DORA Zertifikatsregister

Wer nach einem "DORA Zertifikat" sucht, meint in der Regel eines von zwei verschiedenen Dingen: erstens die digitalen Zertifikate (TLS, PKI, Code-Signing), die DORA in Artikel 8 explizit als Bestandteil des IKT-Asset-Registers nennt – und zweitens ein Compliance-Nachweis für DORA selbst, also eine Art "DORA-Zertifizierung". Beide Fragen werden hier beantwortet.

Gibt es eine offizielle DORA-Zertifizierung? Nein. DORA kennt kein formales Zertifizierungsschema wie etwa ISO 27001, das durch akkreditierte Zertifizierungsstellen vergeben wird. DORA ist eine EU-Verordnung, deren Compliance durch die zuständigen nationalen Aufsichtsbehörden (in Deutschland: BaFin, für Banken auch EZB/ECB) geprüft und durchgesetzt wird. Ein "DORA-Zertifikat" im Sinne eines offiziellen Compliance-Nachweises existiert nicht. Was existiert, sind interne Attestierungen, Prüfberichte durch zugelassene Prüfer und behördliche Konformitätsfeststellungen.

DORA Zertifikat = digitales Zertifikat in der IKT-Infrastruktur: Was DORA konkret und mit präzisen Anforderungen fordert, ist die vollständige Erfassung aller kryptografischen Zertifikate in einem IKT-Asset-Register. TLS-Zertifikate, Client-Zertifikate, Code-Signing-Zertifikate, S/MIME-Zertifikate und Root-CA-Zertifikate müssen inventarisiert, mit Metadaten versehen und in einem aktiven Lifecycle-Prozess überwacht werden. Das ist das sogenannte DORA-Zertifikatsregister.

Der Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen ab dem 17. Januar 2025 zur vollständigen Inventarisierung aller kryptografischen Mittel und digitalen Zertifikate. Artikel 8 DORA und die zugehörigen Regulatory Technical Standards (RTS) schreiben vor, dass Finanzunternehmen ein aktuelles Register aller IKT-Assets führen, das explizit auch Zertifikate und kryptografische Schlüssel umfasst.

Das Zertifikatsregister ist damit kein optionales Governance-Instrument, sondern eine aufsichtsrechtliche Pflicht. Bei Prüfungen durch BaFin, ECB oder andere zuständige Behörden wird das Register als Nachweis der IKT-Risikokontrolle herangezogen. Fehlende oder veraltete Einträge können als wesentliche Kontrollschwäche gewertet werden.

Blackfort Technology unterstützt Finanzunternehmen und deren IKT-Drittdienstleister beim Aufbau und Betrieb eines DORA-konformen Zertifikatsregisters – von der initialen Discovery über die Prozessintegration bis zur Tool-Auswahl.

Das Register sollte alle Zertifikatstypen erfassen, die in der IKT-Infrastruktur des Finanzunternehmens verwendet werden: TLS/SSL-Zertifikate für Web-Services und APIs, Client-Zertifikate für Maschinenidentitäten, Code-Signing-Zertifikate, S/MIME-Zertifikate für E-Mail-Verschlüsselung sowie Root- und Intermediate-CA-Zertifikate. Auch Zertifikate in Cloud-Umgebungen, bei IKT-Drittdienstleistern und in OT-/IoT-Umgebungen sind einzubeziehen.

Neben dem Zertifikat selbst müssen das zugehörige Schlüsselmaterial, Ablaufdaten, ausstellende CA, Verwendungszweck, verantwortliche Organisationseinheit und der Status (aktiv, abgelaufen, widerrufen) dokumentiert werden. Die Herausforderung liegt in der vollständigen Discovery: Erfahrungsgemäß sind 30–50 % aller Zertifikate in größeren Organisationen nicht zentral bekannt und werden erst durch aktive Scans oder Certificate Transparency Monitoring aufgefunden.

Besondere Aufmerksamkeit gilt Zertifikaten mit kurzer Laufzeit (90-Tage-Zertifikate via Let's Encrypt und ähnliche), die ein automatisiertes Lifecycle-Management erfordern. DORA fordert implizit, dass Zertifikatsablauf nicht zu ungeplanten Ausfällen führen darf – eine direkte Verknüpfung zum DORA-Anforderungsbereich „IKT-Betriebsstabilität“.

Das Management eines robusten Zertifikatsregisters erfolgt über drei Schichten: Discovery (Auffinden aller Zertifikate), Inventory (strukturierte Erfassung in einem zentralen System) und Lifecycle Management (automatisierte Überwachung, Erneuerung und Alarmierung). Ohne Automatisierung in der Discovery-Schicht sind vollständige Inventare in mittleren und großen Organisationen nicht wartbar.

Als Tool-Basis eignen sich dedizierte Certificate Lifecycle Management (CLM)-Lösungen wie Venafi, Keyfactor oder AppViewX, aber auch SIEM-Integration und interne PKI-Lösungen (Microsoft ADCS, EJBCA). Blackfort bewertet Ihre bestehende PKI-Infrastruktur und empfiehlt den Ansatz mit dem besten Kosten-Nutzen-Verhältnis für Ihre spezifische DORA-Anforderungssituation.

Prozessseitig ist das Zertifikatsregister in das Change Management zu integrieren: Jede neue Systemeinführung, jeder Lieferantenwechsel und jede Infrastrukturveränderung muss eine Zertifikats-Review auslösen. Wir helfen Ihnen, diese Integration in Ihre bestehenden ITSM-Prozesse (ServiceNow, Jira Service Management o.ä.) zu verankern.

Artikel 7 Abs. 4 der RTS zum IKT-Risikomanagement (EU 2024/1774) formuliert die konkreten technischen Pflichten: „Finanzunternehmen führen und aktualisieren ein Register aller Zertifikate und Zertifikatsspeicher zumindest für jene IKT-Assets, die kritische oder wichtige Funktionen unterstützen.“ Das Register muss Zertifikatstyp, Ausstellungs- und Ablaufdatum sowie Verwendungszweck vollständig dokumentieren.

Vier technische Kernanforderungen ergeben sich aus dem RTS-Text: Erstens vollständige Erfassung aller PKI-Zertifikate inklusive Typ, Gültigkeitsdaten und Verwendungszweck. Zweitens automatisiertes Monitoring mit proaktiver Alarmierung bei bevorstehenden Abläufen oder Anomalien. Drittens Konformität mit aktuellen Sicherheitsstandards zum Schutz vor unberechtigtem Zugriff und Manipulation. Viertens lückenlose Audit-Protokollierung aller Änderungen und Zugriffe auf das Register.

Diese Anforderungen sind technisch umsetzbar – aber nur dann nachhaltig, wenn sie nicht auf manuelle Prozesse oder Excel-Listen angewiesen sind. Eine aktuelle Studie zeigt, dass in Organisationen mit mehr als 500 Mitarbeitenden durchschnittlich 40–60 % aller aktiven Zertifikate nicht in einem zentralen Register erfasst sind. Bei einem Prüfzugriff durch BaFin oder ECB wäre ein solches Inventar nicht prüfungsfähig.