Skip to main content
DE · DORA

DORA E-Mail-Sicherheitscheck

Prüfen Sie Ihre Domain gegen DORA Artikel 9, 10 und 11 — die zentralen IKT-Risiko­management-Anforderungen für EU-Finanzunternehmen seit 17. Januar 2025. Mit deutscher Auditor-Sprache und BaFin-Bezug.

Warum jetzt

Die Verordnung (EU) 2022/2554 — Digital Operational Resilience Act (DORA) gilt seit dem 17. Januar 2025 für alle EU-Finanzunternehmen: Banken, Versicherer, Wertpapierfirmen, Anbieter von Kryptodienstleistungen und kritische IKT-Drittparteien. Die BaFin überwacht die Einhaltung über die fortgeschriebenen MaRisk / BAIT / VAIT und die Prüfungsbefugnisse nach § 44 KWG und § 33 WpHG. Drei der fünf DORA-Säulen aus Artikel 6 berühren E-Mail-Sicherheit direkt:

  • Artikel 9 — Schutz und Prävention: Abs. 2(a) verlangt Schutzmaßnahmen gegen unbefugten Zugriff — DMARC, SPF und DKIM sind die einzigen DNS-basierten Kontrollen, die Absender-Identitätsbetrug am Empfänger-Rand verhindern. Abs. 3(c) verlangt kryptografischen Schutz der Daten im Transit (MTA-STS).
  • Artikel 10 — Erkennung: Abs. 1 verlangt Mechanismen zur zeitnahen Erkennung anomaler Aktivitäten. TLS-RPT liefert die E-Mail-Transport-Telemetrie dafür.
  • Artikel 11 — Reaktion und Wiederherstellung: DMARC-Aggregat-Berichte (rua) speisen den Vorfall-Prozess mit Erstparteibeweisen für Authentifizierungsfehler während eines Sicherheitsereignisses.

Was die BaFin prüfen wird

Nach Artikel 5 Abs. 3 ist die Geschäftsleitung des Finanzunternehmens für den IKT-Risiko­management­rahmen verantwortlich. Die Standardfrage in der Aufsichtsprüfung lautet "zeigen Sie uns die Richtlinie, zeigen Sie uns den Nachweis, zeigen Sie uns die Überwachung". Dieses Tool liefert die Nachweis-Ebene. Richtlinie und Überwachung sind Bestandteil des kostenpflichtigen Tarifs — DMARC-Berichts-Ingestion, wöchentliche Compliance-Digests, Alarm-Routing bei Kontrolldrift.

DORA Art. 9-11 Mapping im Detail

ArtikelAnforderungE-Mail-Auth-Kontrolle
Art. 9 Abs. 2(a)Schutz vor unbefugtem ZugriffDMARC + SPF + DKIM
Art. 9 Abs. 3(b)Integrität der DatenDNSSEC (signierte Identitäts-Einträge)
Art. 9 Abs. 3(c)Kryptografischer Schutz im TransitMTA-STS enforce-Modus
Art. 10 Abs. 1Erkennung anomaler AktivitätenTLS-RPT (Transport-Telemetrie)
Art. 11 Abs. 1Reaktion und WiederherstellungDMARC rua Aggregat-Berichte

Subunternehmer und ESP-Lieferkette

Die delegierte Verordnung 2025/532 (RTS zur IKT-Subkontraktierung) bezieht jeden kritischen E-Mail-Drittanbieter in den Geltungsbereich ein. Wenn Ihr Haus Kunden-E-Mails über einen ESP (Mailgun, SendGrid, Postmark u.a.) versendet, ist dessen SPF-/DKIM-Posture Ihre Kontrolle — Aufsichtsprüfer folgen der include-Kette. Nutzen Sie den SPF-Flattener zur Begehung und den DMARC-Berichts­analyzer, um zu bestätigen, dass jeder Subunternehmer die in Ihrem Namen versendeten Nachrichten signiert.

Was dieses Tool nicht abdeckt

DORA Artikel 6 listet fünf Säulen: Governance & Organisation, IKT-Risiko­management­rahmen, IKT-Drittpartei-Risiko, digitale operative Resilienztests, Informations- und Erkenntnis­austausch. Die obige E-Mail-Auth-Prüfung belegt nur die technischen Unter-Kontrollen der zweiten Säule. Nutzen Sie diese Scorecard als Nachweisbaustein innerhalb eines DORA-Programms, nicht als das Programm selbst.

Die englischsprachige DORA ICT Email Control Mapper bietet das gleiche Mapping mit direkten Verweisen auf die Verordnung — nützlich für grenzüberschreitende Teams.

Read the complete DE · DORA guide to learn more.

Related Tools

EU · DORA DORA ICT Email Control Mapper Englische Version mit direkten Artikel-Verweisen. DE · BSI BSI NIS2 E-Mail-Sicherheitscheck NIS2-allgemein für nicht-Finanz-Sektoren in Deutschland. DMARC DMARC Record Checker DMARC-Tags und Policy im Detail prüfen.

Get the full picture with DMARCguard

Continuous monitoring, aggregate report parsing, and actionable insights for all your email authentication protocols.

Start Free