Technologieführer in Banken sollen etwas leisten, das einfach klingt, es aber selten ist: das Institut schneller machen, ohne es anfälliger zu machen.
In ganz Europa modernisieren Finanzinstitute ihre Infrastruktur, lösen Altsysteme ab, automatisieren Backoffice-Prozesse und testen neue Einsatzmöglichkeiten für künstliche Intelligenz. Gleichzeitig arbeiten sie unter strengeren Erwartungen an Resilienz, Prüfbarkeit und Risiken durch Drittanbieter.
Diese Kombination erzwingt einen neuen Blick auf einen Bereich, der oft außerhalb des Rampenlichts steht: sichere externe Kommunikation.
E-Mail-Verschlüsselung erhält vielleicht nicht dieselbe Aufmerksamkeit im Vorstand wie KI, Betrugsprävention oder Cloud-Migration. Doch Banken verlassen sich weiterhin auf E-Mails, um sensible Informationen mit Kunden, Gegenparteien, Aufsichtsbehörden, Beratern und Lieferanten auszutauschen. Wenn die unterstützende Infrastruktur fragmentiert, manuell oder schwer zu steuern ist, entsteht genau jene operative Reibung, die Modernisierungsprogramme eigentlich beseitigen sollen.
Für Banken lautet die Frage nicht mehr, ob verschlüsselte E-Mail einen Platz im Sicherheits-Stack hat. Die Frage ist, ob ältere Ansätze dem heutigen Druck nach Geschwindigkeit, Resilienz und Kontrolle noch standhalten können.
DORA verändert den Maßstab dafür, was „gut genug“ bedeutet
Der Digital Operational Resilience Act der EU, besser bekannt als DORA, gilt seit dem 17. Januar 2025 im gesamten Finanzsektor.
DORA ist keine E-Mail-Verschlüsselungsverordnung. Die Verordnung schreibt keine bestimmte Plattform für sichere Nachrichten vor und legt auch nicht fest, wie Banken S/MIME-Zertifikate verwalten sollen. Ihre Bedeutung ist umfassender.
Die Verordnung erhöht die Erwartungen an die operationale Resilienz. Finanzinstitute müssen zeigen, dass ihre technologischen Kontrollen auch unter Druck funktionieren, dass Abhängigkeiten von Drittanbietern verstanden werden und dass kritische Prozesse nicht von fragilen Arbeitsabläufen zusammengehalten werden.
Das ist für sichere Kommunikation wichtig, weil das Problem selten im Fehlen von Verschlüsselungsstandards liegt. Banken kennen den Wert des Schutzes sensibler Daten bereits. Das Problem ist, ob sichere Kommunikation verlässlich bleibt, wenn eine Organisation mit Tausenden von Nutzern, mehreren Domains, gemeinsamen Postfächern, externen Empfängern und einem stetigen Strom aus Onboarding, Verlängerungen und Offboarding umgehen muss.
Ein System kann in einem Richtliniendokument konform wirken und in der Praxis dennoch operatives Risiko schaffen.
Wenn Zertifikatsverlängerungen von manuellen Eingriffen abhängen, werden Verzögerungen vorhersehbar. Wenn Administratoren routinemäßige Ausstellungsprobleme über Service-Tickets lösen müssen, übernehmen Support-Teams Arbeit, die automatisiert sein sollte. Wenn Nutzer geschützte Nachrichten nicht dann senden können, wenn sie es müssen, suchen sie sich einen anderen Weg.
Genau dort wird die Resilienzfrage konkret.
Banken modernisieren nicht nur Systeme. Sie vereinfachen ihre Betriebsmodelle.
Der Effizienzdruck ist im gesamten Sektor sichtbar. RBC hat ein Ziel von 55 % für die bereinigte Effizienzquote gesetzt und skaliert gleichzeitig KI über seine Geschäftsbereiche hinweg. JPMorgan Chase stellt Technologieinvestitionen weiterhin in den Kontext seines „Fortress“-Ansatzes für Resilienz und langfristige Wettbewerbsfähigkeit. UBS arbeitet an der Integration der Credit Suisse und reduziert zugleich Legacy-Komplexität, während Institute wie Santander, ING und ABN AMRO Plattformvereinfachung, Automatisierung und KI-gestützte Betriebsmodelle vorantreiben.
