtige Institute läuft BAIT bis 31.12.2026 (FinmaDiG). DORA gilt als EU-Verordnung direkt anwendbar für: Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Versicherungen, Vermögensverwalter, Ratingagenturen, Handelsplätze, Transaktionsregister und IKT-Drittdienstleister. Kernpflichten unter DORA: IKT-Risikomanagement, Meldung schwerwiegender IKT-Vorfälle (dreistufig: Erstmeldung 4 h nach Klassifizierung oder 24 h nach Entdeckung, Zwischenbericht 72 h, Abschlussbericht 1 Monat), DORA-Penetrationstests (TLPT), Management von IKT-Drittparteienrisiken und Informationsaustausch.
Was prüft die BaFin bei einer §44 KWG Prüfung?
Bei einer Sonderprüfung nach §44 KWG kann die BaFin alle Aspekte der Geschäftsorganisation und des Risikomanagements eines Kreditinstituts prüfen - einschließlich IT-Sicherheit und Betriebsstabilität. Typische IT-Prüfungsschwerpunkte sind: IT-Governance und Verantwortlichkeiten (Wer ist für IT-Sicherheit zuständig?), Informationsrisikomanagement (BAIT-Kapitel 2: Erfassung und Bewertung von IT-Risiken), Informationssicherheitsmanagement (ISMS, Sicherheitsrichtlinien, Penetrationstests), Auslagerungsmanagement (§25b KWG, BAIT-Kapitel 9: Kontrolle über ausgelagerte IT-Dienstleister), Notfallmanagement (Business Continuity, Wiederherstellungsfähigkeit), Berechtigungsmanagement (Zugriffskontrollen, Privileged Access Management), und Vorfallmanagement (Erkennungs- und Eskalationsprozesse). Häufige BaFin-Findings: unzureichende Dokumentation, fehlende Risikoklassifizierung, mangelhaftes Auslagerungscontrolling, keine regelmäßigen Penetrationstests.
Wie bereite ich mich auf eine BaFin-IT-Prüfung vor?
Eine strukturierte Vorbereitung auf BaFin-IT-Prüfungen umfasst mehrere Bereiche: Dokumentationscheck: Alle IT-Sicherheitsrichtlinien, das Informationsrisikoregister, Penetrationstestberichte und Auslagerungsverträge müssen vollständig und aktuell sein. BAIT-Gap-Analyse: Abgleich aller BAIT-Anforderungen mit dem aktuellen Umsetzungsstand - idealerweise durch einen externen Reviewer mit BaFin-Erfahrung. Penetrationstests und Schwachstellenscans: Regelmäßige Tests dokumentieren die "regelmäßige Überprüfung der IT-Systeme" (BAIT AT 7.3). DORA-Readiness: Prüfung, ob das Institut unter DORA fällt und welche DORA-Anforderungen (TLPT, IKT-Drittparteienmanagement, Meldepflichten) umzusetzen sind. Probelauf: Interne Mock-Prüfungen simulieren den Prüfungsprozess und decken verbleibende Lücken auf. AWARE7 unterstützt mit strukturierten BAIT-/DORA-Gap-Analysen und Penetrationstests.
Brauche ich BAIT oder DORA?
Die Abgrenzung zwischen BAIT und DORA hängt vom regulierten Status des Instituts ab. DORA gilt für ein sehr breites Spektrum an Finanzinstituten - Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, Versicherungen und viele weitere. Für alle Institute, die unter DORA fallen, hat DORA als EU-Verordnung Vorrang. BAIT bleibt als BaFin-Rundschreiben bestehen, verliert aber für DORA-pflichtige Kreditinstitute an praktischer Bedeutung, da DORA die relevanten IT-Anforderungen direkter und umfassender regelt. Für kleinere Institute, die möglicherweise DORA-Proportionalitätsregelungen nutzen, bleibt BAIT als Orientierungsrahmen relevant. Empfehlung: Lassen Sie von einem Experten prüfen, ob und in welchem Umfang DORA auf Ihr Institut anwendbar ist - und welche BAIT-Anforderungen darüber hinaus bestehen.
Wie unterstützt AWARE7 bei BaFin-Compliance?
AWARE7 unterstützt Finanzinstitute mit spezialisierten Cybersecurity-Leistungen für BaFin-Compliance: BAIT-Gap-Analyse: Strukturierter Abgleich aller BAIT-Anforderungen mit dem aktuellen Umsetzungsstand, inkl. Maßnahmenplan. DORA-Readiness-Assessment: Analyse des DORA-Scopes, Gap-Analyse zu IKT-Risikomanagement, Vorfallmeldung und IKT-Drittparteienmanagement. Penetrationstests (Web, Netzwerk, Cloud) zur Erfüllung der BAIT AT 7.3-Anforderungen und DORA TLPT-Vorbereitung. ISO 27001 ISMS-Aufbau als strukturierte Grundlage, die BAIT- und DORA-Anforderungen systematisch adressiert. Schwachstellenmanagement und kontinuierliche Überwachung. Vorbereitung auf BaFin-Prüfungen durch interne Mock-Audits und Dokumentationsreviews.
BaFin-Compliance strukturiert angehen
AWARE7 unterstützt Finanzinstitute mit BAIT-Gap-Analysen, DORA-Readiness-Assessments und regulatorisch anerkannten Penetrationstests. Festpreisangebot nach kostenloser Ersteinschätzung.
Kostenlos · 30 Minuten · Unverbindlich
