Anmelden
Banken · Sparkassen · BAIT · MaRisk · DORA

Bank-Posteingang.Markenintegrität.BAIT- und DORA-konform.

MailGuard, DMARC und SecureMail für Institute unter MaRisk AT 7.2, BAIT 8 und DORA. Outbound-Identität als eigene Disziplin, EU-Hosting in Deutschland, BaFin-Sonderprüfung-fest. Stand 2026.

Demo anfragenMailGuard im Detail
Auf einen BlickStand 2026

Inbound-Schutz, Outbound-Identität und verschlüsselte Korrespondenz in einem Stack.

  • BAIT 8 als Audit-Punkt ohne konkretes Tooling im MaßnahmenplanBAIT-Mapping mit Conbool als technische Maßnahme, Nachweis im Prüfungsbericht
  • Markenmissbrauch durch Spoofing der Bank-Domain ohne VisibilityDMARC-Reports, Reject-Policy und BIMI-Vorbereitung als Outbound-Disziplin
  • CEO-Fraud im Backoffice erst nach SWIFT-Auszahlung erkanntBEC-Erkennung auf Authentifizierungsebene vor der Freigabe im 4-Augen-Prozess
MailGuard fängt Phishing, CEO-Fraud und Spear-Phishing auf die Zahlungsverkehrsabteilung ab, bevor SWIFT-Auszahlungen ausgelöst werden. DMARC mit Reject-Policy stoppt Markenmissbrauch, mit dem Angreifer der Kundschaft gefälschte Online-Banking-Mails schicken. SecureMail liefert die nach § 25a KWG gebotene vertrauliche Korrespondenz an Wirtschaftsprüfer, Anwaltskanzleien, BaFin, Bundesbank und das Bankenkonsortium. Audit-Log nach DSGVO Art. 30 dient als Nachweis im IT-Prüfungsbericht und bei BaFin-Sonderprüfungen nach § 44 KWG.
Geeignet für Sie wenn:Bank, Sparkasse, FinDLBaFin-Aufsicht aktivDORA ab 17.01.2025
100 %
EU-Hosting, Rechenzentrum Deutschland
MaRisk AT 7.2
IT-Systeme und IT-Prozesse
DORA
ab 17.01.2025 anwendbar
30 Min.
MX-Switch je Tochterinstitut

Compliance-Anker

MaRisk AT 7.2 IT-Systeme und AT 9 AuslagerungBAIT 8 Informationssicherheit, BAIT 5 IT-BerechtigungsmanagementDORA Art. 6 ff IKT-Risikomanagement und Art. 28 ff Drittparteienrisiko§ 25a KWG IT-Systeme, § 25b KWG Auslagerung

Conbool unterstützt MaRisk-, BAIT- und DORA-Anforderungen auf der Ebene technischer und organisatorischer Maßnahmen. Die aufsichtsrechtlichen Pflichten zur Geschäftsorganisation und das interne Kontrollsystem verbleiben beim Institut. DORA-Vertragsklauseln nach Art. 30 sind in der DPA berücksichtigt.

Vier Bausteine für Banken und Sparkassen.

MailGuard schützt den Posteingang vor BEC und Phishing, DMARC schützt die Marke gegen Missbrauch, SecureMail liefert die verschlüsselte Korrespondenz an WP, Anwälte und Aufsicht, Disclaimer setzt Pflichtangaben pro Geschäftsbereich durch.

MailGuard

MailGuard

Mehrstufige Erkennung gegen Phishing, BEC und CEO-Fraud auf die Zahlungsverkehrsabteilung, Spear-Phishing auf den Vorstand und Bewerbungs-Trojaner an HR. URL-Reputation in Echtzeit, Anhang-Sandbox für Office-, PDF- und Archiv-Dateien, Authentifizierungs-Checks gegen Display-Name-Spoofing und Look-Alike-Domains der Bank.

MailGuard im Detail
DMARC

DMARC Reports

DMARC-Aggregat- und Forensik-Reports auswerten, Reject-Policy gestaffelt einführen (p=none, p=quarantine, p=reject), BIMI mit verifiziertem Markenlogo (VMC) vorbereiten. Outbound-Identität als eigene Disziplin neben dem Inbound-Schutz, Schutz vor missbräuchlichem Versand im Namen der Bank.

DMARC Reports im Detail
SecureMail

SecureMail

S/MIME und OpenPGP für die tägliche Korrespondenz mit Wirtschaftsprüfern, Anwaltskanzleien, BaFin, Bundesbank und Korrespondenz-Banken. Web-Reader für Empfänger ohne eigenes Zertifikat mit Passwort-Authentifizierung, Outlook-Add-in für Classic, New und Web ohne Roll-out neuer Endgeräte.

