DORA-Compliance-Prompt: IT-Resilienz von Banken per KI analysieren

Seit dem 17. Januar 2025 gilt DORA verbindlich für Banken, Versicherer und kritische ICT-Drittanbieter in der EU. 2026 ist die Schonfrist vorbei: Regulatoren wie die ECB und nationale Behörden wechseln von papierbasierter Duldung zu proaktiver Aufsicht und gezielten Vor-Ort-Prüfungen — mit persönlichen Bußgeldern in Millionenhöhe (z. B. bis zu 5 Mio. EUR in Deutschland oder 1 Mio. EUR in Spanien) für Führungskräfte bei unzureichender ICT-Risikoüberwachung. Der folgende Prompt nutzt Chain-of-Thought-Reasoning, um aus fragmentierten IT-Bestandsaufnahmen strukturierte Compliance-Analysen und operative Maßnahmen zu generieren.

Der Prompt ist plattformübergreifend für ChatGPT und Claude getestet. Er enthält integrierte DSGVO- und DORA-Guardrails, sodass keine personenbezogenen oder sicherheitskritischen Rohdaten in den Input fließen müssen. Fülle einfach die Variablen in Klammern mit deinen Institutsdaten.

ROLE:
Du bist ein erfahrener IT-Resilienz-Analyst mit Spezialisierung auf den Digital Operational Resilience Act (DORA, EU 2022/2554) und ICT-Risikomanagement im Finanzsektor. Du argumentierst Schritt für Schritt, bevor du Empfehlungen aussprichst.

KONTEXT:
Das Finanzinstitut [INSTITUTION_NAME] mit Sitz in [STANDORT, z.B. Frankfurt am Main] betreibt folgende kritische ICT-Systeme: [SYSTEM_LISTE, z.B. Core-Banking-System, Cloud-Provider AWS EU-WEST-1, Payment-Gateway XYZ]. Der aktuelle Reifegrad der DORA-Compliance wird intern als [REIFEGRAD, z.B. "Gap-Analyse abgeschlossen, Tests ausstehend"] eingeschätzt. Das Institut fällt unter die Kategorie: [KATEGORIE, z.B. bedeutendes Institut unter EZB-Aufsicht / kleineres Institut unter nationaler BaFin-Aufsicht].

AUFGABE:
Analysiere die ICT-Resilienz des Instituts anhand der fünf DORA-Säulen in dieser Reihenfolge:
1. ICT-Risikomanagement-Framework
2. Incident-Management und -Reporting
3. Digitale operationale Resilienztests (inkl. TLPT-Anforderungen)
4. Drittanbieter-Risikomanagement (Konzentrationsrisiko bei Cloud-Providern)
5. Informationsaustausch über Cyberbedrohungen

Gehe für jede Säule folgende Schritte durch:
- Schritt 1: Bewerte den aktuellen Status anhand des angegebenen Reifegrads (1-5 Skala, 5 = vollständig konform).
- Schritt 2: Identifiziere die größte Compliance-Lücke dieser Säule.
- Schritt 3: Formuliere eine operative Sofortmaßnahme (umsetzbar in unter 90 Tagen).
- Schritt 4: Benenne den zuständigen DORA-Responsible-Officer-Bereich (IT, Legal, CISO, Board).

OUTPUT-FORMAT:
Erstelle eine strukturierte Tabelle mit den Spalten: Säule
Status (1-5)
Größte Lücke
Sofortmaßnahme
Zuständigkeit.
Darunter: Ein Priorisierungsabschnitt mit den TOP 3 Maßnahmen nach Dringlichkeit und Aufwand.
Abschließend: Ein Satz zur Board-Kommunikation, der die Gesamtrisiko-Einschätzung in nicht-technischer Sprache zusammenfasst.

GUARDRAILS:
- Verwende KEINE echten Kundendaten, Zugangsdaten oder interne System-Passwörter im Input.
- Stelle keine Compliance-Zertifizierung aus — alle Outputs sind als Analyse-Grundlage zu verstehen, nicht als Rechtsberatung.
- Kennzeichne spekulative Einschätzungen explizit als "[Annahme]".
- Beachte, dass DORA-Anforderungen je nach Institutsgröße variieren (Proportionalitätsprinzip, Art. 4 DORA).

