Wie automatisiertes Testing die Compliance fördert

Wo stehen Unternehmen bei der DORA-Compliance?

Roman Zednik: Bisher haben nur wenige Finanzunternehmen die DORA-Anforderungen vollständig umgesetzt. Betroffene müssen den Aufsichtsbehörden aber zumindest detaillierte Pläne vorlegen können, um nachzuweisen, dass sie an der Umsetzung arbeiten. Doch selbst dies gestaltet sich oft als schwierig. DORA-Compliance lässt sich nicht mit sporadischen Maßnahmen erzielen. Vielmehr sind Unternehmen verpflichtet, ein systematisches Risikomanagement im Bereich der Informations- und Kommunikationstechnologie zu etablieren. Das schließt auch das Monitoring von Risiken durch Drittanbieter ein, etwa Cloud-Providern oder IT-Dienstleistern. Außerdem müssen Betroffene regelmäßige Stresstests durchführen, um sicherzustellen, dass ihre Systeme auch unter großer Last stabil funktionieren. Für schwerwiegende Vorfälle gilt eine Meldepflicht.

Mit welchen Herausforderungen kämpfen Unternehmen dabei?

Zednik: Ein großes Problem ist die oft über Jahre gewachsene, komplexe IT-Landschaft: Moderne Systeme treffen auf Legacy-Infrastrukturen, die immer wieder angepasst und erweitert wurden. In so einem Umfeld die nötige Transparenz für die Risikobewertung zu schaffen, ist schwer. Dazu kommt der Fachkräftemangel. Die wenigsten Unternehmen stellen für die DORA-Compliance neue Mitarbeiter ein. Stattdessen müssen bestehende IT-Teams diese Aufgaben nebenbei stemmen. Da es sich bei DORA um ein komplexes Regelwerk handelt, fehlt häufig auch die nötige Expertise im Haus.

Ohne klare Strategie verzettelt man sich hier schnell. Dass viele Unternehmen deshalb eher zögerlich agieren, ist nachvollziehbar – denn im Gegensatz zu anderen Projekten bringt DORA keinen direkten geschäftlichen Nutzen, sondern verursacht in erster Linie hohen Aufwand.

Wie sollten Betroffene am besten vorgehen?

Zednik: Empfehlenswert ist ein risikobasierter Ansatz. Unternehmen sollten nicht versuchen, alles auf einmal abzusichern, sondern dort ansetzen, wo die größten Risiken lauern – also bei Systemen und Prozessen, die besonders geschäftskritisch und anfällig für Ausfälle oder Cyberangriffe sind. So lassen sich Ressourcen viel gezielter einsetzen. Dabei hilft ein pragmatischer Blick auf das Thema Testing. Viele Firmen testen immer noch „auf Verdacht“ zu viel – was unnötig Zeit und Geld kostet. Besser ist es, sich am Pareto-Prinzip zu orientieren: Mit rund 20 Prozent des Testaufwands lassen sich oft schon 80 Prozent der potenziellen Risiken abdecken.

Entscheidend ist, dass Tests möglichst effizient ablaufen, damit sie neue Software-Releases nicht ausbremsen. Testautomatisierung ist ein Schlüssel zur schnelleren DORA-Umsetzung. Dabei kann der Einsatz von KI große Vorteile bringen – etwa indem intelligente Algorithmen Testfälle generieren und priorisieren. Dadurch lassen sich aufwändige Qualitätssicherungsprozesse erheblich beschleunigen.

Wie erhöht KI-gestütztes automatisiertes Software-Testing die Resilienz der gesamten IT-Landschaft?

Zednik: Automatisierte Tests stellen rund um die Uhr und ohne menschliches Zutun sicher, dass geschäftskritische Systeme auch nach Änderungen oder Updates weiterhin zuverlässig funktionieren. Sie decken Schwachstellen auf, bevor Schaden entsteht. Wenn zum Beispiel ein Router ausgetauscht wurde oder sich eine Software-Konfiguration ändert, kann im unmittelbaren Anschluss sofort automatisch überprüft werden, ob zentrale Prozesse – vom Kunden-Login bis zur Datenverarbeitung im Backend – wie geplant ablaufen. Außerdem muss die Belastbarkeit sichergestellt werden.