SecureMail im Detail
Disclaimer

Disclaimer

Server-seitige Pflichtangaben nach § 37a HGB und kapitalmarktrechtlichen Hinweisen aus dem WpHG, pro Geschäftsbereich, Tochter und Niederlassung konfigurierbar. Einheitlich auf Outlook Classic, New, OWA und Mobile, ohne lokales Add-in, mit AD- und HR-Anbindung.

Disclaimer im Detail
Typische Workflows

Vier Szenarien aus Bank und Sparkasse.

Vom Filial-Posteingang über das Backoffice bis zur BaFin-Sonderprüfung nach § 44 KWG.

1

CEO-Fraud in der Zahlungsverkehrsabteilung abfangen

Eine imitierte Vorstandsmail weist die Zahlungsverkehrs-Sachbearbeiterin zur Eilüberweisung an einen neuen Lieferanten in einer EU-Bank an, mit Druck auf Vertraulichkeit und Zeitdruck vor dem nächsten SWIFT-Cut-off. MailGuard erkennt Display-Name-Spoofing, Look-Alike-Domains und Reply-To-Manipulation auf der Authentifizierungsebene, bevor der 4-Augen-Prozess greift und der TARGET2-Zahlungsverkehr ausgelöst wird.

2

Outbound-Identität gegen Phishing-Wellen schützen

Angreifer versenden gefälschte Online-Banking-Warn-Mails oder PSD2-Authentifizierungs-Aufforderungen an die Kundschaft, mit dem Ziel, TANs oder Zugangsdaten abzugreifen. DMARC mit Reject-Policy und ausgewerteten Forensik-Reports stoppt Spoofing der Bank-Domain. BIMI mit verifiziertem Markenlogo erhöht die visuelle Authentifizierung im Posteingang der Kunden und reduziert das Risiko erfolgreicher Phishing-Wellen.

3

Verschlüsselte Korrespondenz mit Wirtschaftsprüfern und Kanzleien

Prüfungsberichte nach § 26 KWG, Vertraulichkeits-Akten zu Großkrediten, M&A-Dokumente und Schriftsätze an die rechtliche Vertretung der Bank gehen verschlüsselt direkt aus Outlook. Empfänger ohne S/MIME nutzen den Web-Reader mit Passwort-Authentifizierung oder TAN-Verfahren, Audit-Log dokumentiert Zustellung, Öffnung und Download für die Konzernrevision.

4

BaFin-Sonderprüfung und Konzernrevision

Bei IT-Sonderprüfungen nach § 44 KWG, im Rahmen der jährlichen Prüfung nach § 26 KWG und in der internen Revision dient der Audit-Trail von Conbool als Nachweis für technische Maßnahmen nach BAIT 8 und MaRisk AT 7.2. Export als revisionssicherer Report für den Prüfer, mit Mapping auf die jeweiligen Tz. des Rundschreibens und auf die IKT-Risikoinventur nach DORA Art. 8.

Architektur

Conbool als unabhängige Schicht vor Microsoft 365.

Banken und Sparkassen betreiben überwiegend Microsoft-365-Tenants, oft im Verbund mit Kernbank-Systemen wie OSPlus der Finanz Informatik für Sparkassen, agree21 der Atruvia für Genossenschaftsbanken oder bankeigenem Mainframe-Host. Conbool sitzt als unabhängige Schicht vor M365, ohne die Kernbank-Anbindung oder das Online-Banking-Frontend zu verändern. So bleibt die Architektur konform zu BAIT 1 IT-Strategie und zur Verantwortlichkeit der Geschäftsleitung nach § 25a Abs. 1 KWG.

MX-Switch je Tochter

Eingehender SMTP läuft über Conbool, M365 bleibt das Backend. Konzern-Tochter, Auslandsfiliale und Spezialinstitut erhalten je eigene Routing-Policy mit eigener DMARC-Konfiguration.

Unabhängige Threat Intelligence

Conbool als erste Linie, Microsoft Defender for Office 365 als M365-interne zweite Linie. Defense-in-Depth verhindert Single-Vendor-Lock im Sicherheitspfad und entspricht dem MaRisk-Grundsatz angemessener Risikoreduktion.

BAIT-Schicht im Maßnahmenplan

Konfiguration als technische Maßnahme im BAIT-Maßnahmenplan dokumentierbar, mit Verantwortlichem, Prüfzyklus, Risikobewertung im IKT-Risikoinventar nach DORA Art. 8 und Mapping auf die Tz. des BAIT-Rundschreibens.

