- „BaFin-konforme Website“ ist kein Siegel - aber wer für ein reguliertes Unternehmen baut, erbt dessen Anforderungen: Nachvollziehbarkeit, Zugriffskontrolle, Verfügbarkeit.
- Seit DORA gilt: IKT-Dienstleister von Finanzunternehmen stehen mit im Risikomanagement. Deine Agentur wird Teil der Prüfung.
- Wir haben Web-Plattformen für zwei BaFin-regulierte Unternehmen gebaut (Finoa, König Leasing) - dieser Artikel zeigt, was dabei wirklich verlangt wird.
Transparenz: Wir sind Ingenieure, keine Rechtsberater. Dieser Artikel beschreibt Anforderungen, wie sie uns in Projekten für regulierte Unternehmen tatsächlich begegnet sind - er ersetzt keine aufsichtsrechtliche Beratung.
Warum es „BaFin-konforme Webentwicklung“ offiziell nicht gibt
Die BaFin zertifiziert keine Websites. Reguliert ist das Unternehmen - Bank, Krypto-Verwahrer, Leasinggesellschaft. Aber: Sobald deine Website Teil der Geschäftsprozesse wird (Anträge, Kundendaten, Dokumenten-Upload), fällt sie in dessen IT-Risikomanagement. Und das ist streng geregelt: MaRisk und BAIT geben den Rahmen vor, seit Januar 2025 gilt zusätzlich DORA - die EU-Verordnung zur digitalen Resilienz im Finanzsektor, die ausdrücklich auch IKT-Drittdienstleister in die Pflicht nimmt.
Übersetzt heißt das: Wenn ein reguliertes Unternehmen eine Agentur beauftragt, prüft es nicht nur das Design-Portfolio. Es prüft, ob der Dienstleister Sicherheits- und Betriebsanforderungen tragen kann, die sonst intern gelten würden. Genau diese Anforderungen sind planbar - wenn man sie kennt.
Was regulierte Kunden wirklich verlangen - 7 Bausteine aus der Praxis
1. Nachvollziehbarkeit: der Audit-Trail
Wer hat wann welchen Inhalt geändert? Für die Finoa-Plattform haben wir das CMS um ein revisionsfestes Audit-Log erweitert: Jede Änderung - Anlegen, Bearbeiten, Publizieren, Löschen - wird mit Zeitstempel, Benutzer und komplettem Vorher-Nachher-Vergleich protokolliert, als zeilengenauer Diff. Bei einer Rückfrage der Compliance ist die Antwort ein Klick, kein Archäologie-Projekt.
2. Zugriffskontrolle: 2FA ist Pflicht, nicht Kür
Content-Management-Zugänge sind ein Angriffsvektor. Für Finoa haben wir den CMS-Login um eine eigene Zwei-Faktor-Authentifizierung erweitert - pro Benutzer, ohne Ausnahme. Bei König Leasing sind sämtliche Verwaltungsoberflächen zusätzlich netzwerkseitig abgeschottet - öffentlich erreichbar ist nur, was öffentlich sein muss.
3. Kontrollierte Releases statt „mal eben live“
Beide Plattformen trennen Preview und Produktion strikt: Inhalte werden auf einer zugangsbeschützten Preview freigegeben, erst ein bewusster Release-Schritt kopiert den geprüften Stand in die Produktion. Kein Inhalt geht live, den nicht jemand freigegeben hat - technisch erzwungen, nicht als Prozess-Papier.
4. Verschlüsselung überall
Transportverschlüsselung ohne Ausnahme, verschlüsselte Datenbanken und Dateisysteme, verschlüsselte Backups - bei Finoa ist auch der Datenverkehr zwischen internen Diensten verschlüsselt. Das klingt selbstverständlich - geprüft wird es trotzdem, Punkt für Punkt.
5. Verfügbarkeit und Desaster-Szenarien
Die Finoa-Infrastruktur ist auf Ausfälle ausgelegt: Fällt ein Standort aus, übernimmt automatisch ein zweiter. Dazu regelmäßige Backups mit definierter Aufbewahrung, Löschschutz auf kritischen Ressourcen und die komplette Infrastruktur als Code - im Ernstfall ist die Umgebung reproduzierbar, nicht rekonstruierbar.
6. Least Privilege bis in die Infrastruktur
Jeder Dienst bekommt exakt die Rechte, die er braucht - bei Finoa sind die Berechtigungen je Dienst strikt getrennt, und Änderungen daran sind besonders geschützt. Die internen Systeme hängen nicht direkt am Internet; Zugriff läuft über definierte, protokollierte Wege.