Gerade im Finanzbereich ist es entscheidend, dass Systeme auch unter hohem Nutzeraufkommen stabil bleiben – zum Beispiel montagmorgens, wenn tausende Kunden gleichzeitig ihre Konten checken. Hier kommen automatisierte Performancetests ins Spiel: Sie simulieren solche Szenarien und decken Engpässe auf. So können Unternehmen Probleme beseitigen, bevor Systeme langsam werden oder gar ausfallen. Performance Testing ist extrem wichtig, um eine gute Nutzererfahrung sicherzustellen. Andernfalls verlieren Kunden schnell das Vertrauen in das Finanzinstitut und wechseln im schlimmsten Fall direkt zur Konkurrenz.

Was versteht man unter Resilience-Testing?

Zednik: Performance-Tests und Funktionstests bilden zusammen die Säulen für das Resilience-Testing. Im Grunde geht es darum sicherzustellen, dass Systeme auch unter Stress funktionsfähig bleiben und Dienste selbst dann noch verfügbar sind, wenn es einmal zu Störungen kommt. Indem man Lastspitzen simuliert, wird die Elastizität der Applikation und ihrer zugrundeliegenden Infrastruktur überprüft. Ein wichtiger Aspekt ist dabei, ob die eingehende Last gleichmäßig auf alle verfügbaren Ressourcen verteilt wird. Ist dies nicht der Fall, könnten einzelne Server zusammenbrechen, während andere ungenutzt bleiben.

Um das Resilience-Testing noch zu erweitern, empfiehlt sich sogenanntes Exploratory Testing. Bei dieser Methode untersuchen die Tester die Software manuell. Statt vorab Testfälle zu definieren, interagieren sie dynamisch mit der Applikation, um Fehler zu provozieren. Aus den Ergebnissen lassen sich anschließend automatisierte Test Cases generieren.

Wie werden Verantwortliche zu jeder Zeit auskunftsfähig gegenüber Management und Auditoren?

Zednik: Wichtig ist, dass alle Testergebnisse in einem zentralen Dashboard zusammenlaufen. Dort haben Verantwortliche stets im Blick, welche Systeme gerade getestet wurden, wo eventuell Fehler aufgetreten sind und wie der aktuelle Compliance-Status aussieht. So können sie dem Management jederzeit belastbare Zahlen und Fakten liefern und im Ernstfall schnell reagieren. Bei einem DORA-Audit dient das Dashboard zudem als zentrale Dokumentationsquelle, um Testing-Aktivitäten nachzuweisen. Das erleichtert nicht nur die Zusammenarbeit mit den Prüfern, sondern spart auch Zeit und Aufwand.

Gute Anbieter im Bereich Continuous Testing und Quality Engineering begleiten ihre Kunden auf dem ganzen Weg: Sie unterstützen dabei, geschäftskritische Systeme und Prozesse zu identifizieren, automatisierte Tests zu implementieren und die Ergebnisse im Dashboard zu analysieren. So sind Verantwortliche jederzeit auskunftsfähig und handlungsbereit, sowohl intern als auch gegenüber externen Auditoren. Denn DORA-Compliance ist keine einmalige Angelegenheit, sondern ein kontinuierlicher Prozess.

Über die Person
In seiner Rolle als Field CTO von Tricentis arbeitet Roman Zednik eng mit Kunden und Partnern zusammen, um technische Produktinnovationen voranzutreiben. Zudem fungiert er als Sprecher und Evangelist auf Events und Branchenveranstaltungen und unterstützt den strategischen Vertrieb. Zednik lebt und arbeitet in Wien, dem EMEA-Hauptsitz von Tricentis.