SIEM-Anschluss

Audit-Log per Standard-Connector ans Bank-SIEM, etwa Splunk, IBM QRadar oder Microsoft Sentinel. Threat-Sharing mit Bundesbank-CERT und der BaFin nach DORA Art. 45 anbindbar, Vorfallsmeldung nach § 54 ZAG bei Zahlungsverkehrsvorfällen.

Compliance-Mapping

MaRisk, BAIT, DORA und KWG technisch belegen.

Vier Regelwerke greifen ineinander: MaRisk und § 25a/25b KWG als nationale Grundlage, BAIT als BaFin-Auslegung, DORA als unmittelbar geltende EU-Verordnung mit Vorrang vor BAIT in Konfliktfällen. Conbool erbringt die Maßnahmen auf Mail- und Datentransport-Ebene und liefert die Prüf-Artefakte für die jährliche Prüfung nach § 26 KWG, für BaFin-Sonderprüfungen nach § 44 KWG und für die DORA-Prüfung durch die Aufsicht.

MaRisk AT 9 Auslagerung

Conbool als Auslagerungsdienstleister mit DPA, Sub-Prozessor-Liste, Informations- und Auskunftsrechten, Kontrollrechten, Weiterleitungsbefugnissen und definierten Beendigungsregeln nach MaRisk AT 9 Tz. 7.

BAIT 8 Informationssicherheit

Vertraulichkeit, Integrität und Verfügbarkeit auf der Mail-Ebene. Berechtigungsmanagement nach BAIT 5 über AD-Anbindung, IT-Notfallmanagement nach BAIT 10 mit dokumentierter RTO/RPO je Modul.

DORA Art. 28 IKT-Drittparteienrisiko

Vertragsklauseln nach DORA Art. 30 in der DPA: Beendigungsrechte, Subkontrahenten-Kontrolle nach Art. 29, Audit-Recht der Aufsichtsbehörde, Datenrückgabe, Service-Levels und Exit-Strategie für kritische Funktionen.

§ 25a/25b KWG

IT-Systeme als Teil der ordnungsgemäßen Geschäftsorganisation nach § 25a Abs. 1 KWG, Auslagerung an Conbool nach § 25b KWG mit Anzeige an die BaFin nach § 24 Abs. 1 Nr. 16 KWG, soweit es sich um eine wesentliche Auslagerung handelt.

Migration

Vom Pilot in der Filial-Region zum Konzern-Rollout.

Banken migrieren selten im Big-Bang, weil der Posteingang ein geschäftskritischer Kommunikationskanal ist und Ausfälle in der Kundenkorrespondenz, im Zahlungsverkehr oder in der Anwaltspost sofort regulatorisch sichtbar werden. Pilot in einer Filial-Region, einem Tochterhaus oder einer Auslandsfiliale, dann Konzern-Rollout über das Microsoft-Admin-Center. Bestehende SEG, etwa Hornetsecurity, Proofpoint, Mimecast oder Trend Micro, läuft kontrolliert aus, Kündigungsfristen werden im Maßnahmenplan berücksichtigt.

Pilot in einer Filial-Region

Eine Filial-Region, ein Spezialinstitut oder eine Tochter startet, der Rest des Konzerns bleibt unverändert. MX-Switch für eine Sub-Domain genügt, Rückfall-Pfad auf den bisherigen SEG bleibt aktiv.

Konzern-Rollout per Admin-Center

Outlook-Add-in für alle Mitarbeitenden über das Microsoft-365-Admin-Center, gesteuert über AD-Gruppen je Geschäftsbereich. Verteilung auch über Intune, Group Policy und Citrix-Workspace möglich.

Defense-in-Depth statt Replace

Conbool als erste Linie, Microsoft Defender als zweite Linie. Audit-Trail über beide Schichten, Vermeidung Single-Vendor-Risiko im Sicherheitspfad, dokumentierbar im BAIT-Maßnahmenplan und in der IKT-Risikoinventur.

Auslauf der Altlösung

Bestehende SEG (Hornetsecurity, Proofpoint, Trend Micro, Mimecast) läuft parallel aus, Kündigungsfristen werden in der Migrations-Roadmap berücksichtigt. Conbool-Reports liefern Vergleichswerte zur Erkennungsrate und zur False-Positive-Quote.