7. Sensible Daten: so wenig wie möglich, so kurz wie möglich
Die König-Leasing-Antragsstrecke nimmt Ausweis- und Einkommensdokumente entgegen - über eine mehrfach missbrauchsgeschützte Schnittstelle, die die Unterlagen direkt in das CRM des Unternehmens durchreicht, wo Berechtigungen und Löschfristen bereits geregelt sind. Die Website selbst wird nicht zum Dokumentenarchiv.
„Der Unterschied zu einem normalen Webprojekt ist nicht die Technik - es ist die Beweislast. Alles, was du sowieso tun solltest, musst du hier nachweisen können.“
DUNA Engineering
Datenschutz: Consent ist im Finanzumfeld Chefsache
Granulare Cookie-Einwilligung (Accept, Reject, kategorienweise), Skripte, die erst nach Einwilligung laden, Widerruf jederzeit - das haben wir für Finoa vollständig eigenentwickelt, ohne Drittanbieter-Banner. Dazu gehören saubere Pflichtseiten und eine Indexierungssteuerung pro Seite. Im Finanzumfeld schaut auf diese Details nicht nur der Datenschutzbeauftragte, sondern auch die Aufsicht.
Und ISO 27001?
Der Standard, nach dem Finanzunternehmen ihre Dienstleister am häufigsten fragen, ist ISO/IEC 27001 - das Managementsystem für Informationssicherheit. Eine Agentur muss nicht zwingend zertifiziert sein; sie muss aber zeigen können, dass ihre Prozesse den Kontrollen standhalten: Zugriffsmanagement, Änderungsprotokolle, Verschlüsselung, Notfallpläne. Die sieben Bausteine oben sind im Kern genau das - gelebte 27001-Kontrollen im Webprojekt.
Checkliste: Fragen an deine Agentur
- Wie werden CMS-Zugriffe abgesichert - gibt es 2FA und rollenbasierte Rechte?
- Wird jede Inhalts- und Systemänderung protokolliert? Mit Diff?
- Wie ist der Release-Prozess - gibt es eine erzwungene Preview-Freigabe?
- Was passiert bei Ausfall der Infrastruktur - gibt es ein getestetes Failover?
- Liegt die Infrastruktur als Code vor? Wer darf sie ändern?
- Wo landen personenbezogene Dokumente aus Formularen - und wo bewusst nicht?
- Ist der Dienstleister bereit, in eure DORA-Auslagerungsverträge einzutreten?
Wir haben für einen BaFin-regulierten Krypto-Verwahrer und eine Leasinggesellschaft gebaut - inklusive Audit-Trail, 2FA, automatischem Failover und kontrollierten Releases. Erzähl uns, was ansteht.
Häufige Fragen
Prüft die BaFin unsere Website?
Nicht die Website als solche - geprüft wird das Unternehmen und sein IT-Risikomanagement. Ist die Website Teil regulierter Prozesse, fließen ihre Sicherheit, ihr Betrieb und ihre Dienstleister in genau diese Prüfung ein.
Gilt DORA auch für unsere Web-Agentur?
Wenn die Agentur IKT-Dienstleistungen für ein Finanzunternehmen erbringt (Entwicklung, Hosting, Betrieb), wird sie Teil des DORA-Drittparteien-Risikomanagements - mit vertraglichen Pflichten zu Sicherheit, Meldewegen und Ausstiegsszenarien.
Brauchen wir zwingend AWS oder eine Multi-Region-Architektur?
Nein. Verlangt sind angemessene Verfügbarkeit und ein belastbares Notfallkonzept - die Architektur folgt dem Schutzbedarf. Für Finoa war Multi-Region angemessen; für andere Setups reicht ein sauberes Backup-und-Wiederanlauf-Konzept.
Wie lange dauert so ein Projekt im Vergleich zu einem normalen Website-Projekt?
Der Mehraufwand steckt in Abstimmung und Nachweisen, weniger im Code: realistisch 15 bis 30 % zusätzlich, wenn die Bausteine - Audit-Log, 2FA, Release-Prozess - nicht zum ersten Mal gebaut werden.
- finoa.io - Website-Plattform des BaFin-regulierten Krypto-Verwahrers Finoa
- koenig-leasing.de - Digitale Antragsstrecke für König Leasing
- bafin.de - Bundesanstalt für Finanzdienstleistungsaufsicht
- Verordnung (EU) 2022/2554 (DORA) - digitale operationale Resilienz im Finanzsektor