Diese Beispiele verweisen auf eine breitere Marktverschiebung. Finanzinstitute konsolidieren Plattformen, bauen technische Schulden ab, reduzieren doppelte Systeme und versuchen, mehr Wert aus Cloud-Investitionen zu ziehen. KI beschleunigt diese Diskussion, weil Automatisierung damit zu einer Vorstandspriorität wird und nicht nur zu einem Experiment am Rand der IT.
Der Haken ist, dass eine Bank kaum glaubwürdig behaupten kann, ein schlankeres, cloudfähiges Betriebsmodell aufzubauen, wenn Teile ihrer Sicherheitsinfrastruktur weiterhin von manuellen Zertifikatsabläufen, alternden Gateways oder fragmentierten On-Premises-Tools abhängen. Legacy-Verschlüsselungssysteme werden oft toleriert, weil sie noch funktionieren, eine seit Langem bestehende interne Anforderung erfüllen oder einer kleinen Gruppe von Administratoren vertraut sind. Das bedeutet nicht, dass sie effizient sind.
Mit der Zeit zeigen sich die Kosten auf weniger sichtbare Weise: Support-Tickets, verzögerte Verlängerungen, Spezialistenwartung, uneinheitliche Durchsetzung von Richtlinien, vermeidbare Reibung für Nutzer und eine wachsende Lücke zwischen der Cloud-Strategie der Organisation und ihrer Architektur für sichere Kommunikation. Die finanziellen Kosten lassen sich möglicherweise schwer isolieren, aber das operative Muster ist bekannt: Ein System, das ständig Eingriffe benötigt, wird irgendwann zum Engpass.
Das übersehene Problem ist die ausgehende Kommunikation
Cybersicherheitsprogramme richten enorme Aufmerksamkeit auf eingehende E-Mail-Bedrohungen.
Dieser Fokus ist berechtigt. Phishing, Diebstahl von Zugangsdaten, Malware, Identitätsvortäuschung und Business Email Compromise bleiben für Finanzinstitute erhebliche Risiken.
Doch Schutz vor eingehenden Bedrohungen deckt nur eine Seite der Kommunikation ab.
Banken senden täglich auch sensibles Material nach außen. Kundendokumente, Transaktionsdetails, juristische Korrespondenz, Kontoinformationen, interne Berichte und regulatorische Kommunikation bewegen sich über die unmittelbare Umgebung des Instituts hinaus.
Dieser externe Informationsfluss ist schwieriger zu kontrollieren.
Sobald eine Nachricht die Grenze der Organisation überschreitet, müssen Sicherheitsteams Empfängersysteme, Vertrauensbeziehungen, Zustellmethoden, Geräteunterschiede und Nutzerverhalten berücksichtigen. Der Empfänger kann eine andere Bank sein, ein Firmenkunde, eine Aufsichtsbehörde, eine Kanzlei oder ein einzelner Privatkunde. Jede Beziehung bringt ein anderes Maß an technischer Reife mit.
Hier wird verschlüsselte Kommunikation zu einer Betriebsdisziplin und nicht nur zu einer Produktfunktion.
Die stärkste Architektur ist nicht jene, die Nutzer zwingt, jedes Mal perfekte Entscheidungen zu treffen. Es ist jene, die die Zahl der Entscheidungen verringert, die Nutzer überhaupt treffen müssen.
Zertifikatsmanagement ist der Punkt, an dem S/MIME-Implementierungen teuer werden
S/MIME bleibt im Bankwesen relevant, weil es verschlüsselte und digital signierte E-Mails mithilfe digitaler Zertifikate unterstützt. Es kann Vertraulichkeit gewährleisten und helfen, die Identität des Absenders zu überprüfen.
Der Standard ist gut etabliert. Das Betriebsmodell ist der schwierige Teil.
Jedes Zertifikat muss ausgestellt, bereitgestellt, verlängert und widerrufen werden. Jedes Zertifikat muss der richtigen Identität zugeordnet sein. Jede Änderung des Beschäftigungsstatus, der Postfachkonfiguration oder der Organisationsstruktur kann einen weiteren Fehlerpunkt schaffen.
