DORA soll die digitale Widerstandsfähigkeit durch Regulierung erhöhen.
Aber schafft sie das?
Kürzlich waren Millionen Computer nach einem fehlerhaften Update einer Sicherheits-Software ausgefallen. Sie zeigten nur noch einen blauen Bildschirm an („Bluescreen of death“). Folge: Fluglinien und Flughäfen waren ebenso lahmgelegt, wie etwa Rettungsdienste und Krankenhäuser. Aber auch TV-Sender sowie Kassensysteme und Banken waren betroffen, wie man den Medien entnehmen konnte.
Ursache war ein fehlerhaftes Update bei einer Sicherheitssoftware. Dass weniger als 1 % der Windows-Computer betroffen waren (wie der Software-Hersteller im STANDARD zitiert wurde) war nur darauf zurück zu führen, dass es sich um eine selten genutzte Software gehandelt hatte. Was wohl passiert wäre, wenn eine häufig genutzte Software, etwa Office oder Windows selbst, im Zuge eines Updates die Rechner lahmgelegt hätte, kann man sich ausmalen.
So zeigt dieses „kleine Hoppala“ wie verwundbar unsere heutige digitale Welt geworden ist, welche strukturellen Schwächen unsere (kritische) Infrastruktur aufweist.
Die EU hat genau diese Problemlage erkannt und daher die DORA verabschiedet, wir haben über diese Verordnung bereits mehrfach berichtet, u.a. hier:
https://ivva.at/dora-resilienz-durch-regulierung-fuer-wen-gilt-dora-nl-17-24/
https://ivva.at/dora-wird-auch-versicherungsvermittler-betreffen-nl-36-22/
https://ivva.at/dora-hinweisgeberg-2-neue-todos-fuer-vermittler-nl-1b-24/
https://ivva.at/dora-warum-vermittler-betroffen-sein-werden-wie-bereitet-sich-helvetia-vor-nl-12b-24/
Wichtig: DORA ist eine Verordnung und ist bereits seit 16. 1. 2023 in Kraft. Und aufgrund des Verordnungs-Charakters bedarf es keiner nationalen Umsetzung und es kommt zu einer direkten Anwendung ab dem 17.01.2025.
In obigen Beiträgen haben wir „vorher gesagt“, dass auch Versicherungsvermittler von DORA betroffen sein werden. In welchem Umfang ist noch unklar, aber klar ist: Die Großen, also etwa unsere Versicherungspartner werden unter die DORA fallen. Sie alle müssen die DORA umsetzen, die eigenen Systeme ganz auf die neuen technischen Sicherheits-Anforderungen ausrichten. Und die firmeninternen Prozesse entsprechend aufstellen. Und werden ihre Pflichten auf die Vermittler überwälzen (wie sie es beim Datenschutz bereits tun).
Weltweiter Computer-Ausfall
Ein möglicherweise Anlass für DORA sind Cyberstraftaten, die im heutigen digitalen Zeitalter leider nichts Neues mehr sind.
Regelmäßig liest man von erfolgreichen Hacker-Angriffen auf Unternehmen, egal, ob groß oder klein.
Laut einer aktuellen IBM-Studie „Cost of a Data Breach Report 2024” betrugen die durchschnittlichen Kosten eines Datenlecks in Deutschland 2024 im Schnitt 4,9 Millionen Euro pro Fall. Damit stiegen die Kosten pro Datenleck um 14 Prozent gegenüber dem Vorjahr, was zeigt, dass die Auswirkungen von Datenlecks auf den Geschäftsbetrieb immer größer werden und die Anforderungen an Cybersecurity weiter zunehmen.
Ebenso erfährt man in dieser Studie, dass deutsche Unternehmen durchschnittlich 185 Tage benötigten, um diese Vorfälle zu identifizieren und einzudämmen. Damit würden die Deutschen unter allen untersuchten Ländern und Regionen die kürzeste Zeit benötigen. Der weltweite Durchschnitt liege bei 258 Tage.
Das häufigste erste Einfallstor für Angreifer seien gestohlene oder kompromittierte Anmeldedaten. Phishing belegt den zweiten Platz, gefolgt von Fehlkonfigurationen in der Cloud, so die IBM-Studie.
Und damit kommen wir zum Trend zur Digitalisierung und Auslagerung, der seit der Corona-Pandemie nun auch in Österreich und auch in sehr traditionellen Branchen, wie etwa der Finanz- und Versicherungsbranche, enorm Fahrt aufgenommen hat.
Anstatt IT-Wissen intern im Unternehmen aufzubauen, hat es sich bisher meist finanziell bewährt, IT-Angelegenheiten auszulagern. Aber Drittanbieter von Informations- und Kommunikationstechnologien (IKT) unterliegen im Vergleich zu Versicherungsunternehmen keiner regulatorischen Aufsicht. Wenn es zu einem Cyber-Angriff auf den Drittdienstleister kommt, ist davon einerseits das Unternehmen selbst betroffen, darüber hinaus leiden sowohl jene Unternehmen, welche die IT-Dienste nutzen, als auch deren Kunden, an den Folgen.
DORA soll genau diesen Gefahren entgegenwirken und eine Harmonisierung der digitalen Resilienz schaffen.
Hätte DORA den eingangs beschriebenen weltweiten Ausfall verhindert?
DORA bringt sicherlich eine Verbesserung der Situation. Etwa bei Hard- und Software und Organisation im Unternehmen durch die eigenen Anstrengungen im Zuge der DORA-Vorbereitung und regelmäßigen Prüfungen (auch durch die Aufsicht). Auch wird wohl die Auswahl der eigenen IKT-Lieferanten einer genaueren Prüfung und Dokumentation unterzogen werden, wodurch weitere Fehlerquellen ausgeschlossen werden. Regelmäßige Schulungen der Mitarbeiter helfen sicher auch, die eine oder andere Phishing-Mail als solche zu erkennen und damit eine Hacker-Attacke bereits im Keim zu ersticken.
Aber zu glauben, dass DORA alle Gefahren für unsere Digitale Welt beseitigt, ist weltfremd. Es kann und wird wohl weiterhin fehlerhafte Software geben, die irgendwelche Schäden verursachen wird. Aber wenn man dann ein aktuelles Backup der eigenen Daten, Prozesse, etc. hat, dann hält sich der Schaden „durch den Stillstand des Unternehmens“ in engen Grenzen.
Vorschau: Im nächsten Beitrag berichten wir darüber, warum die FMA DORA zum Prüfungsschwerpunkt erkoren hat und warum DORA besonders für die Geschäftsführung ein wichtiges Thema werden muss, um die persönliche Haftung bestmöglichst abzusichern!
beste Grüße vom IVVA Team und RA Mag. Stephan Novotny!
Sollten Sie noch keinen Anwalt haben: Mag. Stephan Novotny, ein auf Versicherungs- und Datenschutzrecht spezialisierter Fachanwalt steht gerne zur Verfügung, für IVVA Mitglieder sogar zum Spezialpreis.
RA Mag. Stephan Novotny
1010 Wien, Landesgerichtsstraße 16/12