Stefanie Hach, Vice President beim Software- und Systemdienstleister F24 © F24
  • Von Redaktion
  • 12.09.2024 um 11:42
artikel drucken artikel drucken
lesedauer Lesedauer: ca. 04:10 Min

Damit Versicherer und andere Finanzunternehmen vor Cyberangriffen besser geschützt sind, hat die EU den Digital Operational Resilience Act – kurz Dora – erfunden. Doch wie bereiten sich Versicherer darauf vor? In ihrem Gastbeitrag zeigt Stefanie Hach vom Software-Spezialisten F24 drei Schritte, die zum Ziel führen. Das ist zwar etwas technisch – aber aufschlussreich.

Mit Inkrafttreten des Digital Operational Resilience Acts (Dora) müssen auch Versicherungsunternehmen ab Anfang 2025 nachweisen, dass sie in der Lage sind, schwerwiegende IT-Vorfälle an Aufsichtsbehörden zu melden und ihre Risiken zu überwachen, zu bewerten und zu reduzieren. Zudem sind sie verpflichtet, an EU-weiten Cyber-Stresstests teilzunehmen und strenge Due-Diligence-Prüfungen ihrer Drittanbieter durchzuführen. Anforderungen, die ohne den Einsatz digitaler Softwarelösungen kaum zu bewältigen sind.

In der digitalisierten Welt nehmen die Bedrohungen durch Cyberangriffe auch für Versicherungsunternehmen kontinuierlich zu. Laut einer aktuellen Studie im Auftrag des Digitalverbands Bitkom (Wirtschaftsschutz 2024) belief sich der wirtschaftliche Schaden durch Cybercrime in deutschen Unternehmen 2023 auf eine Rekordsumme von 267 Milliarden Euro. Gerade Unternehmen im Banken- und Versicherungsumfeld sind wegen ihrer sensiblen und personenbezogenen Daten ein lukratives Ziel für Attacken, sodass die Finanzaufsicht Bafin Cyber-Angriffe oder auch IT-Pannen als zentrales Risiko für den Finanzsektor einstuft.

Die Europäische Union (EU) ruft wegen dieser erhöhten Bedrohung im Cyberraum den Digital Operational Resilience Act – kurz Dora – ins Leben. Mit der Verordnung will sie die digitale Widerstandsfähigkeit von Finanzdienstleistungsunternehmen und damit auch von Versicherern nachhaltig stärken. Zudem sorgt dieser Rahmen für einheitliche Standards, die auch Sanktionen beinhalten.

Können Betriebe nicht nachweisen, dass sie den Anforderungen von Dora entsprechen, drohen erhebliche Strafen. Werden Unternehmen tatsächlich Opfer eines Cyberangriffes, wären nicht nur die Sanktionen ein Problem. Dann würde auch die Reputation leiden. Gerade bei Ransomware-Angriffen gelangen oft sensible Daten in die Hände krimineller Gruppen – das Vertrauen der Kunden steht also ebenfalls auf dem Spiel.

Die Anforderungen an Dora umfassen fünf Kernbereiche:
  • IKT-Risikomanagement
  • Management von IKT-Vorfällen
  • Digital Operational Resilience-Testing
  • Management von Drittparteien
  • Informationsaustausch

Für Versicherer, die sich gerade auf dem Weg zur Umsetzung der Dora-Richtlinie befinden und tragfähige Lösungen für diese fünf Kernbereiche entwickeln wollen, bedeutet das vor allem eines: Sie brauchen so schnell wie möglich eine vollständige Übersicht aller erforderlichen Informationen.

Fünf Kernbereiche für Dora (Quelle: F24)
Fünf Kernbereiche für Dora (Quelle: F24)

Wichtig ist dabei zu wissen, dass die meisten Unternehmen sehr wahrscheinlich bereits über einen großen Teil der Daten und Prozesse verfügen, um die Berichts- und Meldepflichten zu erfüllen. Meist sind diese Daten allerdings dezentral in den einzelnen Abteilungen abgelegt, sodass sie noch nicht produktiv genutzt und nicht als Basis für aufschlussreiche Reportings oder Meldungen herangezogen werden können. Zudem sind die bestehenden Daten für sich genommen noch nicht aussagekräftig genug, um beispielsweise Aussagen über die Gefährdungslandschaft und die Kritikalität von verschiedenen Prozessen und Systemen im Unternehmen treffen zu können.

Um für eine ausreichende Datenbasis zu sorgen, in der auch qualitativ hochwertige, vollständige und untereinander sinnvoll verknüpfte Daten enthalten sind, die auch die Dora-Anforderungen erfüllen, braucht es im Wesentlichen drei Schritte. Digitale Managementlösungen können diese enorm erleichtern.

Schritt 1: Überblick über die Datenlandschaft verschaffen

Für den Abgleich mit bestehenden EU-Verordnungen wie Dora und für das nachhaltige Management eines Versicherungsunternehmens ist ein zentralisierter Informations- und Datenfluss entscheidend. Nur so können Versicherungsunternehmen ihre Datenbasis – in der auch die Daten Ihrer Drittanbieter oder solche über die globale Gefährdungslandschaft inkludiert sein sollten – überblicken. Durch das Zusammenführen relevanter Daten stellen Unternehmen sicher, dass ihre Daten hochwertig, vollständig und jederzeit sowohl in den Abteilungen als auch abteilungsübergreifend auf der digitalen Managementlösung verfügbar sind.

kommentare
michael.dieblich@msg.group
Vor 2 Monaten

Vielen Dank für diese verständliche Zusammenfassung. Ich denke, damit findet man einen guten Einstieg in dieses komplexe Thema.

Hinterlasse eine Antwort

kommentare
michael.dieblich@msg.group
Vor 2 Monaten

Vielen Dank für diese verständliche Zusammenfassung. Ich denke, damit findet man einen guten Einstieg in dieses komplexe Thema.

Hinterlasse eine Antwort

Pfefferminzia Logo rgb
Suche
Close this search box.
Zuletzt hinzugefügt
Wie die Zukunft der bAV aussieht
Handelsblatt Jahrestagung bAV 2024

Wie die Zukunft der bAV aussieht

Vermittler müssen und wollen sich weiterbilden
AfW-Vermittlerbarometer: Nachhaltigkeit

Vermittler müssen und wollen sich weiterbilden

Zuletzt hinzugefügt
„Ich stelle eine echte Verbindung zu meinen Kunden her“
Interview-Reihe „Auf dem Weg zum Unternehmer“

„Ich stelle eine echte Verbindung zu meinen Kunden her“

„Mein Schweinehund ist einfach ein bisschen kleiner“
Interview-Reihe „Auf dem Weg zum Unternehmer“

„Mein Schweinehund ist einfach ein bisschen kleiner“

Skip to content