Regulierung trifft Realität - DORA als Treiber für digitale Resilienz
Mit der fortschreitenden Digitalisierung des Finanzsektors steigen Risiken durch Cyberangriffe, Systemausfälle und komplexe Lieferketten. Die EU-Verordnung zur digitalen operationellen Resilienz (DORA, EU 2022/2554) verpflichtet ab 2025 alle Finanzinstitute sowie relevante IKT-Dienstleister im EU/EWR-Raum, ihre Systeme regelmäßig und strukturiert auf Belastbarkeit zu prüfen.
Viele Anforderungen sind inhaltlich nicht neu, doch DORA macht sie verbindlich, prüfbar und auditierbar. Und eines wird in der Praxis schnell klar:
Auch ein professionelles Testdatenmanagement ist Teil der Umstellungen.
Regulatorische Kernpunkte für Tests
DORA fordert belastbare Tests:
- Skalierbarkeit und Performance
- Scalability and performance
- Applikationsverhalten unter Stress
- Nachweisbare Prozesse und Dokumentation
Gleichzeitig untersagt die Datenschutz-Grundverordnung (DSGVO) den Einsatz von Echtdaten in Testumgebungen - ein zentraler Zielkonflikt, den professionelle Testdatenmanagement-Tools auflösen.
- Unmaskierte Produktionsdaten sind tabu
- Produktionssysteme dürfen nicht zusätzlich belastet werden
- Testumgebungen müssen revisionssicher sein
Der Schlüssel liegt in einer mehrstufigen Testarchitektur: vom produktionsnahen Klon bis zur gezielten Teilkopie.
Die Testdatenmanagement-Suite von UBS Hainer im DORA-Kontext
DORA umfasst fünf Säulen, darunter:
- Risk Management
- Incident Management
- Resilience Testing
- Third-Party Risk Management
- Information Sharing
UBS Hainer bietet drei Werkzeuge, die sich im Finanzsektor für DORA-Compliance etablieren:
BCV4: Produktionsidentische DB2-Klone für Resilience- & Recovery-Tests
BCV4 erstellt vollständige Klone von DB2-Subsystemen oder Data Sharing Groups, inklusive aller Strukturen, Berechtigungen und Metadaten.
Stärken im DORA-Umfeld:
- FlashCopy-basiertes Cloning
- Keine Belastung der Prod-Umgebung
- Ermöglicht realitätsnahe Tests bzgl. Member-Failover, Coupling-Facility-Ausfälle, Recovery & Conditional Restart, Performance-/Lasttests oder Konfigurations- und Schemaänderungstests
- Point-in-Time-Recovery
BCV4 ist daher optimal für die Bereitstellung von Umgebungen, während die eigentliche Testdatenaufbereitung mit BCV5 oder XDM erfolgt.
XDM: Datenmaskierung und -generierung mit KI-Unterstützung
XDM ist das leistungsfähigste Tool für komplexe Maskierungs- und Anonymisierungsanforderungen.
Was XDM auszeichnet:
- Hochwertige Maskierungsalgorithmen für personalisierte Daten und referentielle Abhängigkeiten
- Look-up-Tabellen für realistische Testdaten
- Synthetische Datengenerierung komplett ohne Produktionszugriff
- Unterstützung durch LLM, um synthetische, produktionstypische Datenstrukturen zu erzeugen
XDM ist die Lösung für Command Query Responsibility Segregation (CQRS)-, DSGVO-, Data-Governance- und Resilienztestanforderungen.
BCV5: Schnell, flexibel, maskierungsstark
BCV5 kopiert Tabellen, Tablespaces oder komplette Schema hochperformant – 10x schneller als klassische Unload/Load-Prozesse.
Vorteile für die DORA-Anforderungen:
- Mehrere Testumgebungen für z. B. Unit-, Integrations- und Funktionstests können parallel aufgebaut werden
- Teilmengen für Security-Tests können erzeugt werden
- Kein Runtime-Impact auf produktive Workloads
BCV5 eignet sich ideal für wiederkehrende Tests, parallele Entwicklungsstränge und kleinere Testumgebungen.