Im kleinen Maßstab mag das beherrschbar sein.
Im Maßstab einer Bank wird es zur Infrastruktur.
Tausende Mitarbeitende benötigen möglicherweise Funktionen für sichere Kommunikation. Neue Mitarbeitende müssen schnell eingebunden werden. Ausscheidende Mitarbeitende müssen sauber entfernt werden. Zertifikate müssen vor Ablauf verlängert werden. Gemeinsame Postfächer und Alias-Adressen müssen verlässlich funktionieren. Fusionen, Übernahmen und Veränderungen in Geschäftsbereichen erhöhen die Komplexität.
Wenn diese Prozesse auf manueller Administration beruhen, wird ein Ausfall nur zu einer Frage der Zeit.
Das Problem ist nicht einfach, dass manuelle Arbeit teuer ist. Es besteht darin, dass manuelle Arbeit uneinheitliche Ergebnisse erzeugt. Manche Verlängerungen erfolgen früh. Manche erfolgen spät. Manche Teams erhalten schneller Unterstützung als andere. Manche Nutzer greifen zu Umgehungslösungen, weil der genehmigte Weg unzuverlässig wirkt.
Das Ergebnis ist eine Sicherheitskontrolle, die zwar existiert, aber nicht gleichmäßig funktioniert.
Kundenverwaltete Zertifizierungsstellen werden Teil der Cloud-Debatte
Das ist der Kontext hinter der neuen AWS Private CA-Integration von Echoworx.
Laut der öffentlichen Ankündigung des Unternehmens kann Echoworx nun die Generierung von S/MIME-Zertifikaten über eine kundenverwaltete Zertifizierungsstelle automatisieren, die in AWS Private CA gehostet wird.
Die Unterscheidung ist wichtig.
Die Bank behält die Kontrolle über ihre Zertifizierungsstelle und den Prozess der Zertifikatsausstellung. Echoworx stellt die Automatisierung bereit, die erforderlich ist, um Zertifikate für E-Mail-Verschlüsselung am Perimeter anzufordern, abzurufen und bereitzustellen.
Für Sicherheitsteams schafft das eine nützlichere Balance.
Sie müssen sich nicht zwischen interner Kontrolle und operativer Effizienz entscheiden. Sie können die Autorität über die Zertifikatsausstellung behalten und gleichzeitig die repetitive Arbeit reduzieren, die mit dem Lebenszyklusmanagement verbunden ist.
Dieses Modell ist besonders relevant für Banken, die AWS bereits als strategische Plattform nutzen. Cloud-Modernisierung bedeutet nicht einfach, Anwendungen zu verlagern. Es geht darum, Identität, Verschlüsselung, Governance und Prüfbarkeit in eine konsistentere Architektur zu bringen.
Eine kundenverwaltete CA kann in diese Entwicklungsrichtung passen. Sie ermöglicht dem Institut, die Eigentümerschaft über eine sensible Kontrolle zu behalten und zugleich die Abhängigkeit von fragmentierten manuellen Prozessen zu verringern.
KI macht das Problem nicht weniger, sondern noch dringlicher
Das Interesse des Bankensektors an künstlicher Intelligenz fügt der Diskussion eine weitere Ebene hinzu.
KI wird eingesetzt, um den Kundenservice zu verbessern, Betrug zu erkennen, Analysten zu unterstützen, interne Aufgaben zu automatisieren und operative Abläufe zu beschleunigen. Die Ambition beschränkt sich nicht auf Experimente. Banken wollen zunehmend, dass KI-gestützte Systeme messbare Effizienzgewinne liefern.
Schnellere Abläufe erzeugen jedoch auch mehr Druck auf die sie umgebenden Kontrollen.
Wenn ein Prozess Informationen schneller erzeugen, prüfen oder bewegen kann, braucht die Organisation Sicherheitssysteme, die mithalten können. Eine Bank kann sich in einer Umgebung, in der mehr Geschäftsprozesse automatisiert werden und mehr sensible Daten durch digitale Kanäle fließen, nicht auf manuelle Zertifikatsbearbeitung verlassen.
Es geht nicht darum, dass KI einen neuen Grund schafft, E-Mails zu verschlüsseln. Banken hatten diesen Grund bereits.