Beispiel-Output (fiktiv, DACH-Kontext):

Institution: Musterbank AG, Frankfurt am Main
Cloud: AWS EU-WEST-1
Reifegrad: "Gap-Analyse abgeschlossen, Tests ausstehend"
Kategorie: Bedeutendes Institut unter EZB-Aufsicht

Analyse-Tabelle:
Säule 1 – ICT-Risikomanagement
Status: 3/5
Lücke: Kein vollständiges Asset-Inventar für Legacy-Systeme
Sofortmaßnahme: CMDB-Audit für Systeme mit RTO < 4h bis Q2 2026 abschließen
Zuständigkeit: IT / CISO
Säule 4 – Drittanbieter-Risiko
Status: 2/5
Lücke: AWS-Konzentrationsrisiko ohne dokumentierten Failover auf alternativen Provider
Sofortmaßnahme: Getesteten Contingency-Plan für AWS-Ausfall (analog Oktober-2025-Ausfall, der Lloyds Bank traf) bis September 2026 dokumentieren | Zuständigkeit: IT / Legal

TOP 3 Prioritäten: 1. CMDB-Audit (hoch/mittel), 2. Drittanbieter-Contingency (sehr hoch/hoch), 3. TLPT-Planung mit BaFin abstimmen (hoch/hoch)

Board-Kommunikation: „Die Musterbank AG erfüllt aktuell Basis-Anforderungen unter DORA, weist jedoch bei Cloud-Abhängigkeit und operativen Resilienztests kritische Lücken auf, die bei einer aufsichtlichen Prüfung in 2026 zu Beanstandungen führen können."

So verwendest du den Prompt

Kopiere den Prompt vollständig in ChatGPT oder Claude. Ersetze anschließend die fünf Variablen in eckigen Klammern mit deinen Institutsdaten:

• [INSTITUTION_NAME]: Offizielle Firmenbezeichnung oder anonymisiertes Kürzel für interne Tests
• [STANDORT]: Relevanter Aufsichtsstandort — bestimmt, welche nationale Behörde (wie BaFin oder FMA) zuständig ist
• [SYSTEM_LISTE]: Kritische ICT-Systeme aus deinem Register of Information (DORA Art. 28) — nur Systemtypen, keine Zugangsdaten
• [REIFEGRAD]: Deine ehrliche Einschätzung des aktuellen Compliance-Stands, z.B. aus einer vorangegangenen Gap-Analyse
• [KATEGORIE]: Institutsgröße nach DORA-Proportionalitätsprinzip (Art. 4) — beeinflusst, welche Anforderungen voll oder vereinfacht gelten

Für erste Tests empfiehlt sich ein fiktiver Institutsname mit realen Systemtypen deiner Infrastruktur. So erhältst du sofort praxisnahe Maßnahmen ohne Datenschutzrisiko. DSGVO-Hinweis: Keine personenbezogenen Daten, Kundenkennungen oder interne Zugangsdaten in den Input einfügen — die Guardrails im Prompt sind Erinnerung, kein technischer Schutz.

Warum dieser Prompt funktioniert

Der Prompt kombiniert drei nachweislich wirksame Prompting-Techniken. Role Prompting setzt das Modell auf einen spezialisierten Analysten-Frame: LLMs aktivieren dadurch stärker domänenspezifische Token-Sequenzen aus dem Finanz- und Regulatorik-Kontext, was die Präzision der Outputs messbar erhöht.

Chain-of-Thought (CoT) ist das Kernstück. Indem der Prompt die KI explizit zwingt, vier Zwischenschritte pro Säule zu durchlaufen — Statusbewertung, Lückenidentifikation, Maßnahmen, Zuständigkeit — verhindert er, dass das Modell direkt zur Antwort springt und dabei logische Sprünge überspringt. Untersuchungen von Google Research zeigen, dass CoT die Leistung bei komplexen, mehrstufigen Analyse-Aufgaben signifikant verbessert, da das Modell Zwischenschritte nicht mehr überspringt. Für DORA-Compliance, die aus fünf interdependenten Säulen besteht, ist diese schrittweise Verarbeitung entscheidend.

XML-ähnliche Strukturierung (ROLE / KONTEXT / AUFGABE / GUARDRAILS als explizite Sektionen) gibt dem Modell während der Token-Verarbeitung klare Segment-Grenzen. Claude und ChatGPT verarbeiten diese Struktur als semantische Marker, die verhindern, dass Kontext-Informationen aus einem Abschnitt in einen anderen „bluten". Das Ergebnis ist ein konsistenterer Output, der direkt ins Register of Information oder als Board-Vorlage verwendbar ist — ohne manuelle Nachbearbeitung.