So funktioniert die DORA-konforme Testarchitektur mit UBS-Hainer
In der folgenden Grafik wird ein mehrstufiges, DORA-konformes Testdaten-Konzept visualisiert:
Ausgangspunkt ist die Produktionsumgebung mit den durch DORA verpflichtenden dort durchzuführenden Threat-Led Penetration Testing (TLPT)/Live-Penetrationstests - Hier ist kein separates Testdaten-Setup möglich. Anschließend erzeugt BCV4 aus Full System Backups oder direkt per FlashCopy einen 1:1-Klon des gesamten DB2-Systems (eigene Volumes, Catalog/Directory geklont, alle Objekt- und Strukturen identisch). Dieser Klon enthält noch echte Produktionsdaten und darf daher nur für streng regulierte Zwecke genutzt werden, z.B. um die Wiederherstellbarkeit aus Backups (inkl. Conditional Restart) realitätsnah zu testen und reale Laufzeiten für ein Full-Recovery zu ermitteln.
Im nächsten Schritt wird dieser Klon mit XDM (oder BCV5) vollständig maskiert, sodass eine produktionsähnliche und datenschutzkonforme Master-Testumgebung entsteht: Gleiche Datenmenge, gleiche DB2-/Data-Sharing-Struktur, jedoch ohne nutzbare Personenbezüge. Aus dieser maskierten Masterkopie erzeugt BCV5 (oder XDM) anschließend gezielt weitere Testumgebungen: spezifische Schemata oder Teildatenbestände für Unit-, Integrations-, Abnahme-, Performance- oder Berechtigungstests - bei Bedarf mehrfach und durch Umbenennung von Schemas im gleichen DB2.
Dadurch gibt es nur einen streng kontrollierten Zugriffspunkt auf Produktionsdaten (beim initialen Klon), alle nachgelagerten Testumgebungen sind automatisch DSGVO- und DORA-konform und ermöglichen realitätsnahe Resilienz- und Anwendungstests.
Praxisbeispiele aus der Finanzindustrie
Die folgenden Beispiele zeigen, wie DORA-konformes Testdatenmanagement in realen Anwendungsszenarien in verschiedenen Segmenten der Finanzindustrie umgesetzt wird.
Banken: Szenariotests für Zahlungsresilienz
Banken simulieren regelmäßig Betriebsstörungen, etwa durch Cyberangriffe. Sinnvolle Resilienztests sind jedoch nur möglich, wenn die Ziel-Testumgebungen reale Datenvolumina, Strukturen und Abhängigkeiten abbilden.
Ohne realistische und rechtskonforme Testdaten liefern Wiederherstellungs-, Failover- und Kontinuitätstests nur eingeschränkte Erkenntnisse zur tatsächlichen operativen Resilienz.
Compliance-Verantwortliche müssen sicherstellen, dass Tests:
- Realistische Transaktionsdatenfolgen verwenden
- Datenmaskierung zum Schutz von Kundendaten anwenden
- Konsistenz über Kernbank-, CRM- und Reporting-Systeme hinweg gewährleisten
BCV5 und XDM erzeugen vollständige, auditierbare Maskierungsberichte, welche ein entscheidender Vorteil für Compliance sind.
Versicherungen: Stresstests im Schadenmanagement
Versicherer simulieren außergewöhnliche Schadenbelastungen, um die Systemresilienz zu prüfen. Erforderlich sind:
- Realistische Vertrags- und Schadendatensätze
- End-to-End-Validierung der Workflows über mehrere Plattformen hinweg
- Kompatibilität zwischen Legacy- und Cloud-Systemen
XDM liefert unabhängig vom Ursprung realistische, strukturierte und dokumentierte Testdaten.
Investment Management: Systemkontinuitätstests
Vermögensverwalter müssen die Kontinuität ihrer Portfolio- und Handelssysteme sicherstellen durch:
- Simulation des Ausfalls von Order-Management- oder Marktdaten-Feeds
- Durchführung von Wiederherstellungsszenarien bei verzögerten Abwicklungen und NAV-Berechnungen
- Gewährleistung von Datenintegrität und Synchronisation zwischen Fondsbuchhaltung, Compliance und Risikosystemen
BCV4 und XDM unterstützen hierbei vollständige Datenintegrität.
Integration in bestehende Sicherheits- und Automatisierungsprozesse
XDM und BCV lassen sich über APIs und Automatisierungsframeworks in CI/CD-Pipelines, SIEM-Systeme und bestehende Testtools integrieren. Damit wird Testdatenmanagement ein nativer Bestandteil operativer Resilienz, nicht nur eine Compliance-Aufgabe.
Fazit: Professionelles Testdatenmanagement erleichtert DORA-Readiness
Mit BCV4, XDM und BCV5 lassen sich DORA-konforme Tests effizient, skalierbar und revisionssicher umsetzen. Wer DORA richtig angeht, gewinnt stabilere Systeme, bessere Tests und somit intern als auch extern mehr Vertrauen.