Häufige Fragen aus Banken und Sparkassen

Wie passt Conbool zu MaRisk AT 9 Auslagerung und AT 7.2 IT-Systeme?
Conbool ist ein Auslagerungsdienstleister im Sinne von MaRisk AT 9 Tz. 7 und liefert die geforderten Vertragsbestandteile mit: DPA, Sub-Prozessor-Liste, Informations- und Auskunftsrechte, Kontrollrechte, Weiterleitungsbefugnisse und definierte Beendigungsregeln. Auf der Ebene MaRisk AT 7.2 dokumentiert Conbool die IT-Systeme und IT-Prozesse zur sicheren E-Mail-Verarbeitung als technische Maßnahmen im Maßnahmenplan, mit Verantwortlichem, Prüfzyklus und Risikobewertung im IKT-Risikoinventar. Die Anzeige nach § 24 Abs. 1 Nr. 16 KWG bei wesentlichen Auslagerungen wird durch unsere Unterlagen unterstützt, die Pflicht zur Anzeige verbleibt beim Institut.
Wie deckt Conbool die BAIT-Anforderungen zur Informationssicherheit ab?
BAIT 8 fordert technische und organisatorische Maßnahmen zur Vertraulichkeit, Integrität und Verfügbarkeit auf Basis eines Schutzbedarfsanalyse-Ergebnisses. Conbool liefert die Maßnahmen auf der E-Mail- und Datenebene: MailGuard für den Inbound-Schutz, DMARC für die Outbound-Identität, SecureMail für die vertrauliche Korrespondenz. Berechtigungen nach BAIT 5 werden über das Active Directory mit segregierten Rollen abgebildet, das IT-Notfallmanagement nach BAIT 10 mit definierter RTO/RPO ist Teil der DPA. Die gesamte Konfiguration ist im BAIT-Maßnahmenplan revisionssicher dokumentierbar und in der Prüfung nach § 25a KWG vorzeigbar.
Wie unterstützt Conbool die Anforderungen aus DORA?
DORA (Verordnung (EU) 2022/2554) gilt für Finanzunternehmen seit 17. Januar 2025 unmittelbar. Conbool berücksichtigt die geforderten Vertragsklauseln nach Art. 30 in der DPA: IKT-Drittparteienrisiko nach Art. 28, Vertragsbeendigung, Subkontrahenten-Listen nach Art. 29, Datenrückgabe, Service-Level und Exit-Strategie. Auf Ebene der IKT-Risikoinventur nach Art. 8 wird Conbool als IKT-Drittdienstleister geführt; eine Einstufung als kritisch nach Art. 31 trifft das Institut selbst auf Basis der Funktion und des Schadenspotenzials. Threat-Sharing nach Art. 45 über Bundesbank-CERT, BaFin und sektorale Hubs ist möglich, Vorfallsmeldung nach Art. 19 wird durch die Audit-Logs unterstützt.
Wie greift Conbool gegen CEO-Fraud im Zahlungsverkehr?
CEO-Fraud-Wellen zielen typischerweise auf Sachbearbeitende in der Zahlungsverkehrsabteilung, der Treasury oder dem Backoffice und nutzen Display-Name-Spoofing, Look-Alike-Domains (etwa rn statt m, kyrillische Zeichen, neue TLDs), Reply-To-Manipulation und Authority-Pressure unter Zeitdruck vor SWIFT- oder TARGET2-Cut-off-Zeiten. MailGuard prüft Absender-Authentifizierung (SPF, DKIM, DMARC), erkennt typische Lookalikes der eigenen Domain im Internationalized-Domain-Name-Raum und fängt Eilüberweisungs-Anweisungen ab, bevor der 4-Augen-Prozess greift. Vorfallsmeldung an die internen Compliance-Stellen, an die Konzernsicherheit und an die BaFin nach DORA Art. 19 ist in den Workflow integrierbar.
Können wir Conbool und Microsoft Defender for Office 365 parallel betreiben?
Ja, das ist die empfohlene Defense-in-Depth-Architektur und entspricht dem MaRisk-Grundsatz angemessener Sicherheitsmaßnahmen. Conbool sitzt als unabhängige erste Linie vor dem M365-Tenant über MX-Switch, Defender ist Stack-interne zweite Linie. Audit-Trail läuft über beide Schichten, Single-Vendor-Lock im Sicherheitspfad wird vermieden. Diese Architektur ist in BAIT-Prüfungen und bei BaFin-Sonderprüfungen nach § 44 KWG nachweisbar.
Wie funktioniert die DMARC-Einführung in einer Bank ohne Auswirkungen auf Kunden-Mailings?
DMARC führen wir gestaffelt ein: Phase 1 Monitoring mit Aggregat- und Forensik-Reports (p=none) über 4 bis 8 Wochen, um alle legitimen Versand-Quellen zu identifizieren, von Marketing-Tools über den Kernbank-Newsletter bis zur Online-Banking-Plattform. Phase 2 Quarantine mit Ausnahme-Whitelists für Massen-Mailing-Provider, Korrespondenz-Banken und Zahlungsverkehrs-Dienstleister. Phase 3 Reject-Policy (p=reject) für alle Versand-Domains und Sub-Domains, mit dauerhaftem Reporting. Parallel bereiten wir BIMI mit verifiziertem Markenlogo (VMC) vor. So bleiben legitime Kunden-Newsletter, Online-Banking-Benachrichtigungen, PSD2-SCA-Mails und Korrespondenz-Routing ungestört, gefälschte Bank-Domain-Mails werden hart abgewiesen.
Wie arbeiten wir in einem Genossenschaftsverbund oder einer Sparkassen-Gruppe mit getrennten Mandanten?
Conbool unterstützt Multi-Tenant-Setups oder einen zentralen Tenant für die Bankgruppe mit getrennten Policies, Adminrechten, Quarantäne-Bereichen und Audit-Logs pro Tochterhaus. Genossenschaftsbanken im Verbund mit gemeinsamem Rechenzentrum (etwa Atruvia mit agree21) können die Conbool-Schicht zentral betreiben und je Bank über AD-Gruppen steuern, ohne dass Daten zwischen den Instituten sichtbar werden. Sparkassen mit Landesbanken-Anbindung (Finanz Informatik mit OSPlus) trennen Policies für Filial-Geschäft, Vermögensanlage und Treasury sauber voneinander; Konzernsicherheit und interne Revision erhalten konsolidierte Reports ohne Einsicht in einzelne Postfächer.

