Die DORA-Meldekaskade ist seit dem 17. Januar 2025 scharf: 24 Stunden Fruehwarnung, 72 Stunden Zwischenbericht, ein Monat Abschlussbericht. In der Praxis scheitern Finanzunternehmen weniger an der Technik als an der Frage, wer was wann freigibt und in welchem Format. Hier eine pragmatische Anleitung fuer die 24-Stunden-Erstmeldung.

Wann die 24-Stunden-Uhr laeuft

Die Uhr startet ab Kenntnisnahme des Vorfalls als 'erheblicher ICT-bezogener Vorfall' im Sinne von DORA Art. 18. Nicht ab der ersten Anomalie, sondern ab der internen Klassifizierung.

Die Schwellen sind durch Delegierte Verordnungen praezisiert: Anzahl betroffener Kunden, Dauer, geographische Verbreitung, Datenintegritaet, kritische Dienste, oekonomische Auswirkungen. Mindestens eine Schwelle reissen reicht.

Praktisch: das SOC braucht eine klare Eskalationsmatrix und einen designierten Klassifizierer (typischerweise CISO oder IT-Risikoverantwortlicher) der die Entscheidung 'meldepflichtig: ja/nein' trifft und dokumentiert.

Pflichtfelder der Erstmeldung

Identifikation des meldenden Finanzunternehmens (Name, LEI, BaFin-ID).

Datum und Uhrzeit der Vorfallserkennung sowie der Klassifizierung.

Kurzbeschreibung: betroffene Systeme, Dienste, Geschaeftsfelder.

Erste Einschaetzung der Ursache (technisch, menschlich, dritte Partei, unbekannt).

Anzahl betroffener Kunden bzw. Schaetzung.

Sofortmassnahmen, die bereits ergriffen wurden.

Kontakt fuer Rueckfragen (Person, Mail, Telefon, 24/7 erreichbar).

Was nicht in die Erstmeldung gehoert

Spekulationen ueber Ursache, die nicht belegt sind. Lieber 'unbekannt, in Analyse' als eine spaeter widerrufene Theorie.

Schadenshoehen, die nicht ermittelt sind. Bei der 24h-Marke ist das in der Regel nicht moeglich.

Schuldzuweisungen an Dritte ohne forensische Belege.

Daten, die unter Geschaeftsgeheimnis fallen und nicht meldepflichtig sind.

Trail-Dokumentation

Die BaFin (und nach Art. 19 die EBA, EIOPA, ESMA) erwarten einen lueckenlosen Eskalations-Trail: Wer hat wann was entschieden, welche Quellen waren verfuegbar.

Empfehlung: ein durchgaengiges Incident-Memo mit Zeitstempeln, Entscheidungen, Freigaben. Genau die Struktur, die DecisionOS auch fuer Beschaffungsentscheidungen produziert.

Das Memo dient zwei Zwecken: regulatorische Nachvollziehbarkeit fuer den Pruefer, organisationale Lernschleife fuer die naechste TLPT-Uebung.

Die haeufigsten Fehler

Erstmeldung zu spaet: weil die Klassifizierung im Konsens-Verfahren erfolgt statt durch einen designierten Verantwortlichen.

Erstmeldung zu fruueh: weil jeder Vorfall reflexhaft gemeldet wird, ohne dass die Schwellen tatsaechlich erreicht sind. Fuehrt zu Aufsichts-Ermuedung und Wahrnehmung mangelnder Faehigkeit.

Erstmeldung unvollstaendig: weil Kontaktperson nicht 24/7 erreichbar war.

Erstmeldung inkonsistent zur 72h-Folgemeldung: weil die Anfangszahlen geraten waren.

Vorbereitung: Tabletop und Trail-Vorlage

Wer den Prozess das erste Mal im Ernstfall durchspielt, scheitert. DORA Art. 25 verlangt ohnehin operative Resilienz-Tests. Mindestens halbjaehrlich eine Tabletop-Uebung mit echter Stoppuhr, mit Klassifizierung, Meldung, Trail-Dokumentation. Vorlage und Pflichtfelder muessen in einem auditfaehigen Werkzeug liegen, nicht in einer Excel-Tabelle.

DORA 24-Stunden-Erstmeldung: Was wirklich rein muss