dora
dorapostgresqlcompliancebafin

DORA-Compliance für PostgreSQL-Datenbanken: Praktischer Leitfaden

DORA-Anforderungen für PostgreSQL umsetzen. ICT-Risikomanagement, Vorfallmeldung und Resilienz-Tests auf Datenbankebene.

RL
Robert Langner
Managing Director, NILS Software GmbH · · 3 min read

DORA auf Datenbankebene

DORA betrifft nicht nur Netzwerke und Anwendungen — die Datenbank ist ein zentrales IKT-System im Sinne der Verordnung. Die relevanten Artikel und ihre technische Umsetzung:

Artikel 5-16: IKT-Risikomanagement

BaFin erwartet ein dokumentiertes IKT-Risikomanagement-Framework. Auf Datenbankebene bedeutet das:

-- Automatisierte Sicherheitsbewertung (wöchentlich)
SELECT rule, category, severity, status, detail
FROM pgcomply.health_check()
ORDER BY CASE status WHEN 'FAIL' THEN 1 WHEN 'WARN' THEN 2 ELSE 3 END;

Ergebnis für eine teilweise gehärtete Datenbank:

 rule             | category   | severity | status | detail
------------------+------------+----------+--------+-----------------------------------
 SSL_ENFORCED     | encryption | critical | FAIL   | ssl = off
 SUPERUSER_COUNT  | access     | high     | WARN   | 2 Superuser (empfohlen: ≤ 1)
 PW_ENCRYPTION    | auth       | critical | PASS   | scram-sha-256
 AUDIT_INTEGRITY  | pgcomply   | critical | PASS   | SHA-256-Kette verifiziert

Zugriffskontrolle prüfen:

SELECT * FROM pgcomply.access_map();
SELECT * FROM pgcomply.role_hierarchy();

Artikel 17-19: Vorfallmeldung

DORA-Meldefristen sind strenger als DSGVO:

| Phase | Frist | Inhalt | |-------|-------|--------| | Erstmeldung | 4 Stunden | Vorfall erkannt, Schweregrad eingestuft | | Zwischenmeldung | 72 Stunden | Ursachenanalyse, betroffene Dienste, Gegenmaßnahmen | | Abschlussbericht | 1 Monat | Root Cause, Lessons Learned, Präventivmaßnahmen |

-- Vorfall dokumentieren
SELECT pgcomply.report_breach(
  'Unbefugter Zugriff auf API-Endpunkt',
  'Monitoring-Alert: 50 fehlgeschlagene Login-Versuche von ungewöhnlicher IP-Range.',
  'major',
  cause := 'Credential-Stuffing-Angriff gegen Admin-API',
  affected_services := ARRAY['admin-api'],
  subjects_count := 0
);
-- Ausgabe: NOTICE: Breach BR-2026-0001 logged. DPA notification deadline: ...

Artikel 24-25: Resilienz-Tests

Regelmäßige Tests der Betriebsresilienz:

-- Wöchentlich: Konfigurationsprüfung (automatisiert)
SELECT pgcomply.schedule_jobs(install := true);

-- Monatlich: Backup-Wiederherstellung testen
-- pg_dump → Restore auf Test-Instanz → pgcomply.verify_audit()

-- Quartalsweise: Failover-Drill
-- Replica promoten → pgcomply.health_check() auf neuem Primary

Artikel 28-30: Drittanbieter-Risiko

Alle IKT-Abhängigkeiten müssen dokumentiert sein:

SELECT pgcomply.tag('_infrastructure', 'db_provider', 'Hetzner Cloud');
SELECT pgcomply.tag('_infrastructure', 'db_standort', 'Deutschland, FSN1-DC14');
SELECT pgcomply.tag('_infrastructure', 'backup_provider', 'Hetzner Backup');
SELECT pgcomply.tag('_infrastructure', 'monitoring', 'Self-hosted Grafana');

BaFin-Prüfung vorbereiten

Fünf Abfragen, die BaFin-Prüfer typischerweise sehen wollen:

-- 1. Dateninventar
SELECT * FROM pgcomply.classification_map();

-- 2. Zugriffskontrolle
SELECT * FROM pgcomply.access_map();

-- 3. Änderungshistorie der letzten 90 Tage
SELECT * FROM pgcomply.ddl_history(since := NOW() - INTERVAL '90 days');

-- 4. Vorfallhistorie
SELECT * FROM pgcomply.breach_status();

-- 5. Aktuelle Sicherheitslage
SELECT * FROM pgcomply.health_check();

Kosten einer DORA-Nicht-Compliance

Die Konsequenzen einer DORA-Verletzung sind erheblich:

  • Verwaltungsstrafen: BaFin kann Geldbußen verhängen, deren Höhe sich an der Schwere des Verstoßes orientiert
  • Öffentliche Rüge: BaFin kann den Verstoß öffentlich bekanntmachen — ein Reputationsschaden, der Kundenvertrauen zerstört
  • Zulassungsentzug: Im Extremfall kann die Zulassung als Finanzunternehmen entzogen werden
  • Persönliche Haftung: Geschäftsleiter können persönlich haftbar gemacht werden

Typischer Implementierungsplan

| Woche | Maßnahme | pgcomply-Funktion | |-------|----------|-------------------| | 1 | PII-Inventar und Klassifizierung | quick_setup(), classification_map() | | 1 | Sicherheitshärtung nach CIS | health_check(), SSL, SCRAM | | 2 | Zugriffskontrolle und RLS | access_map(), enable_rls() | | 2 | Audit-Trail verifizieren | verify_audit() | | 3 | Vorfallmeldeprozess einrichten | report_breach(), Playbook dokumentieren | | 3 | Automatisierung via pg_cron | schedule_jobs() | | 4 | Drittanbieter-Register | Tags, Dokumentation | | 4 | Backup-Wiederherstellungstest | manuell + verify_audit() |

Nach 4 Wochen haben Sie eine dokumentierte DORA-Compliance-Baseline mit automatisierten Prüfungen und Nachweisen.

Diese fünf Abfragen liefern die technischen Nachweise, die BaFin bei einer Prüfung erwartet.

Frequently Asked Questions

Gilt DORA auch für kleine Fintech-Startups?
Ja, wenn Sie ein reguliertes Finanzunternehmen in der EU sind. Das umfasst Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen und Krypto-Dienstleister. Der Verhältnismäßigkeitsgrundsatz bedeutet leichtere Anforderungen für kleinere Unternehmen, aber die Kernpflichten gelten.
Was passiert bei einem DORA-Verstoß?
Nationale Aufsichtsbehörden (z.B. BaFin) können Verwaltungsstrafen verhängen, öffentliche Erklärungen abgeben oder die Zulassung entziehen. Für kritische IKT-Drittanbieter kann die EU periodische Strafzahlungen von bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes verhängen.
Wie unterscheidet sich DORA von DSGVO?
DSGVO schützt personenbezogene Daten, DORA schützt die Betriebsstabilität des Finanzsystems. Beide erfordern Zugriffskontrolle, Verschlüsselung und Audit-Trails, aber DORA ergänzt Resilienz-Tests, Drittanbieter-Risikomanagement und kürzere Meldefristen bei Vorfällen (4 Stunden statt 72 Stunden).
Share:TwitterLinkedInHacker News

Related Articles

tutorials

GDPR vs DORA: What Database Teams Need to Know About Both

A practical comparison of GDPR and DORA requirements for database teams. Where they overlap, where they differ, and what you need to implement.

dora

DORA Compliance for PostgreSQL: A Practical Guide for Financial Institutions

Implement DORA compliance at the PostgreSQL database level. Health checks, incident reporting, and resilience testing for financial entities.

tutorials

PostgreSQL Compliance for Fintech Startups: GDPR + DORA in One Stack

GDPR and DORA compliance for fintech startups using PostgreSQL. BaFin readiness, incident reporting, and cost analysis.