Zum Inhalt springen
Compliance · DORA

DORA: Web Application Firewall und API-Schutz mit Nachweisen

DORA verlangt Schutz und Tests von Web-Frontends und APIs sowie Resilienznachweise. Obhut liefert WAF, API-Schutz, Bot-Abwehr und exportierbare Nachweise als Baustein.

Obhut ist eine souveräne Anwendungssicherheits-Plattform aus Deutschland, die den Schutz und die Nachweisführung für Web-Frontends und APIs im Sinne von DORA (Digital Operational Resilience Act) auf der Anwendungsebene adressierbar macht: WAF, API-Verträge, Bot-Abwehr und Zugriff ohne offene Ports im selben Anfragepfad, dazu signierte, exportierbare Betriebsnachweise. DORA gilt seit Januar 2025 für BaFin-regulierte Finanzunternehmen und verlangt, IKT-gestützte Dienste abzusichern, zu testen und belegbar zu überwachen. Obhut liefert dafür Schutz im Anwendungspfad und prüfbare Nachweise als Baustein — keine Rechtsberatung, keine DORA-Zertifizierung und keine Garantie der Konformität.

Was DORA für Web-Frontends und APIs verlangt
DORA (Digital Operational Resilience Act) adressiert das IKT-Risikomanagement von Finanzunternehmen und verlangt unter anderem, dass digitale Anwendungen abgesichert, getestet und im Betrieb nachvollziehbar überwacht werden. Für nach außen erreichbare Web-Frontends und APIs bedeutet das konkret Schutz gegen Angriffe auf der Anwendungsschicht, Kontrolle über Schnittstellen und belegbare Resilienz im laufenden Betrieb. Obhut ordnet seine Kontrollen genau diesem Anwendungspfad zu.
Schutz im Anwendungspfad
Der Agent hält private Ziele geschlossen, die Edge prüft im selben Anfragepfad Identität, Gruppen, WAF-Regeln, API-Verträge, Client-Zertifikate, JWTs, Body-Schemas, Anfragengrenzen und Bot-Risiko. Damit sitzen Web- und API-Schutz an der Stelle, an der DORA operationale Absicherung erwartet. Alle relevanten Entscheidungen werden gemessen und als Nachweis nutzbar gemacht, statt nur konfiguriert zu sein.
Schwachstellen- und Missbrauchsabwehr für APIs
API-Verträge mit Body-Schemas begrenzen, was eine Schnittstelle akzeptiert, und weisen abweichende oder missbräuchliche Aufrufe früh ab. Anfragengrenzen dämpfen Lastspitzen und Brute-Force-Muster; die Bot-Risiko-Bewertung schützt Formulare und Anmeldepfade mit adaptiver Arbeitsprobe und serverseitiger Prüfung. Diese Kontrollen adressieren die Erwartung von DORA, Anwendungen gegen bekannte Angriffsklassen abzusichern — sie ersetzen kein formales Penetrationstest- oder TLPT-Programm.
Nachweise für IKT-Risiko und Tests
DORA verlangt, dass Absicherung und Überwachung belegbar sind. Jede Kontrollentscheidung schreibt in dieselbe Evidenzschicht: signierte Ereignisse in einer manipulationssicheren Hash-Kette, ein prüfbares Evidenzpaket, SIEM-Push und Audit-Export sowie eine Kontrollzuordnung. So lassen sich Zugriffe, WAF-Blöcke und API-Prüfungen gegenüber internen und externen Prüfern nachvollziehbar darstellen — als Datenbasis für Ihre DORA-Nachweisführung, nicht als deren Ersatz.
Segmentierung zwischen Diensten
Für die Ausbreitungsbegrenzung nach einem Vorfall melden Linux-Agenten Verbindungen je Dienst, Ziel, Port und Protokoll. Regeln lassen sich gegen beobachtete Flows bewerten, und read-only empfohlene Allow-Regeln entstehen aus abgelehnten Flows. Die Produktions-Erzwingung auf dem Host folgt erst nach Validierung; heute liefert Obhut Flow-Sichtbarkeit, Wirkungsanalyse und empfohlene Regeln, noch keine aktive Ost-West-Erzwingung.
Souverän aus Deutschland, ehrlich zum Reifegrad
Obhut wird in Deutschland betrieben (netcup), setzt eigene Kerntechnologie im Anwendungspfad ein und hat keinen US-Hyperscaler im Anwendungspfad. Zugleich sind wir vor der eigenen Zertifizierung: Obhut ist ein Baustein Ihrer DORA-Umsetzung, keine Zertifizierung und keine Garantie. Vertragliche Zusagen und geprüfte Compliance-Aussagen folgen nach rechtlicher Prüfung, so wie es die Statusseite offenlegt.
FAQ