Es geht darum, dass KI die Toleranz für langsame, fragmentierte und vom Menschen abhängige Sicherheitsabläufe reduziert.
Automatisierung in einem Teil des Geschäfts legt manuelle Reibung in einem anderen Teil offen.
Deshalb gehört sichere Kommunikation zunehmend in die Modernisierungsagenda. Sie ist kein separates Projekt. Sie ist Teil des Betriebsmodells.
Das eigentliche Ziel ist weniger Reibung
Banken versuchen nicht, Kontrollen zu entfernen. Sie versuchen, unnötige Reibung zu beseitigen.
Dieser Unterschied ist wichtig.
Eine starke Sicherheitskontrolle sollte für Angreifer schwer zu umgehen, für autorisierte Nutzer aber leicht zu befolgen sein. Wenn der sichere Weg zu langsam, zu verwirrend oder zu unzuverlässig ist, beginnen Mitarbeitende zu improvisieren.
Sie nutzen private Konten. Sie senden ungeschützte Anhänge. Sie wechseln zu unkontrollierten Filesharing-Tools. Sie verlagern Gespräche in Consumer-Messaging-Plattformen. Sie schaffen informelle Ausnahmen, weil ein Kunde oder eine Führungskraft schnell eine Antwort benötigt.
Nichts davon ist überraschend. Menschen suchen Wege um Hindernisse herum.
Der Fehler besteht darin, dieses Verhalten nur als Schulungsproblem zu betrachten.
Manchmal ist es ein Designproblem.
Wenn Zertifikatsausstellung, Verlängerung und Bereitstellung automatisiert werden können, verschwindet eine Reibungsquelle. Wenn Nutzer nicht mehr auf routinemäßige administrative Eingriffe warten müssen, wird der genehmigte Ablauf vertrauenswürdiger. Wenn sichere Kommunikation konsistent funktioniert, verbessert sich die Akzeptanz.
Automatisierung ist daher nicht nur eine Effizienzmaßnahme. Sie ist eine Maßnahme zur Verbesserung der Kontrollqualität.
FS-ISAC rückt die Diskussion stärker in den Fokus
Diese Fragen waren Teil der breiteren Diskussion auf dem FS-ISAC 2026 EMEA Summit, der vom 15. bis 18. Juni 2026 in Den Haag stattfand. Echoworx nimmt als Sponsor teil.
Der Zeitpunkt ist relevant.
Finanzinstitute bewegen sich in einer Phase, in der Resilienz, KI-Risiken, Cloud-Strategie, Identität und Abhängigkeiten von Drittanbietern immer stärker miteinander verbunden sind. Sicherheitsverantwortliche können verschlüsselte Kommunikation nicht als enges Messaging-Thema behandeln, während sich der Rest der Technologielandschaft darum herum weiterentwickelt.
Der Bankensektor braucht keine zusätzliche Komplexität, die als Modernisierung getarnt ist.
Er braucht Kontrollen, die leichter zu steuern, leichter zu skalieren und schwerer zu umgehen sind.
Die nächste Phase der E-Mail-Verschlüsselung ist operativ
Für Banken wird die Zukunft verschlüsselter E-Mails nicht allein durch Kryptografie entschieden.
Entscheidend ist, ob sichere Kommunikation als verlässliche Infrastruktur funktionieren kann: richtliniengesteuert, prüfbar, skalierbar und an der Cloud-Strategie des Instituts ausgerichtet.
Deshalb sind kundenverwaltete Zertifizierungsstellen wichtig.
Sie bieten eine Möglichkeit, die Kontrolle über die Zertifikatsausstellung zu behalten und zugleich die operative Belastung zu reduzieren, die viele S/MIME-Implementierungen im großen Maßstab schwer beherrschbar gemacht hat.
In einem Sektor, der von Effizienzdruck und Resilienzerwartungen geprägt ist, wird diese Kombination zunehmend wertvoll.
Banken bewerten E-Mail-Verschlüsselung nicht deshalb neu, weil die alten Standards aufgehört hätten zu funktionieren.
Sie tun es, weil die alten Betriebsmodelle nicht mehr zu dem Institut passen, das sie aufbauen wollen.