Verwandte Lösungen

Hornetsecurity-Alternative

Deutsche MailGuard-Alternative nach der Proofpoint-Übernahme.

Phishing-Schutz

BEC, Spear-Phishing und QR-Code-Phishing erkennen und entfernen.

Ransomware-Schutz E-Mail

Mehrstufige Anhang-Filter und URL-Reputation gegen Ransomware-Kampagnen.

Spam-Filter Unternehmen

Spam und unerwünschte Massenmail mit DACH-Heuristiken filtern.

CEO-Fraud-Schutz

BEC und CEO-Fraud-Attacken über Authentifizierungs-Layer abwehren.

Verwandte Branchen

Conbool ist in benachbarten Branchen mit ähnlichem Compliance-Profil im Einsatz.

Versicherungen

Schwester-Aufsicht BaFin mit VAIT und DORA-Pflichten — gleicher Pflichtenkatalog.

Steuerberater

Eingehende Bonitätsunterlagen, JAB-Übergaben und KMU-Mandantenmappen aus der Kanzlei.

Öffentliche Verwaltung

Sparkassen, Landesbanken und öffentlich-rechtlicher Bankensektor mit Kommunaltrag.

BAIT-, MaRisk- und DORA-konformer Stack für Banken und Sparkassen.

Demo in 30 Minuten. Pilot in einer Filial-Region oder Tochter. Modular pro Funktion und Postfach lizenziert.

Demo anfragenMailGuard im Detail

Quellen und Stand

Aussagen zu MaRisk basieren auf den Mindestanforderungen an das Risikomanagement der BaFin (Rundschreiben 05/2023, AT 7.2 IT-Systeme, AT 9 Auslagerung) in der jeweils geltenden Fassung. Aussagen zu BAIT basieren auf den Bankaufsichtlichen Anforderungen an die IT der BaFin (Rundschreiben 10/2017 (BA), Tz. 8 Informationssicherheit, Tz. 5 Berechtigungsmanagement). Aussagen zu DORA basieren auf der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act), Art. 6 ff IKT-Risikomanagement, Art. 28 ff IKT-Drittparteienrisiko, Art. 30 Vertragsklauseln. Aussagen zu § 25a und § 25b KWG basieren auf dem Kreditwesengesetz. Pflichtangaben aus § 37a HGB. Stand 2026.

BaFin ist eine Bezeichnung der Bundesanstalt für Finanzdienstleistungsaufsicht. Microsoft, Microsoft 365, Defender und Sentinel sind Marken der Microsoft Corporation. Splunk ist eine Marke der Splunk Inc. IBM QRadar ist eine Marke der IBM Corporation. Hornetsecurity, Proofpoint und Trend Micro sind Marken der jeweiligen Eigentümer. OSPlus ist eine Marke der Finanz Informatik. agree21 ist eine Marke der Atruvia AG. Conbool ist eine Marke der Conbool GmbH.