Häufige Fragen zu DORA, WAF und API-Schutz

Nein. Obhut ist ein Baustein Ihrer DORA-Umsetzung und liefert Schutz im Anwendungspfad sowie exportierbare Nachweise für Web-Frontends und APIs. DORA-Konformität hängt von Ihrem gesamten IKT-Risikomanagement, Ihren Prozessen und Ihrer rechtlichen Bewertung ab. Obhut ist keine Rechtsberatung, keine DORA-Zertifizierung und keine Garantie.

Obhut adressiert den Schutz und die Überwachung von Web-Frontends und APIs: Zugriff ohne offene Ports, WAF-Regeln, API-Verträge mit Body-Schemas, Anfragengrenzen, Bot-Risiko-Bewertung und eine prüfbare Audit-Kette mit SIEM-Export. Das deckt die Erwartung an operationale Absicherung im Anwendungspfad ab, ersetzt aber weder Ihr formales Testprogramm noch andere IKT-Risikobereiche wie Drittparteienmanagement oder Meldewesen.

Obhut liefert die kontinuierlich abgesicherte Fläche und die Nachweise, auf denen Resilienztests aufsetzen: gemessene Kontrollentscheidungen, Evidenzpakete und Audit-Export. Ein eigener Betriebsmonitor prüft die Service-Flächen fortlaufend. Formale bedrohungsorientierte Penetrationstests (TLPT) und Ihr Testprogramm nach DORA führen Sie beziehungsweise Ihre Prüfer selbst durch.

Nein. Obhut ist vor der eigenen Zertifizierung; wir überziehen den Reifegrad bewusst nicht. Vertragliche Zusagen und geprüfte Compliance-Aussagen folgen nach rechtlicher Prüfung. Bereits heute macht Obhut Kontrollen über Evidenzpakete, Kontrollsicht und prüfbare Datenflüsse adressierbar.

Heute liefert Obhut Flow-Sichtbarkeit, Wirkungsanalyse und read-only empfohlene Allow-Regeln aus abgelehnten Flows. Die Produktions-Erzwingung auf dem Linux-Host folgt erst nach Validierung. Für die DORA-relevante Ausbreitungsbegrenzung ist das die vorbereitende, prüfbare Grundlage, noch keine aktive Ost-West-Erzwingung.

Die öffentlichen und produktiven Dienste laufen auf deutscher Infrastruktur bei netcup, mit eigener Kerntechnologie im Anwendungspfad und ohne US-Hyperscaler in diesem Pfad. Die Vertrauensseite benennt den aktuellen Subprozessorenstand mit Zweck, Standort, Datenkategorien und AVV-Status. Vertragliche Zusagen folgen nach rechtlicher Prüfung.

Nein. Obhut konzentriert sich auf die Anwendungssicherheits-Schicht: Zugriff, WAF, API-Schutz, Bot-Abwehr, Segmentierung und Nachweise. Volumetrische DDoS-Abwehr, CDN und Anycast-DNS sind bewusst nicht Teil des Produktumfangs. Für diese Netzwerkschicht kombinieren Sie Obhut mit einem entsprechenden Anbieter.

Web-Frontends und APIs DORA-orientiert absichern und belegen.

Starten Sie kostenlos und sichern Sie Ihre erste Anwendung mit Obhut — oder prüfen Sie zuerst Betrieb, Subprozessoren und Nachweise auf der Vertrauensseite.